RUB » Stabsstellen » Stabsstelle für Informationssicherheit

Bild1 Bild2 Bild1 Bild4

Sichere Passwörter

Eine der gängigsten Methoden, sich gegenüber Internetapplikationen (z.B. einem Internetshop), Computersystemen oder Netzwerken als berechtigter Benutzer zu authentifizieren, ist die Verwendung einer Kombination aus LoginID und Passwort. Obwohl es dazu inzwischen wesentlich sicherere Methoden wie zum Beispiel eine Zwei-Faktor-Authentifizierung gibt. Das Passwort schützt dabei persönliche, vertrauliche Daten. Damit es wirklich einen angemessenen Schutz bieten kann, müssen einige Regeln zur Passwortwahl berücksichtigt werden.

Was ist ein unsicheres Passwort?

Oft werden einfach nur Namen der Liebsten, der Familie oder der Haustiere als Passwort verwendet, auch Telefon- oder Kontonummer sowie Teile der E-Mail-Adresse, des Namens oder der LoginID sind beliebte Passwörter. Jedoch können gerade solche Passwörter besonders einfach erraten werden!
Weitere unsichere Passwörter:

  • einfache Zeichenketten von der Tastatur, z.B.: qwert, asdf, wsxedc, etc.
  • einfache Ziffernfolgen: 12345, 98765, 123321, etc.
  • einfache Wörterbucheinträge: haus, hund, passwort
  • Geburtsjahre, Geburtstage

Wieso ist ein Passwort mit 4 Zeichen unsicher?

Um sich unberechtigt Zugang zu Benutzerkonten zu verschaffen, versuchen Angreifer Passwörter automatisiert zu ermitteln. Dies gelingt nicht so gut, wenn das Passwort nur online z.B. über eine Eingabemaske eingegeben werden kann. Hier läuft er Gefahr, dass seine vergeblichen Anmeldeversuche beim Austesten der Passwörter entdeckt werden. Außerdem werden die meisten Systeme mehrfache Fehlanmeldungen mit der Sperrung des Benutzerkontos quittieren. Es versteht sich von selbst, dass die Übertragung des Passworts zwischen Benutzerarbeitsplatz und Server nur dann sicher ist, wenn die Datenverbindung hinreichend stark verschlüsselt wird. Während dies bei HTTPS-Verbindungen oder SSH-Verbindungen der Fall ist, wird das Passwort z.B. bei Anmeldung an einen FTP-Server im Klartext übertragen.

Andere Anmeldeverfahren (Challenge-Response-Verfahren) verwenden schwache Verschlüsselungen (i.a. Hashverfahren), um das Passwort nicht im Klartext über die Datenverbindung schicken zu müssen. Dies ermöglicht einem Angreifer durch Ausspähen (Sniffen) des Datenverkehrs an einen Passwort-Hash zu gelangen und völlig unbemerkt eine Offline-Attacke zur Ermittlung des Passwortes zu starten.

Es gibt dazu mehrere Methoden:

  • Die einfachste und gängigste Methode, ein Passwort herauszufinden, ist der Wörterbuchangriff. Hierbei wird versucht, das Passwort durch Vergleich mit Einträgen gängiger Wörterbücher zu ermitteln. Oftmals enthalten diese Wörterbücher Passwörter aus gestohlenen Passwort-Datenbanken. Die von Angreifern verwendeten Werkzeuge berücksichtigen dabei bereits, dass oft Ziffern an Worte angefügt oder vorangestellt werden. Auch einfache Substitutionen wie i durch 1, A durch 4 oder O durch 0 werden stellen dem Angreifer kein allzu großes Hindernis dar.

  • Eine andere Methode ist der Brute-Force-Angriff, bei der alle Kombinationen von Zeichen eines vorgegebenen Zeichensatzes durchprobiert werden. Für ein Passwort, das aus 4 Zeichen besteht, bedeutet dies 14.776.336 mögliche Kombinationen, wenn Groß- und Kleinbuchstaben sowie die Ziffern 0-9 verwendet werden (62 Zeichen). Ein Mensch würde sehr viel Zeit benötigen, um alle möglichen Kombinationen auszuprobieren. Ein PC hingegen braucht dazu nur wenige Sekunden.

