Was ist ein sicheres Passwort?
Die Verwendung von Passwörtern gehört bei vielen zu den alltäglichen Dingen. Beispielsweise beim Entsperren des eigenen Computers, zum Anmelden beim Arbeitgeber oder bei der Bestellung bei einem Online-Shop. Die Einsatzszenarien von Passwörtern sind vielfältig, da durch Passwörter ein einfach umsetzbarer Schutz für Benutzerkonten realisiert werden kann. Bei der Wahl eines neuen Passworts wird häufig darauf hingewiesen, dass eine Kombination von bestimmten Zeichen für ein sicheres Passwort notwendig ist. Bei solchen Aufforderungen werden jedoch sehr häufig wichtige Anforderungen an ein wirklich sicheres Passwort nicht genannt. In diesem Artikel werden verschiedene Angriffsszenarien vorgestellt, aus denen sich die notwendigen Eigenschaften von sicheren Passwörtern ableiten lassen.
Welche Gefahren gibt es für unsichere Passwörter?
Angreifer haben die unterschiedlichsten Methoden, um den Passwortschutz von Benutzerkonten auszutricksen. Eine Methode hierfür ist, das gesuchte Passwort mittels Ausprobierens herauszufinden. Hierfür können beispielsweise alle möglichen Zeichenkombinationen nacheinander getestet werden. Dieses Ausprobieren wird aber nicht manuell, sondern in der Regel vollautomatisiert durchgeführt.
So ein Angriff kann durch zwei Dinge erschwert werden:
- Passwortlänge: Wird nur ein kurzes Passwort verwendet, beispielsweise mit vier Zeichen, müssen auch nur deutlich weniger Kombinationen ausprobiert werden, als bei einem 14-stelligen Passwort.
- Passwortkomplexität: Besteht ein Passwort nur aus Zahlen, so gibt es weniger mögliche Passwörter, als wenn ein Passwort auch Buchstaben und Sonderzeichen enthält.
- Zeit: Je nach System kann nur eine bestimmte Anzahl an Anmeldeversuchen in einer bestimmten Zeit durchgeführt werden. Viele Onlinedienste erlauben nur 100 fehlgeschlagene Anmeldeversuche pro Stunde, bevor die IP-Adresse des Akteurs vorübergehend gesperrt wird. Ähnliche Sperren gibt es auch bei vielen anderen Systemen. Das Ausprobieren aller möglicher Zeichenkombinationen ist meist schon rechnerisch in den nächsten Jahrzehnten nicht möglich.
Den Aspekt der Zeit können Sie als Benutzer nicht beeinflussen. Deshalb sollten Sie auf eine ausreichende Länge von Passwörtern achten. Da häufig nur eine bestimmte Anzahl an Anmeldeversuchen zur Verfügung steht, optimieren Angreifer ihre Versuche, indem Sie gezielter mögliche Zeichenkombinationen auswählen und nur diese ausprobieren. Verwendet werden hier häufig beispielsweise Wortlisten und Jahreszahlen, da viele Passwörter aus den Bestandteilen solcher Listen bestehen. Es werden dann von den Angreifern nicht mehr alle möglichen Zeichenkombinationen ausprobiert, sondern nur solche die aus Bestandteilen solcher Listen bestehen.
Tipp: Um sich hiervor zu schützen, sollte ein Passwort möglichst aus keinen gängigen Zeichenketten bestehen:
- Passwortindividualität: Diese Art von Angriffen erschweren Sie, indem Sie keine gängigen Zeichenketten verwenden und möglichst individuelle Passwörter ohne jegliche Bedeutung wählen.
Passwort-Mehrfach-Verwendung vermeiden
Eine ganz andere Problematik ist die der Passwort-Mehrfach-Verwendung. Viele Benutzer tendieren dazu ihre Passwörter mehrfach zu verwenden. Dies birgt aber ein nicht zu vernachlässigendes Risiko, welches sich aus der technischen Verarbeitung von Passwörtern ergibt.
