Sichere Passwörter

Sicherheit ist leicht erreicht

Datensicherheit ist nicht nur in Zeiten von Home Office ein wichtiges Thema. Ob E-Mail, Online-Shopping, Karriereportal oder Cloud: Wer seine Daten schützen möchte, ist auf sichere Passwörter angewiesen.

Um sichere Passwörter zu finden, lohnt es sich zu verstehen, wie Hacker Passwörter knacken. Im Folgenden zeigen wir zwei häufig von Hackern genutzte Methoden.

Die erste Methode wird „Brute Force“ genannt. Bei ihr probieren Hacker alle möglichen Kombinationen der Reihe nach durch. Mit dieser Methode findet man sicher jedes Passwort. Sucht man zum Beispiel ein Passwort mit fünf Zeichen und nur Kleinbuchstaben, beginnt man bei aaaaa. Dann folgt aaaab, aaaac bis man bei zzzzz ist.

Nutzt man längere Passwörter mit Großbuchstaben, Zahlen und Sonderzeichen, steigt die statistische Möglichkeit der Kombinationen schnell an. Hierdurch wird eine Entschlüsselung mittels Brute Force unpraktikabel.

Zweite Methode: „Dictionary Attacks“. Durchprobiert werden Kombinationen von Wörtern bzw. Zeichengruppen. Die meisten Menschen verwenden ganze Wörter und Zahlenkombinationen, da sie sich deutlich besser merken lassen. Eines der weltweit am häufigsten verwendeten Passwörter ist zum Beispiel „password1“. Dictionary Attack kombiniert Wörter, Zahlen oder Zeichengruppen. Die Grundlage kann zum Beispiel ein Wörterbuch sein oder auch eine Liste an bekannten, häufig verwendeten Passwörtern. Diese Listen beinhalten auch Passwörter, die sich aus einer Reihenfolge auf der Tastatur ergeben (z. B. QWERTZ, 1q2w3e4r). Für einen Menschen ist das Durchgehen aller Kombinationen ein riesiger Aufwand, für Computer lässt sich das jedoch gut automatisieren.

Auch können Passwörter geknackt werden, die trickreich verfremdet wurden. „ElbeSchloss9753“ kann mit Zahlen und Sonderzeichen in „€lbe$chloss9753“ und beim Wechsel von Groß- und Kleinschreibung in „ElBeScHlOsS9753“ verändert werden.

Einige User verwenden das gleiche Passwort für unterschiedliche Seiten und hängen ein Kürzel für die jeweilige Internetseite an:
z. B. ElbeSchloss9753fb für Facebook.

Da sich solche Regeln gut beschreiben lassen, sind jedoch auch sie leichte Beute für Hackerprogramme.

Wie aber findet man sichere Passwörter?

Beispielsweise mit „Diceware“ (Anmerkung: Eine Kombination aus dem Englischen „Dice“ – Würfel und Software). Man würfelt z. B. sechs Zahlengruppen von je fünf Zahlen und schaut dann in einer Diceware-Liste nach, für welches Wort die Zahlengruppe steht. Für die Zahlengruppen:
„13165-12326-26524-16235-23252-31531“
könnten die dazugehörigen Worte:
„segeln-Sonne-oft-Teil-gut-über“
sein. Solche Listen bieten zum Beispiel Forschungseinrichtungen im Internet an, sie sich mit der Entwicklung sicherer Passwörter beschäftigen.

Diese lassen sich zwar theoretisch wieder über eine Dictionary Attack finden, jedoch gibt es viel mehr Wörter als Zeichen, wodurch die mögliche Anzahl schnell so groß wird, dass eine Entschlüsselung Jahre dauern würde.

Eine weitere sichere Methode zur Passwortgenerierung ist die Verwendung der Anfangsbuchstaben eines Satzes. Dazu denkt man sich einen Satz aus, den man sich gut merken kann, und man verwendet immer nur die ersten Buchstaben. Zum Beispiel: „meine Tante geht jeden 3. Sonntag zum Brunch bei Kalle und Tina“. Die Anfangsbuchstaben ergeben: „MTgj3SzBbKuT“.

Nimmt man hier noch Ersetzungen durch Zahlen oder Zeichen vor, erhöht das die Komplexität drastisch, da ein Hacker den zugrunde liegenden Satz nicht kennen kann und weil der Satz sich nicht über Regeln abbilden lässt. Dies führt etwa zu :
„MT9j3$zBbK+T“.

Mit der Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Passwörter mit einer Länge von mindestens acht Zeichen. Verwendet man ganze Wörter, sollten es mindestens sechs Wörter sein.

Außerdem ist es empfehlenswert, einen Passwortmanager zu verwenden (bieten Anti-Viren-Programme mit an), sodass man sich nur ein wirklich sicheres Passwort merken muss, weil alle anderen Passwörter dann automatisch generiert werden können. Diese können dann problemlos 24 Zeichen lang sein, da man sie sich ja nicht merken muss.

Mittlerweile wird sogar davon abgeraten, Passwörter regelmäßig zu ändern. Denn das häufige Wechseln hat dazu geführt, dass die gewählten Passwörter meist einfacher oder untereinander ähnlich sind. Es gilt die Faustregel: lieber einmal ein gutes Passwort wählen, als ein schlechtes regelmäßig zu ändern.

Empfehlungen findet man beim Bundesamt für Sicherheit in der Informationstechnik auf der Webseite bsi.bund.de, wenn man dort „sichere Passwörter gestalten“ ins Suchfeld eingibt.
Johannes Schürmann