[HowTo] Sichere Passwörter

[DMW007]

Heutzutage benötigt man als normaler User bereits eine relativ große Anzahl an Passwörtern.
Passwörter sind meist der einzige Schutz, um den Zugriff von unbefugten auf eMails, Facebook, Online-Banking & co zu verhindern.
Schlechte Passwörter sind meist die größte verwundbare Stelle in ihrem Sinn und Zweck.
Immer wieder werden Accounts aller Art missbraucht, weil unbefugte schlechte Passwörter knacken konnten.


Welche Faktoren entscheiden, ob ein Passwort sicher ist?

• Länge
• Verwendete Zeichenklassen (z.B. Groß/Kleinbuchstaben, mit oder ohne Zahlen etc)
• Handelt es sich um ein Klartextpasswort?
• Ist das Passwort leicht zu erraten? (z.B. Hans79 => Vorname + Geburtsjahr)

Wie kann mein Passwort geknackt werden?
Es gibt verschiedene Methoden.

Raten/SE:
Viele Passwörter sind leicht zu erraten, wie das Beispiel oben: Hans79
Es gibt bestimmte Muster für häufig verwendete Passwörter.
Dazu gehört z.B. der eigene Name in Kombination mit dem Geburtsdatum, das Lieblingshobby, die Namen von nahestehenden Personen etc.
Solche Passwörter kann jeder knacken, der sich (z.B. auf Facebook) genauer über die jeweilige Person informiert.

Schutz: Möglichst nicht offensichtlich/ausschließlich solche Daten in Passwörtern verwenden.

Brute-Force:
Hierbei wird das Passwort mit 'roher Gewalt' geknackt, d.H. man generiert Systematisch alle möglichen Kombinationen oder nutzt ein Wörterbuch.
Je länger das Passwort ist und umso mehr Zeichenklassen verwendet werden, umso schwieriger bis unmöglich wird es, ein Passwort via Brute-Force zu knacken!

Dies sieht man deutlich an der folgenden Grafik:



Schutz: Passwörter sollten lang genug sein und aus möglichst vielen Zeichenklassen bestehen.


Wie sieht also ein sicheres Passwort aus?

Ein sicheres Passwort sollte

• keinen Sinn ergeben
• lang genug sein (9 Zeichen aufwärts)
• verschiedene Zeichenklassen enthalten (idealerweise Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen)
• einzigartig sein (= ein Passwort nur für einen Dienst verwenden)

Das Problem bei einem solchen Passwort besteht natürlich darin, dass sich ein solches Passwort keiner mehr merken kann.

Für dieses Problem gibt es eine relativ simple, dafür aber geniale Lösung:
Man bildet sich einen Satz, den man sich merken kann. Von jedem Wort nimmt man die Anfangsbuchstaben, wie sie korrekt geschrieben werden (Groß/Kleinschreibung) und hat bei entsprechender Satzlänge ein sehr sicheres Passwort.

Beispiel:

Ich bin ein U-Hacks Mitglied seit 2011! => IbeUHMs2011!

Nun haben wir ein 12-Stelliges Passwort, bestehend aus Groß/Kleinbuchstaben, Zahlen und Sonderzeichen.
Damit ergeben sich 42 sextillionen Möglichkeiten.
Ausgehend von einem Desktop-PC, der 4 Billionen pro Sekunde berechnen kann, dauert es 333.000 Jahre alle Möglichkeiten zu berechnen (wohlgemerkt berechnen, das testen von so vielen Kombinationen dürfte insbesondere bei Webdiensten ein weiteres Problem darstellen).
So hat man ein relativ sicheres Passwort, dass man sich mithilfe des Satzes merken kann.

Die Sicherheit eines Passwortes kann zb hier getestet werden: How Secure Is My Password?


