2017-09-28 3 Minuten

Passwörter: Mythen und Legenden

Wie funktioniert ein Passwort? Was muss man beim Thema Passwort beachten? Welche Passwörter wirklich gut sind, und womit man Hackern eigentlich nur hilft.

Die Mythen und Legenden, die sich ums Thema Passwort ranken, sind schon legendär. Warum extreme Passworteinschränkungen suboptimal sind, und wie man seine Passwörter wirklich sicher organisiert.

Aber zuerst:

Wie funktionieren Passwörter?

Im Normalfall wird nicht das Passwort das wir eingeben abgespeichert, sondern ein sogenannter „Hash“ davon. Das sieht im Prinzip so aus:

  • Links kommt mein Passwort rein (nicht mein echtes Passwort, by the way).
  • Das wird dann durch die sogenannte Hash-Funktion verarbeitet
  • Das Ergebnis rechts ist der sogenannte Hash

Das arge ist: dieser Prozess ist one-way. Man kann vom Hash nicht zurück auf das Passwort schließen.

Der jeweilige Dienst muss das Passwort, wenn wir es beim Login eingeben, einfach noch einmal gleich hashen, und die beiden Ergebnisse vergleichen. Stimmt’s überein, haben wir das richtige Passwort eingegeben.

Würde also der Dienst hier gehackt werden, wird es sehr schwer, das Passwort der User herauszufinden.

Die einzige Möglichkeit dies zu tun, ist eine Brute-Force-Attacke – also alle Möglichkeiten durchzuprobieren. Oder einfach die häufigsten Passwörter oder Wörter durchzuprobieren (sog. Rainbow Tables ????).

Jetzt gab es natürlich schon einige große Hacks.

Dank Sony, LinkedIn und Co, sind jetzt schon einige dieser Hashes inkl. dazugehörigem Passwort bekannt. Der klassische Hash ist also gar nicht mehr so sicher.

Deswegen:

Salz

Damit nicht für das gleiche Passwort immer der gleiche Hash entsteht, wird eine weitere Zutat hinzugefügt: der „Salt“ ist eine zufällige, und nicht geheime Zeichenfolge.

So wird der Hash soweit verwurschtelt, dass ich – selbst wenn ich alle bisherigen Hacks anschaue – nicht direkt auf das Passwort zurückschließen kann.

Soweit zu den Hintergründen: Wie sieht jetzt ein sicheres Passwort aus?

Hier muss einmal mit einigen Mythen aufgeräumt werden:

Special Characters – „Das Passwort muss eines der Folgenden enthalten: !{}≠¡“¢√å∫~√~µ∞????????????“

Muss ist hier das böse Wort. Was passiert wenn man User dazu zwingt?

Sie hängen ein „!“ ans Passwort. Ein Fakt, der Hackern natürlich bekannt ist.

Fazit: Ja, verwenden! Aber bitte nicht nur ein „!“ anhängen. Auch „passw0rt“ ist nicht sicher – inzwischen werden die häufigsten Ersetzungen (3 = E, 4 = A, usw.) von Hackern auch sehr schnell probiert.

Passwortlänge – „Ihr Passwort muss eine Primzahl als Länge haben“

Im Prinzip gilt: je länger das Passwort, desto schwieriger ist es zu Brute-Forcen. Jeder zusätzliche Buchstabe vervielfacht die Versuche, die ein Hacker benötigt, das Passwort zu knacken.

Aber: auch ein langes Passwort wird unsicher, wenn es die Namen der Kinder aneinandergereiht ist – oder die Catchphrase, die man permanent sagt.

_Nicht_ aufschreiben

Das Post-It am Bildschirm, wo der Admin-Benutzer drauf steht ist ein Klassiker. Ich bin mir ziemlich sicher, dass dies in Zukunft als Fahrlässigkeit gehandhabt wird. Gut so.

„Bitte ändern Sie ihr Passwort“

Viele Unternehmen lassen ihre Mitarbeiter alle 3 Monate das Passwort ändern. Was passiert? Es wird die 3 durch eine 4 ersetzt.

Auch nicht optimal – es wird daher empfohlen, als Unternehmen auf diese Regel zu verzichten, und lieber auf sichere Passwörter zu setzen.

Die Merkbarkeit

ist eines der größten Probleme bei der Passwortwahl. Eine gängige Variante derzeit sind die „Passphrases“, also eine Phrase von mehreren zufälligen Wörtern.

Damit ist sowohl die Passwortlänge, als auch die Merkbarkeit kein Thema mehr. Aber dafür ist das Ganze wieder über komplexere Dictionary Attacks (wo quasi Worte aus dem Lexikon durchprobiert werden) angreifbar.

Das sicherste Passwort

ist das, an das man sich nicht einmal erinnert. Weil es zufällig ist, und man es sich nicht merken muss. Das auf jeder Plattform einzigartig ist, und sicher verwahrt wird.

Wo kriegt man das her? Passwort Manager. Ich habe es an dieser Stelle schon einmal erwähnt, aber in Zukunft führt kein Weg daran vorbei.

LastPass ist hier das Tool meiner Wahl. Diese Tools werden ständig von unabhängigen Securityforschern getestet und sind die derzeit beste Möglichkeit, wie wir unsere Passwörter managen können.

Für Unternehmen ist das noch interessanter: Passwörter können bequem geteilt werden. So gibt es auch keine Post-Its mehr am Bildschirm. Oder Excel-Listen namens Master_Password_Sheet.xls, die z.B. bei Sony für jeden zugänglich am Server lagen.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