Schließen

Wer stiehlt schon gern Passwörter?

Passwörter liegen – bei den meisten – Anbietern – so hoffe ich – nicht als Klartext in einer Datei und kleben nicht unter der Tastatur. Das wäre dann wohl doch zu blauäugig. Passwörter werden als Einwegverschlüsselung gespeichert, sogenannte Hash-Werte. Diese Werte sind Einbahnstraßen aus dem Hash-Wert kann das Passwort nicht zurückgerechnet werden. Dann ist doch alles gut, werden Sie erleichternd aufatmend sagen. Die Antwort kommt aus dem Kaukasus: „Im Prinzip ja.“ Denn mit ausreichend Rechenleistung lassen sich aus beliebigen Variationen von Zahlen, Zeichen und Buchstaben errecchnen. Der errechnete Wert wird mit dem vorhandenen Hash-Wert aus der Tabelle verglichen und wenn sie übereinstimmen: Bingo! Die Anzahl der Möglichkeiten und damit die Rechenzeit steigt am deutlichsten mit der Anzahl der Stellen eines Passowrtes. Die Präsentation zeigt dazu Beispiele.

Bei Passwörtern kommt es auf die Länge an

Passwörter - es kommt auf die Größe an

Ein Beispiel für diese Rechnerei. Jemand hat einen Passwort-Hash-Wert „bekommen“.
Der lautet „059fb00a4e5ef45c7fe0d60563c453c6“. Nun beginnt die Rechnerei. Die Anzahl der Verfahren für Passwortverschlüsselung ist übersichtlich. Wir beginnen mit MD5 und quälen uns durchs Wörterbuch der deutschen Sprache. Beim Buchstaben T werden wir fündig und erkennen: Das Passwort zu diesem Hash-Wert ist „Tante“. Die Wörterbuchsuche ist eine übliche Variante und es gibt vorberechnete Tabellen für viele Wörter, damit man nicht immer wieder neu rechnen muss, das sind Rainbow-Tables. Hätten wir den Hash-Wert für das Wort „Acker“ gesucht, wären wir mit dem Berechnen viel schneller fertig gewesen. Obwohl die Anzahl der Möglichkeiten gleich geblieben ist.

Es kommt also auf ein Wort an, dass das Wort nicht in einem Wörterbuch steht. Gewiefte Administratoren setzen zur Sicherung der Passwortdatenbank mehrere Verfahren nacheinander ein und „salzen“ die Hash-Werte mit bestimmten Zeichenfolgen. Das erschwert das Zurückrechnen wesentlich, weil neben den bekannten Verfahren noch das Wissen um das geheime Wort – das Salz – bekannt sein muss. Das Beispiel zeigt, dass Passwörter aus Wörterbüchern und einfachste Lösungen keine gute Idee sind.

Woher bekommt man die Rechenleistung? Ein handelsüblicher Computer kann heute (15.10.13) 600 Millionen Passwörter berechnen. Pro Sekunde. Nimmt man eine Grafikkarte dazu, die sehr gute Rechenleistungen haben, werden daraus 1,2 Milliarden und das lässt sich mit weiteren Grafikkarten in einem PC weiter ausbauen. So erhält man für einige 100 Euro ein gutes Rechenzentrum.

Wie findet man ein sicheres Passwort? Zunächst sollte ein Passwort sich aus folgenden Merkmalen zusammensetzen:

  • Zahlen,
  • Zeichen wie „(){}!§$%&/=-.,;:_“,
  • Großbuchstaben und
  • Kleinbuchstaben

Die Stellenanzahl sollte zusätzlich mindestens bei 8 liegen, dann ist ein Passwort recht sicher. Auf der folgenden Seite können Sie Beispiele Ihrer Passwörter testen. Achtung, nicht das echte Passwort nutzen! http://www.wiesicheristmeinpasswort.de/.

Übrigens,
ein guter Ort zur Speicherung des Passwortes ist ein Zettel in der Brieftasche. Jedenfalls solange, bis das neue Passwort sitzt. Und da sollte auch nur das Passwort stehen, nicht der Benutzername und auch nicht der Computername.

Zum Erzeugen eines sicheren Passwortes gibt es unter anderem diese drei Möglichkeiten

  1. Mehrere kurze Wörter zu einem Satz verbinden. Denken Sie vier Wörter, die ohne Zusammenhang sind, und setzen sie aneinander. „Tulpe“, „blau“, „tanzt“ und „Meer“. Das ergibt das Passwort „BlaueTulpetanztMeer“, setzen Sie ein Sonderzeichen dazu und Sie haben ein langes leicht zu merkendes Passwort.
  2. Nehmen Sie ein längeres Wort und fügen Sie sprechende Zeichen ein. Aus „Donaudampfschiff“ machen Sie „D0naud8mpfsch1ff“. Das ergibt einen guten Wert in Sicherheit.
  3. Anfangsbuchstaben eines Satzes verwenden. Denken Sie sich einen Satz aus und erstellen Sie das Passwort aus den Anfangsbuchstaben. Der Satz könnte heißen: „Ein Großteil der Menschen in Europa atmet ungesunde Luft,“ (Zeit online) das ergibt das Passwort „EGdMiEauL,“ das ist noch nicht so gut, aber wenn Sie die Jahreszahl davor und danach anbringen, wird es viel besser. „20EGdMiEauL,13“

Literatur

Über den Autor diet46