Sichere Passwörter

Schwachpunkt Passwort
Auch als unknackbar geltende Verschlüsselungssysteme (z.B. RSA (GnuPG), AES & Twofish (Cryptsetup)) haben einen Schwachpunkt: das Passwort. Die gängigsten Methoden um an das Passwort zu kommen sind dabei das Ausprobieren oder das Erschleichen.
Beim Ausprobieren wird eine Liste gängiger Passwörter wie z.B. passwort, 123456 oder qwertz durchprobiert oder es handelt sich um einen sogenanneten Wörterbuch-Angriff, bei dem alle Worte eines Wörterbuches durchgetestet werden. Eine weitere Methode besteht in dem Ausprobieren aller Kombinationsmöglichkeiten von Zeichen. Diese stößt aber ab einer gewissen Passwortlänge an ihre Grenzen, da die Möglichkeiten pro weiterem Zeichen um ein vielfaches ansteigen.
Beim erschleichen von Passworten wird meist subtiler vorgegangen. Beispielsweise wird dem Betroffenen vorgegaukelt man wäre der Betreiber eines Dienstes und benötige das Passwort oder das Passwort müsse geändert werden. Die Angriffsszenarien beim sogenannten “scocial engeneering“ sind vielfältig. In ausgeklügelteren Fällen informiert sich der Angreifer über sein Opfer und die Umstände und erfindet eine plausible Geschichte. Gib unter keinen Umständen dein Passwort an irgendjemand weiter – auch nicht an uns!
Neben dem Mensch kann auch das Computersystem angegriffen werden. Mittels Trojaner oder Viren kann sogenannte “Spyware“ auf dem Rechner installiert werden, die Passwörter oder andere Daten ausspioniert.
In den letzten beiden Fällen hilft ein abgesicherter Computer und ein kritscher Umgang mit Daten. Dieser meint nicht nur, dass keine Passwörter weitergegeben werden, sondern auch, dass Dateien die aus unsicheren Quellen stammen nur mit vorsicht geöffnet und Programme nur aus sicheren Quellen installiert werden.
Außerdem sollte für jeden Dienst den man nutzt ein anderes Passwort verwendet werden, damit ein Angreifer nicht durch ein Passwort an viele Dienste und Daten kommt.

Auch du bist ein Ziel!
Interessant ist eigentlich jede/r Internetnutzer_in. Hat man ein Passwort geknackt kann man den Dienst (z.B. E-Mail-Konto) übernehmen und es sehr leicht in Geld umwandeln. Im Falle eines E-Mailkontos z.B. in dem man die Mails im Konto auf beispielsweise Kreditkartendaten o.ä. abgrast. Hinzu kommt, dass man sich bei vielen Diensten ein neues Passwort an eben jene Mailadresse schicken lassen kann – so kann man weitere Dienste übernhemen – z.B. Onlineshops und Bestellungen aufgeben. Oder man verschickt einfach Spam über das Mailkonto des Opfers. Dein Mailkonto!
Das schadet nicht nur Dir, sondern auch allen Opfern von Spam und uns als Anbieter. Wir können dann auf Anti-Spam-Listen landen und etliche Anbieter nehmen die Mails unserer Nutzer_innen dann nicht mehr an – auch deine Mails! Es ist also wirklich wichtig ein sicheres Passwort zu wählen!

Wie sieht ein sicheres Passwort aus?
Sichere Passwörter bestehen aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen. Als sicher gelten derzeit Passwörter mit 10 Zeichen oder mehr. Bei Passwörter für Festplattenverschlüsselung empfehlen wir 15 Zeichen oder mehr. Realisierbar ist dies über die Anfangsbuchstaben und Zahlen eines Satzes. Beispiel: “Sieben Zwerge leben hinter Sieben Bergen“ ergibt “7Zlh7B“. Setzt man nun noch zwei Sonderzeichen mit hinein oder baut sie am besten in den Satz ein, hat man ein einfach zu merkendes 10-stelliges Passwort.
Die Passwörter sollten hin und wieder geändert werden.

Das Problem: ein individuelles Passwort pro Dienst
Weiter oben im Text empfehlen wir pro Dienst ein individuelles Passwort zu verwenden. Trotz des Beispiels wie sich gute, merkbare Passwörter generieren lassen, verliert mensch leicht den Überblick über die verwedenten Passwörter.
Eine Methode dem entgegen zu kommen sind sogenannte Passwortmanager. Hier lassen sich gute Passwörter generieren, in Kategorien ordnen und verschlüsselt in einer Datenbank, die mittels Masterpasswort gesichert ist, speichern. Der Knackpunkt hier ist das Masterpasswort: es sollte möglichst stark sein.

Ein empfehlenswerter freier Passwortmanager ist KeePassX. Das Programm ist für Linux (empfohlen!), Windows und Mac verfügbar: www.keepassx.org