Komplette Sicherheit von Zugangsdaten

Wichtig für die Sicherheit des Zugangs ist jedoch nicht nur ein sicheres Passwort!
Euer Passwort kann 100 Zeichen lang sein und aus allen o.g. Zeichenklassen bestehen - wenn ihr euch leichtsinnigerweise einen Keylogger einfangt oder das Passwort auf Fakeseiten eingebt, bringt es euch nichts, dass euer Passwort in 92837492083402938409283490823984729384792834 Jahren erst geknackt wird.
Damit eure Zugangsdaten effektiv sicher sind, sollten daher folgende Grundregeln beachtet werden:

• Grundsätzlich bei allem den Verstand benutzen - Keinesfalls auf Virenprogramme, Firewalls o.Ä. verlassen!
• Einzigartige Passwörter verwenden - dasselbe Passwort überall zu nutzen ist unsicher! (Einmal geknackt => Zugriff auf alles)
• Passwörter möglichst nicht abspeichern (z.B. im Browser) - Wenn es doch nötig ist, sind Passwortmanager eine bessere Alternative
• Passwörter in regelmäßigen Abständen ändern
• eMail-Konten besonders absichern, da man auf vielen Seiten ein neues Passwort per eMail senden kann
• Geheimfragen sollten nie die korrekten Antworten auf die Fragen enthalten

Zum Schluss

Noch eine Statistik von ZoneAlarm über die am meisten verwendeten Passwörter, die man alleine schon aus diesem Grund nicht verwenden sollte.
Im großen und ganzen wird das hier vorgestellte dort auch nochmal auf Englisch erwähnt.

Spoiler:

Quelle: http://www.zonealarm.com/blog/index....rld-of-hackers

[Runix]

It would take a desktop PC about 11 minutes to crack your password

Erschreckend, direkt Passwort ändern.

[Devon]

It would take a desktop PC about
3 hours
to crack your password

ok good.

Einen einfachen aber guten Passwort-Generator findet ihr übrigens hier.

[!lkay]

bringt es euch nichts, dass euer Passwort in 92837492083402938409283490823984729384792834 Jahren erst geknackt wird.

leichte Hyperbel

It would take a desktop PC about
61 trillion years
to crack your password

Da muss ich mir ja gar keine Sorgen machen, wenn ich verschiedene, (meiner Meinung nach auch sichere) Passwörter überall verwende. Ist ja jetzt nur das Passwort von meinem U-Hacks Account.

Ich habe da noch eine Frage, was ist mit den Passwörter, die Smileys enthalten? Damit sind Smileys wie diese gemeint: ♪ ♫ ♩ ♬ ♥ ♀ ♂.. - die, die man mit der Tastatur machen kann. Wäre dann zum Beispiel das Passwort 'IbeUHMs2011!♪ ♫ ♩ ♬ ♥ ♀ ♂' in diesem Fall sicherer als 'IbeUHMs2011!'?

[hYpercrites]

man hätte vielleicht noch runter-rechnen sollen, wie erheblich schneller es geht, wenn man seine GPU (via CUDA/OpenCL) so ein passwort knacken ließe... dies ginge natürlich um eeeeiniges schneller als mit der CPU.

also verlasst euch da lieber nicht auf ein paar tausend jahre.

//E:

Ich habe da noch eine Frage, was ist mit den Passwörter, die Smileys enthalten? Damit sind Smileys wie diese gemeint: ♪ ♫ ♩ ♬ ♥ ♀ ♂.. - die, die man mit der Tastatur machen kann. Wäre dann zum Beispiel das Passwort 'IbeUHMs2011!♪ ♫ ♩ ♬ ♥ ♀ ♂' in diesem Fall sicherer als 'IbeUHMs2011!'?

in der oberen grafik ist doch auch ein punkt wo steht "Alle ASCII-Zeichen", die fallen auch darunter

[XChunk]

Ich habe da noch eine Frage, was ist mit den Passwörter, die Smileys enthalten? Damit sind Smileys wie diese gemeint: ♪ ♫ ♩ ♬ ♥ ♀ ♂.. - die, die man mit der Tastatur machen kann. Wäre dann zum Beispiel das Passwort 'IbeUHMs2011!♪ ♫ ♩ ♬ ♥ ♀ ♂' in diesem Fall sicherer als 'IbeUHMs2011!'?

