2 Wie sicher ist mein Passwort?

7
2 Wie sicher ist mein
Passwort? *
Passwörter sind nach wie vor das am meisten
gebrauchte Mittel zur Zugriffskontrolle. Ein gutes und sicheres Passwort enthält eine Kombination von Buchstaben, Zahlen oder Sonderzeichen (Beispiel: eye_con). Eine gute Methode,
um zu einem Passwort zu gelangen, ist der
»Pass-Satz«. Hierbei sucht man sich einen beliebten Satz aus einem Buch oder Film, den
man sich gut merken kann, und bildet aus
den Anfangsbuchstaben der Wörter sein Passwort. Es darf sich jedoch nicht um die Abkürzung eines bekannten Spruches handeln,
und niemand darf diesen Satz mit dem Benutzer in Verbindung bringen können. Die
sorgfältige Passwort-Wahl ist nötig, da sogenannte Passwort-Knack-Programme versuchen,
mit verschiedenen Entschlüsselungstechniken
Passwörter aufzuspüren. Mit umfangreichen
Wortlisten werden Passwort-Dateien Wort für
Wort abgeglichen, bis Übereinstimmungen vorhanden sind. Zusätzlich wenden sie Regeln an,
die selbst geschickte Ideen bei der PasswortAuswahl aushebeln. Wörter werden umgedreht,
Zahlen werden mit Wörtern kombiniert, und die
Groß- und Kleinschreibung wird variiert.
Basistext
8
2 Wie sicher ist mein Passwort? *
»In New York flog Mitte der Neunziger ein illegales
Wettbüro der Mafia auf. Zehntausende Wettscheine
lagen passwortgeschützt auf einer Festplatte. Doch
für die Mafiakenner war das Codewort des Mafioso leicht zu erraten: der Vorname seiner Mama.«
/Schmundt, Seidler 01, S. 204/
Beispiel
Motivation
Mitarbeiter, die sich im Computersystem ihrer Firma anmelden (einloggen), benötigen hierfür ein persönliches Passwort. Sogenannte Hacker haben ein
großes Interesse daran, an diese Passwörter zu gelangen, um von außen Zugang zum Firmennetz zu
erhalten. So ist es Aufgabe des Systemadministrators, die Passwort-Aufbewahrung und -Übertragung
zu sichern. Andererseits ist es aber auch Ihre Aufgabe als Mitarbeiter einer solchen Firma, sich ein sicheres und gutes Passwort auszuwählen. Eine der größten Gefahren für Firmen-Systeme ist, dass Benutzer häufig leicht zu erratende Passwörter auswählen,
sie eventuell sogar aufschreiben oder an Kollegen
mailen. Sie erfahren hier, was Sie bei der PasswortAuswahl vermeiden sollten und wie Sie ein sicheres
Passwort finden können.
PasswortKnacker
Passwort-Knacker sind kleine Programme, mit deren Hilfe Passwörter relativ leicht ermittelt werden können. Sie enthalten zum Beispiel umfangreiche Wortlisten, anhand derer Passwörter ausprobiert
werden. Mit sehr hoher Geschwindigkeit wird Wort
für Wort, Zeichenkette für Zeichenkette getestet, bis
das richtige Wort, das mit einem Passwort übereinstimmt, gefunden wird. Zusätzlich gibt es noch
Basistext
9
2 Wie sicher ist mein Passwort? *
spezielle Regeln, die von diesen Programmen angewandt werden, zum Beispiel:
eine Kombination von Groß- und Kleinschreibung,
jedes Wort auch rückwärts lesen,
Wörter zusammensetzen, die vorwärts und rückwärts gelesen identisch sind, z.B. bassab, rentner,
Zahlen einsetzen, jeweils am Anfang, in der Mitte
und am Ende eines Wortes (Abwechseln von Buchstaben und Zahlen) usw.
Diese Liste von Regeln ist beliebig erweiterbar, und
es gibt immer umfassendere Regeln und Wortlisten.
Um ein sicheres und gutes Passwort auszuwählen,
braucht es also Geschick.
