Das Passwort – eigentlich sollte diese Methode zur Authentifizierung schon längst ad acta gelegt werden. Anstatt dessen werden es jedoch immer mehr die man sich merken muss. Hat man nun beruflich noch die Aufgabe sich mithilfe von Benutzernamen und Kennwörtern zu authentifizieren, dann ist eine Bedingung häufig das Kenwort alle 90 Tage zu ändern.
Doch das Passwort alle 90 Tage zu ändern, bringt keinen Mehrwert bei der Sicherheit. Dieser Erkenntnis ist nun auch das Bundesamt für Sicherheit in der Informationstechnik gefolgt und passt entsprechende Empfehlungen an. Aber woher kommt die Umkehr und was ist besser als das Passwort regelmäßig zu ändern?
7.700 Accounts wurden analysiert – viele Varianten, wenig Sicherheit!
Die eigentlich Absicht besteht darin, dass bei dem Ausdenken eines neuen Passworts die Sicherheit der neuen Geheimphrase steigt. Doch das stimmt nicht – zeigte bereits eine Studie aus dem Jahr 2016. Die ursprünglichen Phrase wie „tarheels#1“ wurden schlichtweg in „tarheels#2“ umgewandelt. Das regelmäßige Ändern hebelt also den eigentlichen Sinn aus – die Erhöhung der IT-Sicherheit. Wenn also jemand in ein System eingedrungen ist, so benötigt er, auch nach einem Wechsel, nicht lange um das neue Passwort zu erraten. Eigentlich sollte es bei der Änderung kryptischer, und vor allem komplett anders, aussehen. Die Studie zeigt was „nicht lange“ konkret bedeutet:
17% der online Accounts wurde in weniger als 5 Versuchen geknackt. Bei den offline Accounts sieht es noch etwas düsterer aus. Hier wurden 41% der Accounts in weniger als 3 Sekunden gebrochen.
Auch bei der Vergabe von Passwörtern im WLAN sollte man vorsichtig sein. Denn dieses Geheimnis wird oft und gerne zwischen Verwandten und Bekannten geteilt. Auch im Nachhinein kann das WLAN Passwort eingeblendet werden. Die Vergabe und das Management von Kennwörtern ist längst ein riesiges Geschäftsfeld. Auch für ein 11-jähriges Mädchen aus New York. Sie verkauft für 2 USD Passwörter. Aber auch dieses Vorgehen ist nicht ohne Einwände empfehlenswert. Einem Passwort lässt sich seine Sicherheit nicht ansehen.
Wir müssen nach wie vor mit Kennwörtern hantieren. Der Verlust hängt oft mit dem Verlust der gesamten digitalen Identität zusammen. Erstrecht wenn das Passwort des Mail Accounts betroffen ist. Aber auch ein unsicheres Passwort auf der Arbeit kann einem zum Problem werden. Deshalb sollte der Umgang der „Geheimnisse“ nicht als Last, sondern als Gefallen/Leichtigkeit gehandhabt werden. Mithilfe von Passwort Managern, Generatoren und physikalischen Gedankenstützen lässt sich Abhilfe schaffen.
Wie gelingen Passwörter sicherer?
Die Rede ist aktuell von nur noch einem Passwort. Das bedeutet jedoch nicht, dass dieses eine Passwort nun überall verwendet werden sollte. Nach wie vor wird stark dazu angeraten, für jede App, jede Website, jedes Gewinnspiel ein eigenes Kennwort zu verwenden. Doch anstatt diese Passwörter alle 3 Monate zu ändern, soll die Aufforderung erst nach einem Datendiebstahl oder Verdacht der Kompromittierung erscheinen.
