Sichere und komplexe Passwörter erstellen

Getrieben vom Medienrummel um den iCloud-Hack, der Promi-Nacktbilder in Umlauf brachte, geben wir hier Hinweise, wie Sie sichere Passwörter erstellen.

Seit mehr als 40 Jahren kämpft die IT-Industrie mit dem Konzept der Passwörter und verliert dabei. Der jüngste iCloud-Hack, bei dem Promis zur Zielscheibe wurden, ist nur ein Beispiel für dieses Versagen. Das grundlegende Problem dabei ist, dass Passwort-Security so einfach ist, das es paradoxerweise schon wieder schwierig wird. In Sicherheitsfragen ist das gefährlichste, anzunehmen, dass man alles weiß, denn dann hinterfragt man die eigenen Kenntnisse nicht. Fragt man Security-Experten, ob sie alles über Passwörter wissen, so werden diese die Frage im Brustton der Überzeugung mit „Ja“ beantworten. Wenn dies wirklich wahr ist, warum kommen dann Passwort-bezogene Sicherheitsverstöße so häufig vor?

Wir reden hier nicht über technische Probleme bei Storage-Passwörtern. Vielmehr geht es um den menschlichen Faktor in dieser Rechnung, denn Personen entscheiden sich nach wie vor für schlechte bzw. einfache Passwörter. So war das meist genutzte Passwort im Jahre 2013 „123456“. Auf dem zweiten Platz dieser Liste stand „password“ und Rang drei nahm „12345678“ für sich ein. Und auch die allseits bekannten „iloveyou“, „letmein“, „abc123“ und „princess“ schaffen jedes Jahr auf die Liste der beliebtesten Passwörter. Die englische Liste finden Sie hier.

Warum denken die wenigsten wirklich über ihre Passwörter nach? Zum einen liegt das sicher daran, dass die meisten Menschen denken (Prominente eingeschlossen), dass sich niemand für ihren Account interessiert. Das ist die alte „das-passiert-mir-doch-nicht“-Mentalität. Zum anderen liegt es aber auch daran, dass die IT-Industrie ihre Passwort-Strategien nur mangelhaft weitergibt.

Einer der größten Fehler, den die IT-Industrie immer noch macht, ist es, den Anwender zu zwingen hochkomplexe Passwörter zu nutzen, ohne ihnen realistische Hilfestellungen zu geben, was das eigentlich wirklich heißt. Wenn wir es dem Endanwender zu schwierig machen, sich an sein Passwort zu erinnern, dann kommt letztlich so etwas wie „123456“ heraus. Im seltenen Fall, dass ein Nutzer wirklich ein komplexes Passwort erstellt, ist es meistens zu kurz und wird dann für alles verwendet, sei es in der Arbeit oder privat – eingenommen elektronische Bezahlaktionen und Online-Banking. Das heißt, wird das Passwort an einer Stelle geknackt, so kann das verheerende Konsequenzen nach sich ziehen.

Keine Angst vor komplexen Passwörtern

Der Begriff „komplexes Passwort“ ist wahrscheinlich einer der meist missverstandenen IT-Begriffe und der Grund für heutige Passwort-Probleme. Zu oft wird „komplexes Passwort“ gleichgesetzt mit „unmöglich zu merken“. Vielmehr gilt es z verstehen, dass die Komplexität nur ein Teil des Ganzen ist. Es ist eben nicht einfach nur eine Frage der Komplexität, sondern vielmehr auch der Unvorhersagbarkeit (Passwort-Entropie ist ein hilfreiches Bewertungstool für Passwort-Vorhersagbarkeit). Das ist das ganze Geheimnis.

Ein unvorhersagbares Passwort kann immer noch leicht zu merken sein. Eine Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen ist sicher in Ordnung, so lange man sich nicht nur darauf konzentriert. Nehmen wir zum Beispiel „Ichging4malangelnletztenmonat?“. Dieses Passwort oder besser Pass-Phrase lässt sich leicht merken, obwohl es all die empfohlenen Zeichen berücksichtigt. Jeder kurze Satz, den sich der Nutzer leicht merken kann, funktioniert. Nimmt man diesen Satz und addiert die Passwort-Regeln, dann entsteht ein extrem starkes Passwort, das nicht in einem Hacker-Lexikon zu finden ist und nur mit Brachialgewalt geknackt werden kann. Um das oben genannte Passwort-Beispiel zu entschlüsseln bedürfte es 76,43 Millionen-Billionen-Billionen Versuche Pro Sekunde, laut Gibson Research Corporation. Das kann man mit Sicherheit ein starkes Passwort nennen.

Anwender können eine solche Strategie anwenden, um eine Formel zu erstellen, die für sie sinnvoll ist, und diese für verschiedene Webseiten und Anwendungen modifizieren. So ließe sich beispielsweise für die Facebook-Seite einfach ein FB und das Schulabschlußjahr vor die Pass-Phrase schieben. Das sollte das Konzept sein, wenngleich auch ein wenig diffiziler als hier beschrieben. So kann der Anwender ein starkes, einfach zu merkendes und jedes Mal anderes Passwort für all seine Internetanwendungen erstellen. Das ist natürlich immer noch nicht perfekt, aber es ist wesentlich besser als „123456“ für alles, was man im Internet tut.

Ein weiterer Trick ist es, wenn möglich, einzigartige Nutzernamen zu kreieren. Viele Webseiten wollen zwar nur die Mail-Adresse als Nutzername, aber zahlreiche Finanzseiten geben den Spielraum für einen bestimmten Nutzernamen. Auch hier gilt: Nutzt man die E-Mail-Adresse und das gleiche Passwort für all seine Anwendungen, dann macht man es dem Hacker einfach. Einen dedizierten Nutzernamen – gerade für Finanztransaktionen – zu nutzen, ist eine sehr gute Idee. Ebenso sollte man dann auch verschiedene Pass-Phrasen für unterschiedliche Webseiten einsetzen.

Als Security-Gemeinde müssen wir Anwender besser darüber informieren, wie man ein starkes und sicheres Passwort erstellt. Wir müssen deutlich machen, dass „123456“ ist kein valides Passwort und das Wörter, die man sich nicht merken kann, ebenso ungeeignet sind. Um erfolgreich unsere Expertise weiterzugeben, müssen wir zunächst ein besseres Verständnis für unvorhersagbare Passwörter entwickeln. Nur dann können wir letztlich auch dem Endanwender helfen.

Über den Autor:

Keith Palmgren ist ein zertifizierter SAN-Instruktor und betreibt seine eigene Consulting-Firma, NetIP, in San Antonio. Keith verfügt über 30 Jahre an Erfahrungen im Bereich der IT-Security und kann die Zertifikate CISSP, GSLC, GCIH, GCED, GISF, CEH, Securty+, Network+, A+ und CTT+ vorweisen.

Artikel wurde zuletzt im September 2014 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close