Sichere Passwörter

Schwachpunkt Passwort

Auch als unknackbar geltende Verschlüsselungssysteme (z.B. AES & Twofish (Cryptsetup)) haben einen Schwachpunkt: das Passwort. Die gängigsten Methoden um an das Passwort zu kommen sind dabei das Ausprobieren oder das Erschleichen.

Beim Ausprobieren wird eine Liste gängiger oder durch Datenleaks bekanntgewordener Passwörter wie z.B. Passwort, 123456 oder qwertz durchprobiert. Mit einem sogenannten Wörterbuch-Angriff werden alle Wörter eines Wörterbuches durchgetestet, deren Schreibweisen können zudem verfremdet werden, beispielsweise P@sswort oder P@sswort1!!. Eine weitere Methode besteht in dem simplen Durchprobieren aller Kombinationsmöglichkeiten von Zeichen. Diese stößt aber ab einer gewissen Passwortlänge an ihre Grenzen, da die Möglichkeiten pro weiterem Zeichen um ein vielfaches ansteigen.

Beim erschleichen von Passworten wird meist subtiler vorgegangen. Beispielsweise wird dem Betroffenen vorgegaukelt man wäre der Betreiber eines Dienstes und benötige das Passwort oder das Passwort müsse geändert werden. Die Angriffsszenarien beim sogenannten “Social Engineering“ sind vielfältig. In ausgeklügelteren Fällen informiert sich der Angreifer über sein Opfer und die Umstände und erfindet eine plausible Geschichte. Gib unter keinen Umständen dein Passwort an irgendjemand weiter – auch nicht an uns!

Neben dem Mensch kann auch das Computersystem angegriffen werden. Mittels Trojaner oder Viren kann sogenannte “Spyware“ auf dem Rechner installiert werden, die Passwörter oder andere Daten ausspioniert.

In den letzten beiden Fällen hilft ein abgesicherter Computer und ein kritischer Umgang mit Daten. Dieser meint nicht nur, dass keine Passwörter weitergegeben werden, sondern auch, dass Dateien die aus unsicheren Quellen stammen nur mit Vorsicht geöffnet und Programme nur aus sicheren Quellen installiert werden.

Außerdem muss für jeden Dienst den man nutzt ein anderes Passwort verwendet werden, damit ein Angreifer nicht durch ein Passwort an viele Dienste und Daten kommt.

Auch du bist ein Ziel!

Interessant ist eigentlich jede_r Internetnutzer_in. Hat man ein Passwort geknackt kann man den Dienst (z.B. E-Mail-Konto) übernehmen und es sehr leicht in Geld umwandeln. Im Falle eines E-Mailkontos z.B. in dem man die Mails im Konto auf beispielsweise Kreditkartendaten o.ä. abgrast. Hinzu kommt, dass man sich bei vielen Diensten ein neues Passwort an eben jene Mailadresse schicken lassen kann – so kann man weitere Dienste übernehmen – z.B. Onlineshops und Bestellungen aufgeben. Oder man verschickt einfach Spam über das Mailkonto des Opfers. Dein Mailkonto!

Das schadet nicht nur Dir, sondern auch allen Opfern von Spam und uns als Anbieter. Wir können dann auf Anti-Spam-Listen landen und etliche Anbieter nehmen die Mails unserer Nutzer_innen dann nicht mehr an – auch deine Mails! Es ist also wirklich wichtig ein sicheres Passwort zu wählen!

Wie sieht ein sicheres Passwort aus?

Sichere Passwörter bestehen aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen. Als sicher gelten derzeit Passwörter mit 10 Zeichen oder mehr. Bei Passwörter für Festplattenverschlüsselung empfehlen wir mehr als 15 Zeichen zu verwenden. Realisierbar ist dies über die Anfangsbuchstaben und Zahlen eines Satzes. Beispiel: “Sieben Zwerge leben hinter Sieben Bergen“ ergibt “7Zlh7B“. Setzt man nun noch zwei Sonderzeichen mit hinein oder baut sie am besten in den Satz ein, hat man ein einfach zu merkendes 10-stelliges Passwort. Alternativ können die Wörter auch ausgeschrieben werden.

Das Problem: ein individuelles Passwort pro Dienst

Weiter oben im Text empfehlen wir pro Dienst ein individuelles Passwort zu verwenden. Trotz des Beispiels wie sich gute, merkbare Passwörter generieren lassen, verliert mensch leicht den Überblick über die verwendenten Passwörter.

Eine Methode dem entgegen zu kommen sind sogenannte Passwortmanager. Hier lassen sich gute Passwörter generieren, in Kategorien ordnen und verschlüsselt in einer Datenbank, die mittels Masterpasswort gesichert ist, speichern. Der Knackpunkt hier ist das Masterpasswort: es sollte möglichst stark sein.

Ein empfehlenswerter freier Passwortmanager ist KeePassXC. Das Programm ist für Linux (empfohlen!), Windows und Mac verfügbar: keepassxc.org