Wie sollte ein sicheres Passwort aussehen?

Die „richtige“ Passwortlänge lässt sich nur sehr schwer angeben. Sie richtet sich sicherlich nach dem Schutzbedarf des Benutzerkontos aber auch danach, welche Art Attacken gegen das Passwort theoretisch möglich sind. Auch kann die Passwortlänge durch das System beschränkt sein. Ein Passwort sollte jedoch nie weniger als 8 Zeichen haben. Um den Zeichenraum möglichst groß zu halten, sollten Groß- und Kleinbuchstaben, Ziffern (0-9) und Sonderzeichen bei der Erstellung des Passworts verwendet werden.

Ein relativ sicheres Passwort könnte sein: D3j(L1?z&R2. Allerdings nützt das beste und komplizierteste Passwort nichts, wenn Sie es sich nicht merken können!

Wie merke ich mir mein Passwort?

Es gibt zwei einfache Möglichkeiten, sichere Passwörter zu erstellen und sich diese leicht zu merken. Bauen Sie sich Eselsbrücken und formen Sie beispielsweise Sätze zu Passworten um: Diese Kombination ist ein relativ sicheres Passwort = DKi1rsPw. Auch ein Satz mit mehreren Wörtern und Satzzeichen, den Sie gerne mögen – beispielsweise eine Zeile aus einem Gedicht - kann verwendet werden. Aus „Wer reitet so spät durch Nacht und Wind? Es ist der Vater mit seinem Kind;“ (Erlkönig – Johann Wolfgang von Goethe) wird dann = WrssdNuW?EidVmsK;.

Was ist mit Passwörtern aus biometrischen Daten?

Authentifizierungsverfahren, die biometrische Daten abfragen, wie zum Beispiel der Fingerabdrucklesegerät am Notebook oder die Gesichts- und Spracherkennung am Smartphone scheinen auf den ersten Blick bombensicher zu sein und müssen vom Anwender nicht aufwendig gemerkt werden. Denn schließlich trägt man seinen einzigartigen Fingerabdruck immer bei sich und niemand sonst kann einem die Stimme nachmachen.

Tatsächlich gibt es jedoch bereits Angriffe auf die genannten Verfahren. Der Fingerabdruck, den wir eigentlich überall hinterlassen, sei es auf der Türklinke oder auf dem Kaffeebecher, erlaubt es Angreifern ein Abbild des Fingerabdrucks zu erstellen. Viele gängige Fingerabdrucklesegeräte sind nicht in der Lage zwischen echtem Finger und nachgemachtem Abdruck zu unterscheiden. Auch die Stimme kann einfach aufgenommen und abgespielt werden und der Gesichtserkenner lässt sich mit einem Foto täuschen. Es empfiehlt sich daher für Systeme mit Sicherheitsanforderungen solche Authentifizierungsverfahren nicht zu verwenden.

Informationen findet man unter:

LoginID Passwort ändern

Wie Sie das Passwort Ihrer LoginID ändern können lesen Sie hier.

Bild: iStockphoto.com/PN_photo

Weitere Tipps

  • Man sollte nie gleiche Passwörter für lokale Benutzerkonten und Online-Konten verwenden. Allgemein empfiehlt es sich, für jede Anwendung ein anderes Passwort zu vergeben. Wird das Passwort einer Anwendung durch einen Angreifer ermittelt, bleibt dennoch der Zugriff auf eine andere Anwendung weiterhin verwehrt.
  • Nutzen Sie nur Dienste, die über eine stark verschlüsselte Verbindung angeboten werden.
  • Kleben Sie ihr Passwort nicht auf den Monitor oder unter die Tastatur. Generell sollten Sie Ihr Passwort nicht aufschreiben.
  • Achten Sie darauf, dass Ihnen bei der Eingabe des Passwortes niemand zusieht.
  • Speichern Sie Ihr Passwort nicht auf dem Computer.
  • Teilen Sie Ihr Passwort keinen Dritten mit. Verschicken Sie Ihr Passwort nicht über E-Mail.
  • Wechseln Sie Ihr Passwort regelmäßig.