Wenn Sie sich bei einem Onlinedienst registrieren oder anmelden, dann wird das von Ihnen eingegebene Passwort an den Onlinedienst übermittelt. Der Onlinedienst kann so bei einer Anmeldung das erhaltene Passwort mit der eigenen Benutzerdatenbank abgleichen und überprüfen, ob das Passwort auch korrekt ist. Wichtig zu wissen ist, dass dem jeweiligen Onlinedienst das eingegebene Passwort in diesem Moment auf jeden Fall im Klartext vorliegt. Natürlich sollte der Onlinedienst dieses Klartextpasswort mit kryptografischen Funktionen schützen und nur in verschleierter Form in der Datenbank abspeichern. Ob und wie gut ein Onlinedienst einen solchen Passwortschutz realisiert hat, können Sie als Benutzer aber nicht nachvollziehen. In der Vergangenheit wurde nach Datenschutzvorfällen häufiger öffentlich, dass auch große Onlinedienste vollkommen veraltete kryptografische Verfahren zum Schutz von Passwörtern immer noch nutzen.
Die Problematik, dass die Onlinedienste Ihre Klartextpasswörter kennen können, sollten Sie sich bei der Wahl Ihrer Passwörter vor Augen führen. Verwenden Sie die gleichen Zugangsdaten bei mehreren Onlinediensten, so sollte Ihnen bewusst sein, dass auch jeder Onlinedienst theoretisch in der Lage ist, sich mit Ihren Zugangsdaten bei den anderen Diensten anzumelden. Wenn man jedoch den Betreibern solcher Onlinedienste vertraut, kann es trotzdem vorkommen, dass bei einem Onlinedienst durch einen Datenschutzvorfall das eigene Passwort gestohlen wird und dann auch alle weiteren Benutzerkonten bei anderen Onlinediensten betroffen sind.
Tipp: Um diese Problematik zu umgehen, muss jedes Benutzerkonto mit einem individuellen Passwort abgesichert sein:
- Individuelles Passwort: Pro Benutzerkonto ein eigenes Passwort – Passwörter niemals mehrfach verwenden.
Was zeichnet ein sicheres Passwort aus?
In dem vorherigen Abschnitt wurde dargestellt, dass es für ein sicheres Passwort mehr Anforderungen als nur die “Verwendung von Groß- und Kleinbuchtstaben, Zahlen und Sonderzeichen” gibt. Auch wenn diese Anforderung immer wieder genannt wird, sollten die hier genannten Anforderungen ebenfalls beachtet werden.
Noch einmal zusammengefasst:
- Verwenden Sie Passwörter niemals mehrfach.
- Wählen Sie möglichst lange Passwörter. Acht Zeichen sind heutzutage häufig zu wenig. Besser sind mindestens 12-stellige Passwörter.
- Verwenden Sie möglichst alle Zeichenarten in Ihren Passwörtern.
- Vermeiden Sie gängige Zeichenketten, wie Namen, Wörter oder Datumsangaben.
Wie kann überprüft werden, ob mein Passwort bereits gestohlen wurde?
Wenn Sie überprüfen wollen, ob Ihre Passwörter bereits in der Vergangenheit gestohlen wurden, dann besuchen Sie den Leak-Checker der Uni Bonn: Hier können Sie testen, ob Ihre E-Mail-Adresse und ihr Passwort in Untergrundforen im Internet illegal verbreitet wurden. Dazu müssen Sie lediglich Ihre E-Mail-Adresse eintragen und bekommen dann umgehend das Ergebnis der Überprüfung kostenlos per E-Mail zugestellt.
Über den Autor:
Dr. Timo Malderle ist als wissenschaftlicher Mitarbeiter an der Universität Bonn in der Arbeitsgruppe für IT-Sicherheit tätig. In seiner Forschung beschäftigt er sich mit dem Schutz vor Identitätsdiebstahl. Zusammen mit seinen Kollegen entwickelt er ein Warnsystem, welches Unternehmen und Benutzer informieren soll, sobald die eigenen Identitätsdaten gestohlen und im Internet gehandelt werden.