Erhöhtes Sicherheitsrisiko durch Mehrfachnutzung von Passwörtern
Nicht nur die Zusammensetzung des Passwortes spielt eine große Rolle bei der Sicherheit dessen – es ist auch die Verwendungshäufigkeit. Das Hasso-Plattner-Institut hat diesen Sicherheitskritischen Aspekt der Passwörter näher beleuchtet. 1 Milliarde (!) Nutzerkonten wurden vom Institut, welches an der Potsdamer Universität ansässig ist, analysiert. Die Masse der Daten stammt aus 31 veröffentlichten Datenlecks, welche frei verfügbar sind. Da 68,5 Millionen E-Mail Adressen gleich in mehreren Datensätzen aufgetaucht sind, ließ sich die Mehrfachnutzung von Passwörtern ermitteln. Ganze 20% verwenden genau das gleiche Passwort – 27% setzen auf geringfügige Abänderung der Passphrase. „123456“ wird laut der Studie am häufigsten verwendet. Ob eure Daten in einem Datendiebstahl vorkommen, kann bei Firefox Monitor nachgeschlagen werden. Aber auch einen simplen Trick zum merken und erstellen von Passwörtern gibt es:
Man nehme sich einen Satz, den man sich leicht merken kann, wie z.B.: „Wo ein Wille ist, ist auch ein Weg!“
Aus diesem Satz bildet man nun ein Passwort:
Zuerst nimmt man alle Anfangsbuchstaben und Satzzeichen: WeWi,iaeW!
Alternativ kann man auch sinnvolle Wörter durch Zahlen ersetzen. Man könnte dann aus „Wo ein Wille ist, ist auch ein Weg!“ folgendes machen:
„W1Wi,ia1W!“
Hier kann man beliebig kreativ werden. Unterstriche, Raute und andere Sonderzeichen erhöhen die Sicherheit des Passwortes und steigern die benötigte Berechnungszeit enorm.
Die Veröffentlichung der unsichersten Passwörter hat Ende 2019 für viel Aufsehen gesorgt – aber auch um die sichersten Passwörter ist es nicht gut bestellt. Von Passwörtern haben viele wirklich die Nase voll. Eine neue Registrierung abzuschließen ist pure Überwindung – häufig wegen der gehimzuhaltenden Phrase.
Die guten, die schlechten und die sichersten Passwörter!
Passwörter wie 123456 hauen wirklich niemanden mehr vom Hocker. Die Spitzenreiter werden sich wohl auf alle Ewigkeit die ersten Plätze der Rangliste sichern. Die große Kritik ist nicht unbegründet – denn die „unsichersten Passwörter“ stammen schließlich aus diversen Datenhacks. Wer jedoch Passwörter wie Zahlenreihen entgegennimmt, der legt offensichtlich nicht viel Wert auf IT-Sicherheit. Und wer das nicht tut, den darf auch ein Datenhack nicht überraschen. Es gibt jedoch auch Beispiele, die sicher aussehen, es aber trotzdem nicht sind.
“Mb2.r5oHf-0t“ – Der Satiriker der noch nirgends auftaucht!
Der Postillion ist bekannt für Satire. Mitte 2014 kam das schmale Satiremagazin mit der Headline „IT-Experten küren MB2.r5oHf-0t zum sichersten Passwort der Welt“ um die Ecke – und sorgte damit für Lacher.
Der Aufruf, das Besorgte Nutzer das Passwort schnellstmöglich entsprechend der Empfehlung umsetzen sollen, sind jedoch nicht allzu viele nachgekommen. Knapp 6 Jahre später findet sich das Passwort in keinem Datendiebstahl. Ob das Passwort am Ende des Tages auch wirklich nicht verwendet wird, lässt sich abschließend nicht klären.
“ji32k7au4a83“ – der Klassiker!
Ein Passwort, das unknackbar aussieht. Doch im Gegensatz zu Mb2.r5oHf-0t wurde ji32k7au4a83 bereits 157x gestohlen (Stand Anfang 2020). Doch warum?
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— R (@rqou_) March 1, 2019
Darauf machte im März letzten Jahres Robert Ou bei Twitter aufmerksam. Er entdeckte den ungewöhnlich Fund bei Haveibeenpwned. Recht schnell folgte die Antwort: Es handelt sich um eine Übersetzung aus dem Zuhyin-Fuhao-System (Bopomofo). Wem das nichts sagt – dabei geht es um die Übersetzung von Mandarin in lateinische Zeichen. Auf Mandarin bedeutet ji32k7au4a83 so viel wie „My Password“. Kürzt man das „My“ heraus, so bleibt nur „au4a83“ übrig. Diese Zahlenkombination ist 1.543x gestohlen worden.
“p/q2-q4!“ – 40 Jahre und 4 Tage später!