Da Passwort-Knacker mit Wortlisten arbeiten, sind alle Wörter zu vermeiden, die in Wörterbüchern auffindbar sind. Das Gleiche gilt für:
schlechte
Passwörter
ausländische Wörter,
alle Arten von Namen (Personen, Städte, Gebäude,
Comic-Figuren etc.),
Computernamen und Benutzerkennungen,
Geburtsdaten und Telefonnummern,
Abkürzungen,
Tastaturfolgen (qwertz, asdf),
Anfangsbuchstaben von bekannten Sprichwörtern
(wrssdnuw = wer reitet so spät durch nacht und
wind).
Wort-Modifikationen sollten vermieden werden, da
sie genau den Regeln entsprechen, nach denen Passwort-Knacker arbeiten (peter09, retep, %peter).
Basistext
10
2 Wie sicher ist mein Passwort? *
Erfinden Sie ein Passwort, an das Sie sich leicht
erinnern, das aber niemand so leicht erraten kann.
Tipp
gute
Passwörter
Ein gutes und sicheres Passwort können Sie sich
leicht merken und müssen es deshalb nirgends
aufschreiben. Sie sollten in der Lage sein, es so
schnell zu tippen, dass es niemand mit einem Blick
über Ihre Schulter erhaschen kann. Zusätzlich sollte
ein Passwort – wenn möglich – aus mehreren Zeichen bestehen.
Methode 1:
Der »Pass-Satz«
Sie sollten sich einen Satz suchen, der für Sie eine
besondere Bedeutung hat und deshalb bei der Passwort-Auswahl von Nutzen sein wird. Der Satz kann
aus einem beliebten Buch oder einem Lied stammen,
an das Sie sich mit Leichtigkeit erinnern. Es könnte
sich auch um eine Tatsache handeln wie zum Beispiel ein Geburtstag, den sonst niemand kennt. Insgesamt sollten Sie sich leicht an Ihren »Pass-Satz« erinnern können, und niemand sollte in der Lage sein,
ihn mit Ihnen in Verbindung zu bringen. Sie erhalten
dann Ihr Passwort durch die Aneinanderreihung der
ersten Buchstaben der jeweiligen Wörter dieses persönlichen Satzes. Bei einer Erneuerung des Passwortes können Sie zum Beispiel die zweiten Buchstaben
der jeweiligen Wörter benutzen.
Beispiel
Basistext
Der »Pass-Satz« lautet:
My Grandfather’s Birthday Is July (7th month),
Twenty Fifth, Nineteen Twenty one (1).
Das Passwort würde so aussehen:
mgbi7tfnt1
11
2.1 Alternativen zum Passwort *
Wenn Sie nach einiger Zeit das Passwort ändern,
können Sie die zweiten Buchstaben der Wörter Ihres Satzes einsetzen:
yris7wiiw1
Sie suchen sich zwei kurze Wörter und kombinieren
sie mit einem Sonderzeichen oder einer Zahl (z.B. robot4my, eye-con, kein_wort).
Methode 2:
Kombination
Vorsicht bei Zeichenketten wie all4one oder tea4two.
Aufgrund ihrer Bedeutung sind sie leichter zu erraten.
Sichere Passwörter behält man oft schlecht im Gedächtnis. Außerdem muss man sich heute eine Menge von Passwörtern für die verschiedenen Zwecke
merken. Hilfreich ist daher ein Passwort-Tresor,
der die Passwörter verschlüsselt auf der Festplatte
speichert, so dass man sich nur noch ein Passwort
merken muss.
PasswortTresor
Ein Beispiel für ein solches kostenloses Programm
ist Password Safe (http://passwordsafe.sourceforge.
net) (siehe Abb. 2.0-1).
/anonymous 01, S. 319-347/
2.1
Literatur
Alternativen zum Passwort *
Für die Zugangs- und Zugriffskontrolle werden heute eine Reihe weiterer Methoden eingesetzt, die eine
höhere Sicherheit bieten als Passwörter, die u. U. ab-
Box