Was ist ein sicheres Passwort und wie kann ich es mir „merken“?

Passwörter stellen die Basis für Zugänge zu Diensten dar. Nicht selten sind die Zugänge aber ganze Firmennetzwerke. Aus diesem Grund sollte die Wahl des Passwortes sehr gut überlegt sein und nach Möglichkeit sollten andere Methoden wie Smart Cards oder wenigstens Zertifikate benutzt werden, um die Sicherheit zu erhöhen.

Trotzdem werden auch Heutzutage sehr viele Zugänge durch Passwörter geschützt und da muss man sich raus helfen. Deswegen versuche ich im weiteren Lösungsansätze und ihre Tücken zu beschreiben.

Erster Lösungsansatz:
Heute können Passwörter mit einer Länge von 5 Zeichen in wenigen Minuten geknackt werden und mit der steigenden Rechenleistung müssen die Passwörter immer länger werden. Das hilft natürlich dem Benutzer nur wenig sich Passwörter zu merken. Wenn der Name der Frau, Tochter, Sohn, Mutter oder Schwiegermutter zu kurz wird, dann kommt oft eine Kombination der genannten Punkte zustande. Oft werden auch Geburtstage von nahen Menschen als Passwörter benutzt. Hier lässt nicht nur die Länge der Passwörter, als auch die Komplexität zu wünschen übrig. Dazu benötigt es oft nicht mal eines schneller Rechners, als ein bisschen raten und die nahe stehenden Personen kennen. Oft führen Passwortattacken zum Erfolg, da Nutzer sich einfache Begriffe als Passwörter aussuchen.
Damit fallen lange Passwörter ohne weitere Komplexitätsbedingungen als steigernde Sicherheitsmaßnahmen kaum ins Gewicht.

Zweiter Lösungsansatz:
Der zweite Ansatz besteht darin nicht nur wie im ersten Ansatz die Länge, sondern zusätzlich die Komplexität der Passwörter mit Zahlen zu erhöhen. Dadurch wird der Suchraum für Wörterbuch Attacken schwierig und für Bruteforce Attacken deutlich komplexer, weil der Suchraum sind durch die Zahlen vergrößert. Allerdings hilft es oft nicht gegen „schlechte Kombinationen“ wie z.B. Name der Frau/Freundin + Geburtstag. Nur wenige und nicht wirklich geheime Informationen helfen dem Angreifer auch dieses komplexer wirkende Passwort zu knacken.

Dritter Lösungsansatz:
Im dritten Ansatz sollten nicht nur lange Passwörter, sondern Zahlen und Sonderzeichen erzwungen werden. Zusätzlich soll eine Mindestanzahl an Zahlen und Sonderzeichen vorgeschrieben werden. Solch ein komplexes Passwort wird viele Wörterbuch und Bruteforce Attacken erschweren. Davon ausgenommen sind „glänzend“ gewählte Passwörter wie „1ch_b1n_sup3r“ oder ähnliche Kombinationen, wenn sie auch jetzt deutlich schwerer zu erraten sind.
Das größere Problem ist die große Unzufriedenheit der Benutzer, weil sie sich oft für viele verschiedene Dienste (privat und beruflich) Passwörter merken müssen. Auch der Administrator gewinnt damit keine Freunde unter den Nutzern, wenn er auch oft wenig für diese Regelungen kann.
Aber komplexe Passwörter lassen nicht nur Admins, sondern auch Nutzer ruhiger schlafen, weil sie auch die Verantwortung für ihre Handlungen tragen müssen. Damit gehen wir zum vierten und meiner Ansicht nach im Moment den vernünftigsten Weg, bis es endlich vertrauenswürdige „Signle Sign On“ Systeme existieren, die uns von dieser Komplexität befreien.

Vierter Lösungsansatz:
Da komplexe und lange Passwörter zwangsweise gefordert werden, sollte auch ein vernünftiger Kompromiss gefunden werden, der dem Benutzer das Merken der vielen langen Passwörter abnimmt und ihm damit vor allem das regelmäßige Ändern der Passwörter erleichtert. Als Basisschutz für diesen Passwortspeicher nehmen wir ein komplexes und langes Passwort, welches die anderen Passwörter schützen soll. Der Nutzer speichert die Passwörter in einem sicheren Speicher, aus dem er die Passwörter bei Bedarf mit Hilfe des Master Passwortes auslesen kann.

Sicherung des Passwortspeichers:
Der Speicher für Passwörter stellt aber gleichzeitig ein hohes Sicherheitsrisiko dar, da in ihm alle Passwörter und damit alle Zugänge gespeichert sind. Oft sind in solchen Speichern auch Kreditkarten Nummern und Zugänge zu Bankkonten hinterlegt.
Wegen Bequemlichkeit und da viele ihr Mobiltelefon fast immer bei sich tragen, gewinnt das Handy als Passwortspeicher an Bedeutung. Da das Handy klein, leicht und immer mitgeführt wird, stellt es auch ein gutes Diebesgut dar. Aber auch Implementierungsfehler in der Firmware, Software oder Betriebssystem können das Auslesen der verschlüsselten Datei mit den Passwörtern ermöglichen.
Da die Sicherheit der mobilen Geräte kaum beeinflusst werden kann, sollte bei einem Diebstahl der Daten, dem Dieb so wenig wie möglich Informationen preisgegeben werden. Auch wenn der Angreifer das Passwort nicht kennt, so wird er es versuchen zu knacken.
Ist der Inhalt einfach nur verschlüsselt, so kann davon ausgegangen werden, dass nach endlicher Zeit die Verschlüsselung geknackt werden kann und damit die Passwörter in falsche Händer geraten.
Um dieses Problem zu lösen, haben die Forscher des Fraunhofer Instituts Sichere Informationstechnologie sich eine Lösung einfallen lassen. Für den Mobile Sitter wird ein Master Passwort erstellt, welches die Passwörter gegen Angriffe schützt, in dem es bei beliebiger Eingabe Passwörter liefert. Damit ist das Raten von Passwörter kaum möglich, da der Angreifer immer ein Ergebnis erhält und dadurch nicht auf das richtige Masterpasswort schließen kann. Der Benutzer erhält bei der richtigen Eingabe aber seine Passwörter zu sehen. Ein Bild hilft ihm als Erkennungsmerkmal, dass er auch wirklich das richtige Passwort eingegeben hat.
Als einziges Manko ist die Möglichkeit des Ändern der Passwörter bei beliebiger Eingabe zu sehen. Aber auch dieser Nachteil ist wichtig für die Sicherheit, da der Angreifer unter keinen Umständen erfahren soll, dass er das richtige Passwort eingegeben hat. Allerdings sollte keiner sein Handy mit Passwörtern jemand anders geben und eine Export-Möglichkeit rettet die gespeicherten Informationen auch bei unfreiwilligen Änderungen.

Erhöhte Sicherheit mit dem Mobile Sitter:
Besonders sicherheitsbewusste Nutzer können die Sicherheit noch weiter erhöhen, in dem sie verschiedene Passwörter mit verschiedenen Master Passwörtern speichern und damit gleichzeitig eine Art „Gruppierung“ der Passwörter nach Sicherheitsstufe und Einsatz sicherstellen können. Erhält de Angreifer den verschlüsselten Speicher und ein Passwort, so bleiben wenigstens die anderen Passwörter geheim, da sie mit einem anderen Passwort verschlüsselt wurden.

Wer sich für den Mobile Sitter oder andere ähnliche Systeme interessiert, den verweise ich auf die Herstellerseiten. Dort sind auch die Verschlüsselungsverfahren und mögliche Geräte für die Nutzung aufgelistet. Der Mobile Sitter gilt hierbei als Beispiel für ein Produktklasse und verhilft zu deutlich mehr Sicherheit im Vergleich zu Passwortspeicher Systemen mit einer möglichen Eingabe für das Master Passwort.

Damit das Generieren der Passwörter auch wirklich sicher ist, empfehle ich die folgende Seite, auf der auch der Algorithmus für die Generierung erklärt ist: https://www.grc.com/passwords.htm

Quellen und Links zusammengefasst:

Über Kritik oder Anregungen zu diesem und anderen Beiträgen würde ich mich sehr freuen.

5 Gedanken zu „Was ist ein sicheres Passwort und wie kann ich es mir „merken“?

  1. Interessante Ausführung. Leider macht man sich ja aus bequemlichkeit viel zu selten Gedanken über diese Problematik. Sicher würde es eine ganze Menge weniger Probleme im Netz geben, wenn sich auch der größte DAU mal 5 Minuten Gedanken über ein halbwegs sicheres Passwort machen würde.

  2. Danke Nicolas,

    mein Gedanke war es auch dem Dau mal was zum Nachdenken zu geben. Aber vor allem sollte es als Hilfe für jeden Nutzer dienen, der sich die Frage stellt „Wozu die ganze Sicherheit, Passwörter und wie kann ich trotzdem sichere Passwörter nutzen, ohne sie ständig zu vergessen“.

    Bei Passwörtern wird es kaum eine wirkliche Lösung geben. Es wird mehr ein Kompromiss aus „Attacken erkennen“ und Nutzern gut zureden.

    Aber vor allem hoffe ich damit Admins zu helfen, die sich das Geheule der Nutzer anhören müssen, wozu das ganze bitte gut sein soll.

    Im Moment sehe ich nur eine Lösung für die Passwörter und das ist ein starkes Passwort für den Passwort Speicher und darin generierte Passwörter, die komplex genug sind.

    Danke nochmal für das Kommentar

    Konstantin

  3. hmm,
    ggf. stehe ich ja auf dem Schlauch, was den Mobilesitter angeht, Aber mir ist nicht ganz klar, wieso ein Hacker mit BruteForce nicht wie folgt vorgehen sollte:
    Angenommen, der User verwendet ein relativ einfaches MasterPasswort: 2003BenKai1998

    Es gibt für den Hacker nun zwar zunächst keine absolute Sicherheit, dass er das MasterPW gefunden hat, da Mobilesitter ja zu jeder Eingabe ein PW ausspuckt. Er könnte aber doch alle Sub-PW einer beliebigen Anwendung, die MobileSitter ausspuckt in eine Liste laufen lassen, und diese in regelmässigen Intervallen (alle 500000 PW) auf der Anwendung/loginbereich prüfen?!
    Desto einfacher das MasterPW, umso höher die Wahrscheinlichkeit, dass es unter den „ersten“ Treffern ist?! Oder denke ich da falsch?

    Hier müssten die Anwendungen dann nachziehen und nach 5 Eingaben die Eingabe sperren.

    PS: Bin kein Admin, nur UserDau;-)
    Dennoch hoffe ich, dass mobilesitter bei demselben „falschen“ MasterPW immer diesselben falschen PWs ausspuckt, ansonsten könnte sich ein Hacker ja Listen anlegen und diese abgleichen, bis in der Liste ein Wert in beiden Spalten auftaucht;-)

  4. Hallo NFreitag,

    wer schon ein unsicheres Masterpasswort verwendet, der hat eigentlich egal bei welcher Anwendung verloren. Bei Mobile Sitter muss der Angreifer auch noch wissen, dass es ein einfaches Passwort ist. Wer deine Handy klaut, weiß das meistens nicht.

    Ein sicheres Master Passwort ist die Voraussetzung für jede Anwendung, die Passwörter verwaltet.

    Brute Force macht auf das Masterpasswort wenig Sinn, da Brute Force gegen das eigentliche Passwort mehr Sinn macht. Da sind die Erfolgschancen größer, wenn kein Schutz vor Wiederholungen besteht, da dort Rückmeldungen über richtig bzw. falsch kommen.

    Brute Force 500000 abfragen ist ja aufwendig und kaum auf einer Seite bzw. Login möglich, da vorher eine Sperre greift. Da ist wieder Brute Force gegen das eigentliche Login weniger aufwendig.

    Der Schutz ist halt dadurch höher, dass der Angreifer nicht erfahren kann, ob er nun das richtige Passwort erwischt hat. Er wird kaum probieren über das Master Passwort Passwortlisten zu generieren, da er damit faktisch nichts gewinnt.

    Die Anwendungen für normale Anmeldeprozeduren haben auch fast immer Sperren (bei 3-5 mal Falscheingabe). Der Passwortsitter darf es nicht haben, da sich der Angreifer dann sicher sein kann, dass er falsche Eingaben getätigt hat.

    Die Funktion des Mobile Sitters besteht darin, aus einem gegebenen Master Passwort die gespeicherten Daten zu entschlüsseln. Natürlich wird bei gleicher Eingabe des Masterpasswortes immer das gleiche Ergebnis raus kommen.
    Hier darf man das „gewöhnliche Verschlüsselsprinzip“ nicht nutzen. Beim Mobile Sitter wird nicht irgend ein Passwort bei Falscheingabe generiert, sondern die verschlüsselten Daten werden stupide mit dem eingegebenen Masterpasswort entschlüsselt. Der Mobile Sitter weiß nicht mal selber, ob es die richtige Eingabe ist und das ist sehr wichtig für den Schutz! Dadurch kann kein Speicher überwacht werden, um Flags und Variablen zu sehen. Es ist immer „richtig“ und das ist ein sehr guter Schutz.

    Wie schon in dem Artikel beschrieben, können die Daten mit verschiedenen Mastermasswörtern verschlüsselt werden. Der Nutzer muss dann noch wissen, welches Master Passwort er für das jeweilige Passwort verwendet hat.

    Für den Angreifer ist unter keiner Eingabe zu erkennen, dass er richtig oder falsch liegt.

    Hoffe deine Fragen beantwortet zu haben, da es doch schon spät ist und ich nicht mehr ganz so fit bin.

    Gruß

    Konstantin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die folgenden im Rahmen der DSGVO notwendigen Bedingungen müssen gelesen und akzeptiert werden:

Informationspflicht

Durch Abschicken des Formulares wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen wirf bitte einen Blick in die Datenschutzerklärung.