Eine uralte /etc/passwd sorgte für die Entdeckung dieses Passwortes. Ken Thompson, unter anderem Co-Erfinder von Unix, sowie der Sprache B und Go, hatte in der besagten Liste ebenfalls ein Passwort, das nach 40 Jahren noch nicht geknackt war. Und das, obwohl die verwendeten Hashes längst als unsicher deklariert worden waren. Zahlreiche Versuche der Vergangenheit, das Passwort zu knacken, schlugen fehl.
Ein Grund: Die damalige Hardware war im Stande Passwörter bestehend aus Kleinbuchstaben und Ziffern zu testen bzw. zu generieren. 5 Jahre später – 2019 – schnappte sich Nigel Williams eine AMD Radeon Vega64 und jagte die auf den Hash. Die Grafikkarte schaffte ganze 930 Millionen Hashes pro Sekunde. Das Passwort zu knacken nahm am Ende über vier Tage in Anspruch. Und auch wenn das Ergebnis wie zufällig aussieht – das ist es nicht. Es handelt sich bei P/q2-q4! um eine weniger gängige Notation beim Schach. Die Eröffnung selber war übrigens gängig.
Sichere Passwörter bleiben über Jahre bestehen und sind nur mit erheblichem Aufwand zu knacken!
Alle hier aufgeführten Passwörter sollten natürlich nicht mehr verwendet werden. Doch eines zeigt sich bei den Beispielen deutlich: Die Sicherheit eines Passwortes lässt sich von außen nur schwer beurteilen. Wie so oft kommt es auf die Inneren Werte an.
Heutzutage gibt es viele Tricks mit Passwörtern umzugehen. Eine beliebter werdende Möglichkeit ist die Verwendung von Passwort Managern. Damit ließe sich auch die Mehrfachverwendung von Passwörtern stark eingrenzen. Stiftung Warentest hat erst kürzlich getestet und u.a. KeePass auf das Podest gehoben. Aber auch die Verwendung von sogenannten Kryptonizern kann es Anwenderinnen und Anwendern leicht machen, sich Passwörter zu merken. Dafür nimmt man sich ein einfaches Wort und übersetzt es mit Hilfe der Passwort-Schlüsselkarte in ein komplexes Passwort. Auf passwort-ausdenken.de kann sich jeder seinen eigenen Kryptonizer ausdrucken.
Ein bedeutenden Mehrgewinn an IT-Sicherheit wird durch die Zwei-Faktor-Authentifizierung erzeugt. Auch wenn der Angreifer ein Passwort erfolgreich gestohlen hat, muss er nun noch im Besitz des zweiten Faktors gelangen. Nicht jeder Anbieter stellt die Möglichkeit bereit, diesen zweiten Faktor zu aktivieren. Wer welchen Faktor anbietet, könnt ihr auf der Projektseite zweiter-faktor.de nachschlagen. Einmal aktiviert, ist die Hürde für die meisten Angreifer zu hoch. Die einzige Ausnahme bildet hier der online Banking Bereich. Hier geben sich die Kriminellen gerne etwas mehr Mühe. Das sieht man am geknackten SMS TAN Verfahren. Sich eine sichere Geheimphrase auszudenken kann herausfordernd sein. Eine gute Strategie sich auch ein komplexes Wort bzw. Phrase zu merken, ist die Passsatz Methode. Dafür nimmt man sich einen Satz.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Es gibt noch andere Möglichkeiten der sicheren Erstellung von Kennwörtern!
Mit der Hilfe von Kryptonizern lassen sich einfache Wörter in komplexere, zufällige Wörter übersetzen. Kryptonizer hingegen sind eigentliche physische Werbegeschenke. Mittlerweile gibt es Websites, auf denen sich jeder kostenfrei eine Karte zur Erstellung von Passwörtern herunterladen und ausdrucken kann. Ist der Wechsel nicht mehr regelmäßig gefordert, so kann auch der Weltpassworttag verschwinden. Das wird aus manchen Bereichen der Szene gefordert.
Auch ein Passwort Manager ist eine gute Lösung, um seine Kennwörter sicher zu speichern. Hier hat Stiftung Warentest drei Testsieger gekürt. Darunter der beliebte und vor allem kostenfreie Open Source Passwort Manager KeePass. Mit so einem Passwort Manager ist auch die Änderung alle 90 Tage kein Problem. Am Ende muss sich schließlich nur das Master Passwort gemerkt werden. Wem das noch nicht genug Tipps sind, der kann sich kostenfrei unsere Top 10 IT-Security Tipps herunterladen.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
