Authentifizierung: Sichere Passwörter
Sichere Passwörter braucht man immer wieder. Wie Sie die erzeugen und sich merken können, erfahren Sie hier. Zuvor geht es aber um die Frage, warum Sie Passwörter nicht für mehrere Dienste nutzen sollten.
Kein Recycling für Passwörter!
Im Allgemeinen ist Recycling eine sehr gute Sache. Aber nicht bei Passwörtern - da sollten Sie jedes nur für genau einen Zweck verwenden. Für jede Website, für jeden Dienst, für jeden Rechner, immer wenn Sie irgendwo ein Passwort brauchen, sollten Sie ein individuelles Passwort nur für diesen Zweck wählen und keines, was zuvor schon irgend wo anders verwendet wurde, erneut verwenden. Und das aus zwei Gründen:
- Werden irgendwo Benutzernamen und Passwörter ausgespäht, wie es in der Vergangenheit immer wieder vorgekommen ist, probieren die Cyberkriminellen diese Zugangsdaten meist auch bei weiteren Angeboten aus - zu oft mit Erfolg.
- Auch Phisher wissen, das viele Benutzer aus Bequemlichkeit für viele Dienste das gleiche Passwort und oft auch den gleichen Benutzernamen verwenden. Und wenn sie irgendwo eine Kombination aus Benutzername und Passwort ausgespäht haben, können sie sich damit sehr wahrscheinlich auch anderswo als der entsprechende Benutzer authentifizieren. Zum Beispiel versuchten Phisher schon 2008 über Facebook ganz allgemein Namen, E-Mail-Adressen und Passwörter zu sammeln. Die Opfer wurden auf eine dubiose Webseite gelockt, auf der sie Name und E-Mail-Adresse angeben und später ein Passwort wählen mussten, um weiter zu kommen. Die Wahrscheinlichkeit, das dabei ein öfter verwendetes Passwort verwendet wird, ist gross. Evtl. sogar das, das für den E-Mail-Account verwendet wird...
Vereinfachung für Sie - und die Cyberkriminellen!
Das gleiche Passwort und der gleiche Benutzername für alle Zwecke erleichtern das Einloggen - für Sie ebenso wie für einen Cyberkriminellen. Die Devise muss also lauten "Für jeden Zweck ein eigenes Passwort". Die eigentlich ebenso berechtigte Forderung "Für jeden Zweck auch ein eigener Benutzername" lässt sich oft nicht realisieren. Zum einen, weil immer noch viele Dienste darauf bestehen, die E-Mail-Adresse als Benutzernamen zu verwenden (dann ist es gut, wenn man einen eigenen Mailserver verwendet und damit einen unerschöpflichen Vorrat am E-Mail-Adressen hat), zum anderen, weil man ja oft auch anhand seines Benutzernamens von Freunden erkannt werden möchte. Außerdem: Wer will und kann sich schon so viele Passwörter und Benutzernamen merken?
Gesucht: Ein gutes Passwort!
Es gibt viele Möglichkeiten, ein gutes Passwort zu bilden. Die üblichen Regeln kennen Sie ja bestimmt: Möglichst lang, bestehend aus Groß- und Kleinbuchstaben, Zahlen und möglichst Sonderzeichen, und natürlich sollte es in keinem Wörterbuch stehen. Wobei "Wörterbuch" nicht nur Duden, Langenscheidt und Co. umfasst, sondern auch Passwortlisten wie die, die zum Beispiel beim aktuellen Angriff auf WordPress-Installationen verwendet wird. Im folgenden werde ich meine Methode zum Bilden und Merken sicherer Passwörter beschreiben.
Gut merkbare Passwörter
Am sichersten sind natürlich völlig zufällige Passwörter, aber die kann man sich meist schlecht merken. Passwörter, die ich häufig brauche, bilde ich daher alle nach dem folgenden Verfahren, denn sie müssen leicht zu merken sein. Dazu denke ich mir einen Satz aus, den ich mir gut merken kann. Am besten etwas, das irgendwie im Zusammenhang mit der jeweiligen Webseite etc. steht. Nehmen wir als Beispiel mal Youtube. Dann könnte der Satz zum Beispiel lauten
Bei Youtube gibt es viele gute Videos und auch mein Passwort ist gut
Jetzt nehme ich von jedem Wort den Anfangsbuchstaben:
BYgevgVuamPig
Das sieht doch schon mal ganz gut aus, sowas dürfte wohl in keinem Wörterbuch stehen. Ein paar Zahlen drin können nicht schaden. Entweder kann man die gleich mit im Satz unterbringen, oder man tauscht einige Buchstaben durch Zahlen aus. Also mal gucken: Das "g" sieht aus wie eine 9, das "i" wie eine 1. Und das "u" vom "und" könnte man auch durch ein "+" ersetzen:
BY9evgV+amP1g
Prima, das lässt sich relativ gut merken, wenn man den zugrunde liegenden Satz
Bei Youtube 9ibt es viele gute Videos + auch mein Passwort 1st gut
zur Hilfe nimmt, aber mit Sicherheit weder erraten noch über einen Wörterbuchangriff ermitteln. Ich weiß nicht, ob so ein Passwort von Youtube akzeptiert wird, da ich da keinen Account habe, aber ggf. kann man ja einen kürzeren Satz wählen und/oder das Passwort in Klein- oder Grossbuchstaben umwandeln.
