24. November 2014 Andy Green*

Gastkommentar: Der beste Passwortgenerator? Sie selbst!

Mal ehrlich: Wenn es darum geht, neue Passwörter zu erfinden, sind wir alles andere als kreativ. Sie sind zu kurz, zu offensichtlich, und Hacker sind geübt darin, sie zu entschlüsseln – entweder durch schlichtes Raten oder mithilfe von Passwort-Hashes aus umfangreichen, vorberechneten Tabellen. [...]

Wie schlecht sind unsere kollektiv vorhandenen Erfindungskünste in Sachen Passwörter wirklich? Lesen Sie selbst. Bei einem riesigen Datendiebstahl bei RockYou im Jahr 2009 wurden 32 Millionen unverschlüsselte – ja, das hat mich auch schockiert – Passwörter gestohlen und ins Internet gestellt. Wir haben nun eine relativ klare Vorstellung davon, wie einfallslos die Allgemeinheit an dieser Stelle sein kann.

RISKANTE BEQUEMLICHKEIT
Es ist wenig überraschend, dass „123456“ das beliebteste Kennwort war, das fast 300.000 Nutzer ausgewählt hatten, gefolgt von den üblichen Verdächtigen: „password“, „iloveyou“ und „rockyou“, der Name des Online-Gaming-Dienstes selbst.

Das Motiv dahinter durchaus verständlich: Bequemlichkeit. Nachdem ich die RockYou-Dateien durchgesehen habe, kann ich sagen, dass die folgende Formel alles andere als originell ist: + „boy“ oder „girl“ + .

Hacker profitieren von unserem Wunsch nach Bequemlichkeit und stellen auf dieser Grundlage fundierte Mutmaßungen mit hoher Trefferwahrscheinlichkeit an.

Es wird nur wenig komplizierter, wenn sie eine Liste mit Passwort-Hashes in die Finger bekommen, wie es bei dem berühmt-berüchtigten Sicherheitsvorfall bei LinkedIn der Fall war. Mithilfe bestehender Passwortlisten und Wörterbücher mit häufig verwendeten Wörtern lassen sich riesige Tabellen vorberechnen und Passwörter mit Hashwerten verknüpfen. Nach einem kurzen Reverse-Lookup ist die verschlüsselte Hash-Sequenz dann geknackt.

Ja, das Hinzufügen so genannter „Salts“ hilft. Doch angesichts der enormen Rechenleistung, die dem Durchschnittshacker zur Verfügung steht sind inzwischen Offline-Brute-Force-Attacken möglich.

JE LÄNGER, DESTO BESSER
Eine offensichtliche Möglichkeit, Hackern das Leben zu erschweren ist es, schlicht längere Passwörter zu verwenden. Informationstheoretisch gesprochen geht es darum die Informationsentropie zu erhöhen.

Warum machen ein paar Zeichen mehr in einem Passwort einen so großen Unterschied? Das hat mit der Kraft des exponentiellen Wachstums zu tun.

Sagen wir, für die Wahl Ihres Passworts stehen Ihnen Groß- und Kleinbuchstaben (52 Möglichkeiten), Zahlen (10) und die sämtliche Interpunktionszeichen sowie sonstige alphanumerische Symbole (etwa 13) zur Verfügung. Durch ein zusätzliches Zeichen in Ihrem Passwort ergeben sich in Summe also 75 neue Möglichkeiten.

Bei einem sechsstelligen Kennwort gibt es 75 hoch sechs Möglichkeiten, also über 200 Milliarden. Im Zeitalter von Big Data ist das keine wahnsinnig große Zahl. Mit zwei Zeichen mehr stehen die Hacker vor einer Billiarde Möglichkeiten – das sind tausend Billionen.

Mit längeren Kennwörtern – ab etwa acht bis zehn Zeichen – sind Attacken, die auf dem Erraten von Passwörtern basieren von vornherein zum Scheitern verurteilt. Und Hacker, die eine Datei mit Passwort-Hashes ergattert haben, stünden vor einem ernsthaften Rechnerproblem.

EINFACHE, LANGE PASSWÖRTER
Wir Menschen sind tatsächlich in der Lage, uns lange Kennwörter auszudenken. Die Technik, die ich nun vorstelle, basiert auf einer altmodischen Gedächtnisstütze: der Eselsbrücke.

Die Idee dahinter ist, eine Geschichte zu erfinden und daraus Buchstaben und Symbole zu generieren. Ich weiß, dass ich samstags bestimmte Besorgungen machen muss. Ich verwende also die folgende Geschichte: Jeden Samstag um 10 Uhr gehe ich zur Reinigung und hole meine 2 Hemden ab.

Aus diesem Satz nehme ich den ersten Buchstaben jedes Worts, um mein langes, nicht zu entschlüsselndes Kennwort zu generieren: JSu10UgizRuhm2Ha. Dieses Passwort könnte ich mir normalerweise niemals merken. Doch dank der kleinen Geschichte kann ich es in Sekundenschnelle rekonstruieren. Sie können Ihrer Kreativität freien Lauf lassen.

Ihre Aufgabe ist nun also der gute Vorsatz fürs neue Jahr: Im Januar 2015 alle Passwörter ändern. Oder IAinadgVfnJ:IJ2015aPä.

* Andy Green ist Senior Digital Content Producer bei Varonis.


Mehr Artikel

News

Infineon IT-Services: Zwanzig Jahre Innovation und Exzellenz in Klagenfurt

4. Juli 2024

Was 2004 mit 80 Mitarbeiter:innen in Klagenfurt angefangen hat, ist heute auf rund 460 Beschäftigte aus 31 verschiedenen Nationen gewachsen: Die Infineon Technologies IT-Services GmbH mit Hauptsitz in Klagenfurt. Sie verantwortet und betreibt weltweit alle wesentlichen IT-Funktionen im Infineon-Konzern. Heuer begeht der Klagenfurter Standort, an dem rund 300 der 460 Beschäftigten sitzen, sein 20-Jahre-Jubiläum. […]

News

Fünf Trends im Product Lifecycle Management

4. Juli 2024

Produkte und Prozessketten werden immer vernetzter und komplexer. Wer hier den Anschluss verpasst, verliert auch den Produktivitäts- und Wettbewerbsvorsprung. Product Lifecycle Management ist daher der Schlüssel zur Zukunftsfähigkeit für Smart Factories und digitale Wertschöpfungsketten. […]

News

Innovative Customer Experience stellt noch eine große Hürde dar

4. Juli 2024

Der globale Technologieanbieter Zoho stellt den zweiten Teil seiner „Digital Health“-Studie vor. Im Fokus stand diesmal die Frage nach dem digitalen Reifegrad von Unternehmen in Bezug auf Kunden- und Mitarbeitererfahrung. Ergebnis: Unternehmen zeigen deutliches Optimierungspotenzial, wenn es darum geht, ein wirklich gutes Kundenerlebnis zu bieten. […]

News

Stabiles Outdoor-WLAN für schwere Bedingungen

4. Juli 2024

In vielen Situationen sind heutzutage zuverlässige und leistungsstarke Datenverbindungen unerlässlich – von Einsätzen von Rettungskräften bis hin zu Wartungsarbeiten an entlegenen Orten. Für solche Zwecke hat die Thomas-Krenn.AG einen robusten Datenkoffer entworfen, der Nutzer zuverlässig mit 4G- und 5G-basiertem WLAN versorgen kann. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*