Tel.: 0731 - 145 323 44 03212 - 34 34 35 4 info@maximusweb.org

Sichere Passwörter - Wie muss ein sicheres Passwort beschaffen sein?

Die Hashcat Benutzeroberfläche

Passwörter sichern die Zugänge zu Ihrem Webserver / Ihrer Webseite. Daher sind Sie gut beraten, wenn Sie die nachfolgenden Ratschläge alle beherzigen. Damit Sie verstehen warum unsere Tips so wichtig sind, erläutern wir vorher die Möglichkeiten eines potentiellen Angreifers.

Wenn wieder einmal eine große Webseite gehackt wird, fallen den Angreifern viele Daten in die Hände. Benutzername und Passwort werden in den meisten Fällen in verschlüsselter Form in der Datenbank abgelegt. Mathematisch ist es unmöglich diesen Hashwert zurückzurechnen. Wenn ein Angreifer an die so genannten Passwort Hashes gelangt, kann er aber folgendes tun:

  1. Er probiert jede mögliche Kombination durch, auch Brute Force Attacke genannt. Das macht der Hacker natürlich nicht von Hand, das Script Kiddie von heute nimmt dazu John the Ripper oder besser noch Hashcat. Mit Hashcat können Sie die Passwörter mit Ihrer CPU errechnen lassen, oder mit Ihrer GPU. Das ist der Chip Ihrer Grafikkarte. Grafikkarten sind von Haus aus darauf ausgelegt, viele Prozesse parallel zu berechnen. Wenn der Angreifer mit einer Garfikkarte arbeitet, kann er je nach Modell bis zu 1.000.000! Kombinationen pro Sekunde vergleichen. Sie denken, WOW das ist viel? Handelt es sich um einen (veralteten) MD5 Hash, gehen sogar mehrere Hundert Millionen Passwörter pro Sekunde. Diese Geschwindigkeit wurde mit dem Grafikkartenmodell NVIDIA GeForce GTX 580 erzielt. Es gibt aber deutlich schnellere Karten.

  2. Wenn die erste Angriffsmethode nicht funktioniert kommt der Wörterbuchangriff, die so genannte "dictionary attack". Hierbei bedient sich der Angreifer diverser Wortlisten. Das Programm Hashcat nimmt jedes Wort aus der Liste bildet den Hashwert und vergleicht diesen mit dem vorgegebenen (erbeuteten) Hashwert. Wenn dieser nicht übereinstimmt kommt das nächste Wort dran. Das ist aber noch lange nicht alles. Mit einer bestimmten Konfiguration (Masken und Regeln) und viel Hirnschmalz ist es auch möglich schwierige Passwörter heraus zu bekommen. Wir haben von einem Kunden 250 Passwort Hashes aus der Datenbank extrahiert. Uns war es möglich 144 davon zu ermitteln, dabei waren durchaus auch anspruchsvolle Passwörter.

So muss ein sicheres Passwort beschaffen sein

Wenn Sie diese 7 einfachen Regeln beachten machen Sie es dem Angreifer richtig schwer:

  1. Das Passwort muss mindestens aus 10 Zeichen bestehen. Das ist das absolute Minimum, mehr ist in diesem Fall immer besser. Das BSI empfielt 12 Stellen! Große Anbieter haben reagiert. Bei Amazon, Paypal und Ebay zum Beispiel, können Sie Passwörter mit einer Zeichenlänge von 64 Stellen eingeben. Nutzen Sie diese Möglichkeit!
  2. Das Passwort muss mindestens einen Großbuchstaben, Kleinbuchstaben, eine Ziffer und ein Sonderzeichen enthalten.
  3. Das Passwort darf auf keinen Fall ein Sinn ergebendes Wort sein, auch Varianten wie "Torwart22" oder "Biene22121999" sind unsicher!
  4. Benutzen Sie keine Tastaturmuster wie "asdf123456"
  5. Hängen Sie Sonderzeichen und/oder Ziffern nicht an ein ansonsten einfaches Passwort an, wie "Fahrrad$4".
  6. Verwenden Sie jedes Passwort nur ein einziges Mal.
  7. Zu guter Letzt: Ändern Sie Ihre Passwörter regelmäßig.

Diese Regeln sind natürlich mit Aufwand verbunden. Vor allem besteht die Schwierigkeit darin, sich das Passwort auszudenken und zu merken. Wir raten Ihnen diesbezüglich zu Roboform (kostenpflichtig aber gut), dies ist ein Passwort Verwaltungsprogramm. Sie können damit auch sichere Passwörter generieren. Das Schöne an Roboform ist, Sie können das Programm als Browserplugin verwenden und müssen Passwörter gar nicht mehr von Hand eingeben. Das BSI empfielt das kostenfreie Programm KeePass.

Passwortmanager

Hier können Sie die Passwortmanger herunterladen:
Roboform
KeePass

Wenn Sie nur wenig im Internet unterwegs sind, benötigen Sie nicht unbedingt softwaregestützte Hilfe. Es gibt einen einfachen Weg sichere Passwörter zu generieren, ohne Programm. Bilden Sie einen Satz wie diesen hier:"Vor meinem Haus stehen 2 Tannen, (die extrem große Zapfen haben!)". Von diesem Satz nehmen Sie nun jeweils die Anfangsbuchstaben, in unserem Beispiel wäre dies folgendes Passwort: VmHs2T,(degZh!) Verwenden Sie einen ausgedachten Satz, kein Zitat oder eine Textstelle aus einem Buch.

Maximusweb Online Passwortcheck

Ist Ihr Passwort sicher genug? Machen Sie den Maximusweb Passwortcheck. Wir garantieren, dass kein Passwort welches Sie eingeben, gespeichert wird!



E-Book vom Berufsverband der Rechtsjournalisten e.V

Ein gutes E-Book zum Thema können Sie hier herunterladen:
Passwortverwaltung: Den Überblick über Kennwörter behalten

Sie benötigen keine Registrierung um das E-Book zu erhalten. Die Webseite bietet weiterhin ausführliche Informationen rund um das Thema Passwortsicherheit.