Die meisten Bruteforce Datenbanken und Listen haben nur Zeichen von A-Z,a-z,0-9 und Satzzeichen, ggf. noch Zeichen wie §$%&/()=. Aber dann wars das eigentlich auch schon. Solltest du wirklich die o.g. Zeichen benutzen, bist du definitiv auf einer sicheren Seite!

[nawh]

Das hier ist ein HowTo Thread und kein "wie lange dauert es"-thread, also hört auf das zu posten. Ist immerhin spam.

[DMW007]

Eben.
In den Thread ab sofort nur noch Fragen zum Thema.

man hätte vielleicht noch runter-rechnen sollen, wie erheblich schneller es geht, wenn man seine GPU (via CUDA/OpenCL) so ein passwort knacken ließe... dies ginge natürlich um eeeeiniges schneller als mit der CPU.

How Secure Is My Password? geht von 4 Milliarden Passwörtern pro Sekunde aus. Dieser Wert ist für einen Desktop-PC - nennen wir es mal sehr optimistisch.
Ta1lor hat gestern einen Testlauf gemacht und kam auf 219.000 pro Sekunde, das halte ich für einen Desktop-PC representativer als die auf der Seite angegebenen 4 Milliarden.
Daher dauert das bruten in der Praxis deutlich länger als auf der Seite angegeben, was wiederum heißt, dass die Passwörter sicherer als angegeben sind - also kein negativer Effekt, im Gegenteil.

Eine nVidia GeForce GTX 460 schafft um die 500 Millionen pro Sekunde, mit top Grafikkarten ist auch noch mehr möglich sein.
Aber man muss bedenken, dass man mit 500 Millionen Passwörtern nicht mal eben z.B. auf HTTP-Basis bruten kann, sowieso nicht mit dem DSL-Anschluss zuhause.

Die meisten Bruteforce Datenbanken und Listen haben nur Zeichen von A-Z,a-z,0-9 und Satzzeichen, ggf. noch Zeichen wie §$%&/()=. Aber dann wars das eigentlich auch schon.

Früher hat man Wordlisten benutzt, die auf Wörterbüchern, häufig verwendeten Passwörtern oder einer Kombination aus beidem bestehen.
Mittlerweile nutzt man eher Algorithmen, die auf Basis einer oder mehreren Zeichenklassen und einer angegebenen maximalen Länge alle möglichen Kombinationen generieren.
Theoretisch ist also auch ein 50 Zeichen langes Passwort brutbar, dass aus Groß/Kleinbuchstaben, Zahlen und Sonderzeichen besteht.
Nur das würde halt selbst mit aktuellen Spitzen-GPUs so lange dauern, dass es keinen Sinn machen würde.

[Minecraft]

Ich habe da noch eine Frage, was ist mit den Passwörter, die Smileys enthalten? Damit sind Smileys wie diese gemeint: ♪ ♫ ♩ ♬ ♥ ♀ ♂.. - die, die man mit der Tastatur machen kann. Wäre dann zum Beispiel das Passwort 'IbeUHMs2011!♪ ♫ ♩ ♬ ♥ ♀ ♂' in diesem Fall sicherer als 'IbeUHMs2011!'?

Glaube ich mal nicht.
Außerdem ist das doch viel zu stressig jedes mal die Zeichentabelle von Windows zu suchen und dann den Smiley in das Passwortfeld zu kopieren

[patlux]

dann den Smiley in das Passwortfeld zu kopieren

Man kann die auch mittels "Alt + [Zahlenkombination]" einfügen.
Und sicherer wird das Passwort auf jeden Fall. Jedoch reicht es auch Sonderzeichen wie %,&,$,§ etc. zu benutzen.