Auch wenn das nach
Leetspeak
aussieht sollten Sie keine Leetspeak-Wörter als Passwort verwenden. So
schlau, ihre Wörterbücher für die Wörterbuch-Angriffe an Leetspeak
anzupassen, waren die Cyberkriminellen schon vor etlichen Jahren.
p455w0rt
ist also alles andere als ein sicheres Passwort,
auch wenn es auf den ersten Blick so aussieht.
Wichtige Passwörter liefert der Zufallsgenerator
Für wirklich wichtige Passwörter, zum Beispiel den Zugang für meine Webserver etc., verwende ich vom Zufallsgenerator erzeugte Passwörter. Die kann ich mir meist nicht merken, auch weil ich sie nur sehr selten brauche. Da ich die aber immer nur im Büro brauche, kann ich sie problemlos aufschreiben und wegschließen.
Ab in den (Password)Safe?
Ein (Hardware-)Safe ist, sofern vorhanden, ein guter Aufbewahrungsort für die notierten Passwörter. Ob man einen Passwordsafe wie zum Beispiel den Schlüsselring vom Mac OS X verwendet, ist Geschmacks- und Abwägungssache. Was passiert, wenn der Rechner, auf dem der Passwordsafe läuft, kompromittiert wird? Wie sicher sind die darin gespeicherten Passwörter dann?
Einige Passwörter speichere ich darin völlig bedenkenlos, zum Beispiel die für FTP- oder manche Mail-Zugänge - die werden sowieso unverschlüsselt übertragen, und sollte mein Rechner kompromittiert werden ist es egal, ob das Passwort aus dem Schlüsselring oder bei der Übertragung ausgespäht wird. Andere, zum Beispiel die für GPG, haben auf dem Rechner nichts zu suchen.
Und ein Passwortmanager ist zwar eine nützliche Hilfe, aber nur, wenn man Zugriff darauf hat. Für alles, was man auch mal schnell nebenbei im Büro oder sogar im Urlaub aus einen Internet-Café (was nebenbei bemerkt generell keine gute Idee ist, dazu mehr in der nächsten Folge) aufrufen möchte, ist ein Passwortmanager auf dem Rechner daheim keine Hilfe. Natürlich könnte man dafür einen Passwortmanager auf dem Smartphone verwenden, aber das ist mir persönlich zu unsicher. Ein Smartphone wird schneller gestohlen oder verloren als ein Desktop-Rechner, und ob der Passwortmanager Angriffen wirklich stand hält ist oft zweifelhaft.
In der nächsten Folge widme ich mich den üblichen Passwortregeln.
Übersicht über alle Artikel zum Thema
- Authentifizierung: Sichere Passwörter
- Authentifizierung: Passwortregeln, Teil 1
- Authentifizierung: Passwortregeln, Teil 2
- Authentifizierung: Ein Faktor reicht nicht (mehr)
- Zwei-Faktor-Authentifizierung per SMS
- Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
- Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 2
- Zwei-Faktor-Authentifizierung mit der Smartphone-App
Trackbacks
Dipl.-Inform. Carsten Eilers am : Kommentare zu diesem und jenem
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zur IE-0-Day-Schwachstelle und Angriffen auf und über WordPress-Blogs
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Millionenfacher Identitätsdiebstahl führt zu blinden Aktionismus
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Unerfreuliches zu Routern und dem IoT
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 2
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 3
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 12
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die IoT Top 10, #2: Unsichere Authentifizierung/Autorisierung, Teil 18
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : WLAN-Sicherheit 1 - Der unsichere WEP-Algorithmus
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der SDL am Beispiel eines Gästebuchs, Teil 6
Vorschau anzeigen