Sie sind immer wieder in den Nachrichten. Häufig leicht zu knacken und die Top 10 besteht sehr oft aus „123456“.
Gut, „immer wieder“ ist gerade überzogen, aber zumindest einmal jährlich werden von IT-Security-News-Outlets wie „Netzpiloten“ oder „t3n“ die meistgewählten Passwörter gekürt. Unter den erwarteten Beiträgen wie „123456“, „password“ oder „letmein“ spiegelt sich darin ein kleines Problem wider:
Der Sinn von Passwörtern wird oft nicht von den Nutzern wiedergegeben.
Passwörter sollen nicht nur eure Facebook-Accounts schützen, sondern auch euer System, euren Zugang zum Online-Banking und generell alles, was mit Geld zu tun hat, sollte unbedingt mit einem starken Passwort gesichert werden.
Was ist ein starkes Passwort?
Keins.
Das Konzept „Passwort“ in sich ist zu unsicher.
Eigentlich sollte man gar aufhören, von „Passwörtern“ zu reden.
Aber wie sieht ein sicheres „Passwort“ aus?
Okay, ich erkläre es:
Klein- und Großbuchstaben, Zahlen und gerne Satzzeichen.
"Aber das habe ich doch schon!"
Aber noch nicht so wirklich richtig.
Ich verwende zwei Arten von „Passwörtern“.
Sätze und Generatoren.
Satzbeispiel
:
HaitugaexistiertseitApril2013!
HaitublaEstablished.in2016
ThanksForTHE1nput-Jeff!
Ihr bemerkt das Schema. Der Sinn hinter „Passphrasen“ ist das Ausspielen von Wörterbuch-Angriffen. Diese Passphrasen sind nicht nur lang und brauchen ewig, bis sie geknackt sind, ein Brute-Force-Angriff verbraucht auch, umso länger die Passworteingabe dauert, exorbitant mehr Ressourcen. Jene eben erwähnten Angriffe beschreiben die Technik, womit ein Passwort geknackt werden kann. Ein Mix aus Sprachen und teils irrationales Setzen von Satzzeichen und Zahlen, machen eine Passphrase nicht nur lang, sondern auch ziemlich sicher.
Bei dem Satzbeispiel gilt aber: Der Mix macht’s!
Generatoren:
Hier scheiden sich die Geister. Als Nutzer einer Password-Vault (oder eines Passwort-Tresors auf Deutsch) kommen diese Tools oft mit Passwort-Generatoren. Jeder ist mal faul, auch ich. Aber so erspare ich mir zumindest das ganze Zusammenpuzzeln von wirr gesetzten Schriftzeichen.
Als Beispiel (24-Zeichen):
h0xxPXaE35A0eEWQRNdnm4u4
@UM$O6llC*#3eY&LZ6sWGi98
wESTiverLIgUnderEnTARIan
Es kann so einfach sein! In dem Beispiel nutzt mein Passwortgenerator drei verschiedene Einstellungen.
Von oben nach unten:
– Groß- und Kleinschreibung + Zahlen
– Groß- und Kleinschreibung + mind. zwei Zahlen & Satzzeichen
– Aussprechbar zum einfachen Merken (50% Rush-Hour auf Passwörter ab 23 Uhr!)
24 Zeichen sollten mehr als genug sein und auch schon als sehr sicher gelten. Was ich aber damit sagen will:
Man kann es sich auch einfach machen, dennoch ignorieren sehr viele einen zwei Sekunden lang dauernden Aufwand und riskieren dafür lieber ihre Urlaubsbilder, ihre Sicherheit oder ihren Kontostand.
Und das ist furchtbar schade.
[spoiler title=’Ach und…‘ style=’default‘ collapse_link=’false‘]Ich verwende keines der hier erstellten Passwörter. :P[/spoiler]
Quellen & Inspiration:
Edward Snowden on Passwords: Last Week Tonight with John Oliver (HBO) @ YouTube
Die 25 häufigsten Passwörter und PINs @ netzpiloten
Studie: Das beliebteste Passwort ist „123456“ @ zdnet
Die 10 meistgenutzten Passwörter 2016 @ t3n
HOW SECURE IS MY PASSWORD? @ hsip
Passwortgenerator von LastPass @ LastPass
Random Password Generator von avast @ avast
Wörterbuchangriff @ IT-Wissen
Brute-Force-Angriff @ IT-Wissen