Gastkommentar: Der beste Passwortgenerator? Sie selbst! Gastkommentar: Der beste Passwortgenerator? Sie selbst! - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


24.11.2014 Andy Green*

Gastkommentar: Der beste Passwortgenerator? Sie selbst!

Mal ehrlich: Wenn es darum geht, neue Passwörter zu erfinden, sind wir alles andere als kreativ. Sie sind zu kurz, zu offensichtlich, und Hacker sind geübt darin, sie zu entschlüsseln – entweder durch schlichtes Raten oder mithilfe von Passwort-Hashes aus umfangreichen, vorberechneten Tabellen.

Andy Green, Senior Digital Content Producer, Varonis

Andy Green, Senior Digital Content Producer, Varonis

© privat

Wie schlecht sind unsere kollektiv vorhandenen Erfindungskünste in Sachen Passwörter wirklich? Lesen Sie selbst. Bei einem riesigen Datendiebstahl bei RockYou im Jahr 2009 wurden 32 Millionen unverschlüsselte – ja, das hat mich auch schockiert – Passwörter gestohlen und ins Internet gestellt. Wir haben nun eine relativ klare Vorstellung davon, wie einfallslos die Allgemeinheit an dieser Stelle sein kann.

RISKANTE BEQUEMLICHKEIT
Es ist wenig überraschend, dass "123456" das beliebteste Kennwort war, das fast 300.000 Nutzer ausgewählt hatten, gefolgt von den üblichen Verdächtigen: "password", "iloveyou" und "rockyou", der Name des Online-Gaming-Dienstes selbst.

Das Motiv dahinter durchaus verständlich: Bequemlichkeit. Nachdem ich die RockYou-Dateien durchgesehen habe, kann ich sagen, dass die folgende Formel alles andere als originell ist: <Ihr Name> + "boy" oder "girl" + <beliebige zweistellige Zahl>.

Hacker profitieren von unserem Wunsch nach Bequemlichkeit und stellen auf dieser Grundlage fundierte Mutmaßungen mit hoher Trefferwahrscheinlichkeit an.

Es wird nur wenig komplizierter, wenn sie eine Liste mit Passwort-Hashes in die Finger bekommen, wie es bei dem berühmt-berüchtigten Sicherheitsvorfall bei LinkedIn der Fall war. Mithilfe bestehender Passwortlisten und Wörterbücher mit häufig verwendeten Wörtern lassen sich riesige Tabellen vorberechnen und Passwörter mit Hashwerten verknüpfen. Nach einem kurzen Reverse-Lookup ist die verschlüsselte Hash-Sequenz dann geknackt.

Ja, das Hinzufügen so genannter "Salts" hilft. Doch angesichts der enormen Rechenleistung, die dem Durchschnittshacker zur Verfügung steht sind inzwischen Offline-Brute-Force-Attacken möglich.

JE LÄNGER, DESTO BESSER
Eine offensichtliche Möglichkeit, Hackern das Leben zu erschweren ist es, schlicht längere Passwörter zu verwenden. Informationstheoretisch gesprochen geht es darum die Informationsentropie zu erhöhen.

Warum machen ein paar Zeichen mehr in einem Passwort einen so großen Unterschied? Das hat mit der Kraft des exponentiellen Wachstums zu tun.

Sagen wir, für die Wahl Ihres Passworts stehen Ihnen Groß- und Kleinbuchstaben (52 Möglichkeiten), Zahlen (10) und die sämtliche Interpunktionszeichen sowie sonstige alphanumerische Symbole (etwa 13) zur Verfügung. Durch ein zusätzliches Zeichen in Ihrem Passwort ergeben sich in Summe also 75 neue Möglichkeiten.

Bei einem sechsstelligen Kennwort gibt es 75 hoch sechs Möglichkeiten, also über 200 Milliarden. Im Zeitalter von Big Data ist das keine wahnsinnig große Zahl. Mit zwei Zeichen mehr stehen die Hacker vor einer Billiarde Möglichkeiten – das sind tausend Billionen.

Mit längeren Kennwörtern – ab etwa acht bis zehn Zeichen – sind Attacken, die auf dem Erraten von Passwörtern basieren von vornherein zum Scheitern verurteilt. Und Hacker, die eine Datei mit Passwort-Hashes ergattert haben, stünden vor einem ernsthaften Rechnerproblem.

EINFACHE, LANGE PASSWÖRTER

Wir Menschen sind tatsächlich in der Lage, uns lange Kennwörter auszudenken. Die Technik, die ich nun vorstelle, basiert auf einer altmodischen Gedächtnisstütze: der Eselsbrücke.

Die Idee dahinter ist, eine Geschichte zu erfinden und daraus Buchstaben und Symbole zu generieren. Ich weiß, dass ich samstags bestimmte Besorgungen machen muss. Ich verwende also die folgende Geschichte: Jeden Samstag um 10 Uhr gehe ich zur Reinigung und hole meine 2 Hemden ab.

Aus diesem Satz nehme ich den ersten Buchstaben jedes Worts, um mein langes, nicht zu entschlüsselndes Kennwort zu generieren: JSu10UgizRuhm2Ha. Dieses Passwort könnte ich mir normalerweise niemals merken. Doch dank der kleinen Geschichte kann ich es in Sekundenschnelle rekonstruieren. Sie können Ihrer Kreativität freien Lauf lassen.

Ihre Aufgabe ist nun also der gute Vorsatz fürs neue Jahr: Im Januar 2015 alle Passwörter ändern. Oder IAinadgVfnJ:IJ2015aPä.

* Andy Green ist Senior Digital Content Producer bei Varonis.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • catWorkX GmbH

    catWorkX GmbH mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr

Hosted by:    Security Monitoring by: