Passw\u00f6rter stellen die Basis f\u00fcr Zug\u00e4nge zu Diensten dar. Nicht selten sind die Zug\u00e4nge aber ganze Firmennetzwerke. Aus diesem Grund sollte die Wahl des Passwortes sehr gut \u00fcberlegt sein und nach M\u00f6glichkeit sollten andere Methoden wie Smart Cards oder wenigstens Zertifikate benutzt werden, um die Sicherheit zu erh\u00f6hen.<\/p>\n
Trotzdem werden auch Heutzutage sehr viele Zug\u00e4nge durch Passw\u00f6rter gesch\u00fctzt und da muss man sich raus helfen. Deswegen versuche ich im weiteren L\u00f6sungsans\u00e4tze und ihre T\u00fccken zu beschreiben.<\/p>\n
Erster L\u00f6sungsansatz:<\/strong> Zweiter L\u00f6sungsansatz:<\/strong> Dritter L\u00f6sungsansatz:<\/strong> Vierter L\u00f6sungsansatz:<\/strong> Sicherung des Passwortspeichers:<\/strong> Erh\u00f6hte Sicherheit mit dem Mobile Sitter<\/a>:<\/em> Wer sich f\u00fcr den Mobile Sitter<\/a> oder andere \u00e4hnliche Systeme interessiert, den verweise ich auf die Herstellerseiten. Dort sind auch die Verschl\u00fcsselungsverfahren und m\u00f6gliche Ger\u00e4te f\u00fcr die Nutzung aufgelistet. Der Mobile Sitter<\/a> gilt hierbei als Beispiel f\u00fcr ein Produktklasse und verhilft zu deutlich mehr Sicherheit im Vergleich zu Passwortspeicher Systemen mit einer m\u00f6glichen Eingabe f\u00fcr das Master Passwort.<\/p>\n Damit das Generieren der Passw\u00f6rter auch wirklich sicher ist, empfehle ich die folgende Seite, auf der auch der Algorithmus f\u00fcr die Generierung erkl\u00e4rt ist: https:\/\/www.grc.com\/passwords.htm<\/a><\/p>\n Quellen und Links zusammengefasst:<\/p>\n \u00dcber Kritik oder Anregungen zu diesem und anderen Beitr\u00e4gen w\u00fcrde ich mich sehr freuen.<\/p>\n","protected":false},"excerpt":{"rendered":" Passw\u00f6rter stellen die Basis f\u00fcr Zug\u00e4nge zu Diensten dar. Nicht selten sind die Zug\u00e4nge aber ganze Firmennetzwerke. Aus diesem Grund sollte die Wahl des Passwortes sehr gut \u00fcberlegt sein und nach M\u00f6glichkeit sollten andere Methoden wie Smart Cards oder wenigstens Zertifikate benutzt werden, um die Sicherheit zu erh\u00f6hen. Trotzdem werden auch Heutzutage sehr viele Zug\u00e4nge […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-144","post","type-post","status-publish","format-standard","hentry","category-sicherheit"],"yoast_head":"\n
\nHeute k\u00f6nnen Passw\u00f6rter mit einer L\u00e4nge von 5 Zeichen in wenigen Minuten geknackt werden und mit der steigenden Rechenleistung m\u00fcssen die Passw\u00f6rter immer l\u00e4nger werden. Das hilft nat\u00fcrlich dem Benutzer nur wenig sich Passw\u00f6rter zu merken. Wenn der Name der Frau, Tochter, Sohn, Mutter oder Schwiegermutter zu kurz wird, dann kommt oft eine Kombination der genannten Punkte zustande. Oft werden auch Geburtstage von nahen Menschen als Passw\u00f6rter benutzt. Hier l\u00e4sst nicht nur die L\u00e4nge der Passw\u00f6rter, als auch die Komplexit\u00e4t zu w\u00fcnschen \u00fcbrig. Dazu ben\u00f6tigt es oft nicht mal eines schneller Rechners, als ein bisschen raten und die nahe stehenden Personen kennen. Oft f\u00fchren Passwortattacken zum Erfolg, da Nutzer sich einfache Begriffe als Passw\u00f6rter aussuchen.
\nDamit fallen lange Passw\u00f6rter ohne weitere Komplexit\u00e4tsbedingungen als steigernde Sicherheitsma\u00dfnahmen kaum ins Gewicht.<\/p>\n
\nDer zweite Ansatz besteht darin nicht nur wie im ersten Ansatz die L\u00e4nge, sondern zus\u00e4tzlich die Komplexit\u00e4t der Passw\u00f6rter mit Zahlen zu erh\u00f6hen. Dadurch wird der Suchraum f\u00fcr W\u00f6rterbuch Attacken schwierig und f\u00fcr Bruteforce Attacken deutlich komplexer, weil der Suchraum sind durch die Zahlen vergr\u00f6\u00dfert. Allerdings hilft es oft nicht gegen „schlechte Kombinationen“ wie z.B. Name der Frau\/Freundin + Geburtstag. Nur wenige und nicht wirklich geheime Informationen helfen dem Angreifer auch dieses komplexer wirkende Passwort zu knacken.<\/p>\n
\nIm dritten Ansatz sollten nicht nur lange Passw\u00f6rter, sondern Zahlen und Sonderzeichen erzwungen werden. Zus\u00e4tzlich soll eine Mindestanzahl an Zahlen und Sonderzeichen vorgeschrieben werden. Solch ein komplexes Passwort wird viele W\u00f6rterbuch und Bruteforce Attacken erschweren. Davon ausgenommen sind „gl\u00e4nzend“ gew\u00e4hlte Passw\u00f6rter wie „1ch_b1n_sup3r“ oder \u00e4hnliche Kombinationen, wenn sie auch jetzt deutlich schwerer zu erraten sind.
\nDas gr\u00f6\u00dfere Problem ist die gro\u00dfe Unzufriedenheit der Benutzer, weil sie sich oft f\u00fcr viele verschiedene Dienste (privat und beruflich) Passw\u00f6rter merken m\u00fcssen. Auch der Administrator gewinnt damit keine Freunde unter den Nutzern, wenn er auch oft wenig f\u00fcr diese Regelungen kann.
\nAber komplexe Passw\u00f6rter lassen nicht nur Admins, sondern auch Nutzer ruhiger schlafen, weil sie auch die Verantwortung f\u00fcr ihre Handlungen tragen m\u00fcssen. Damit gehen wir zum vierten und meiner Ansicht nach im Moment den vern\u00fcnftigsten Weg, bis es endlich vertrauensw\u00fcrdige „Signle Sign On“ Systeme existieren, die uns von dieser Komplexit\u00e4t befreien.<\/p>\n
\nDa komplexe und lange Passw\u00f6rter zwangsweise gefordert werden, sollte auch ein vern\u00fcnftiger Kompromiss gefunden werden, der dem Benutzer das Merken der vielen langen Passw\u00f6rter abnimmt und ihm damit vor allem das regelm\u00e4\u00dfige \u00c4ndern der Passw\u00f6rter erleichtert. Als Basisschutz f\u00fcr diesen Passwortspeicher nehmen wir ein komplexes und langes Passwort, welches die anderen Passw\u00f6rter sch\u00fctzen soll. Der Nutzer speichert die Passw\u00f6rter in einem sicheren Speicher, aus dem er die Passw\u00f6rter bei Bedarf mit Hilfe des Master Passwortes auslesen kann.<\/p>\n
\nDer Speicher f\u00fcr Passw\u00f6rter stellt aber gleichzeitig ein hohes Sicherheitsrisiko dar, da in ihm alle Passw\u00f6rter und damit alle Zug\u00e4nge gespeichert sind. Oft sind in solchen Speichern auch Kreditkarten Nummern und Zug\u00e4nge zu Bankkonten hinterlegt.
\nWegen Bequemlichkeit und da viele ihr Mobiltelefon fast immer bei sich tragen, gewinnt das Handy als Passwortspeicher an Bedeutung. Da das Handy klein, leicht und immer mitgef\u00fchrt wird, stellt es auch ein gutes Diebesgut dar. Aber auch Implementierungsfehler in der Firmware, Software oder Betriebssystem k\u00f6nnen das Auslesen der verschl\u00fcsselten Datei mit den Passw\u00f6rtern erm\u00f6glichen.
\nDa die Sicherheit der mobilen Ger\u00e4te kaum beeinflusst werden kann, sollte bei einem Diebstahl der Daten, dem Dieb so wenig wie m\u00f6glich Informationen preisgegeben werden. Auch wenn der Angreifer das Passwort nicht kennt, so wird er es versuchen zu knacken.
\nIst der Inhalt einfach nur verschl\u00fcsselt, so kann davon ausgegangen werden, dass nach endlicher Zeit die Verschl\u00fcsselung geknackt werden kann und damit die Passw\u00f6rter in falsche H\u00e4nder geraten.
\nUm dieses Problem zu l\u00f6sen, haben die Forscher des Fraunhofer Instituts Sichere Informationstechnologie<\/a> sich eine L\u00f6sung einfallen lassen. F\u00fcr den Mobile Sitter<\/a> wird ein Master Passwort erstellt, welches die Passw\u00f6rter gegen Angriffe sch\u00fctzt, in dem es bei beliebiger Eingabe Passw\u00f6rter liefert. Damit ist das Raten von Passw\u00f6rter kaum m\u00f6glich, da der Angreifer immer ein Ergebnis erh\u00e4lt und dadurch nicht auf das richtige Masterpasswort schlie\u00dfen kann. Der Benutzer erh\u00e4lt bei der richtigen Eingabe aber seine Passw\u00f6rter zu sehen. Ein Bild hilft ihm als Erkennungsmerkmal, dass er auch wirklich das richtige Passwort eingegeben hat.
\nAls einziges Manko ist die M\u00f6glichkeit des \u00c4ndern der Passw\u00f6rter bei beliebiger Eingabe zu sehen. Aber auch dieser Nachteil ist wichtig f\u00fcr die Sicherheit, da der Angreifer unter keinen Umst\u00e4nden erfahren soll, dass er das richtige Passwort eingegeben hat. Allerdings sollte keiner sein Handy mit Passw\u00f6rtern jemand anders geben und eine Export-M\u00f6glichkeit rettet die gespeicherten Informationen auch bei unfreiwilligen \u00c4nderungen.<\/p>\n
\nBesonders sicherheitsbewusste Nutzer k\u00f6nnen die Sicherheit noch weiter erh\u00f6hen, in dem sie verschiedene Passw\u00f6rter mit verschiedenen Master Passw\u00f6rtern speichern und damit gleichzeitig eine Art „Gruppierung“ der Passw\u00f6rter nach Sicherheitsstufe und Einsatz sicherstellen k\u00f6nnen. Erh\u00e4lt de Angreifer den verschl\u00fcsselten Speicher und ein Passwort, so bleiben wenigstens die anderen Passw\u00f6rter geheim, da sie mit einem anderen Passwort verschl\u00fcsselt wurden.<\/p>\n\n