GlobalSign Blog

14 Feb 2017

So erstellen Sie ein starkes Passwort

Lange ist es her, als Passwörter gestohlen worden, indem man Ihnen über die Schulter geschaut hat. Hacker nutzen ausgeklügelte Software, um Ihre Passwortkombination zu knacken. Und je nach Größe und möglichen Kombinationsmöglichkeiten Ihres Passworts, kann dies schon in weniger als einer Minute der Fall sein.

Leichte Passwörter, wie Ihre Handypasswort oder Ihre Pin-Nummer der Bankkarte, haben normal nur vier Zeichen – und jedes Zeichen hat nur 10 verschiedene Möglichkeiten. Das heißt es gibt 10.000 mögliche Kombinationen des Passworts. Für einen Menschen sind das zu viele Versuche, aber eine Passwort-Hacking-Software kann diese Anzahl an Kombinationen in Millisekunden durchgehen.

Sind Sie schon besorgt?

Bevor Sie Ihre Taschen packen und ein Leben ohne moderne Technik anstreben, versuchen Sie doch erst unsere Tipps für sichere Passwörter. Und teilen Sie die Tipps mit Ihren Mitarbeitern, um Aufmerksamkeit für das Thema in Ihrem Unternehmen zu gewinnen.

Verschiedene Zeichen und längere Passwörter

Lassen Sie uns das ganze aus Sicht des Hackers angehen. Stellen Sie sich vor wir sind der Hacker und Sie ein Mitarbeiter eines Unternehmens, der kein Training oder Richtlinien zur Erstellung von Passwörtern erhalten hat. Als Sie eingestellt wurden, hat man Ihnen Accounts gegeben und Sie haben Passwörter für alle Systeme erstellt, zu denen Sie Zugang haben. Es ist sehr wahrscheinlich, dass viele oder sogar all diese Passwörter genau gleich sind. Es ist außerdem sehr wahrscheinlich, dass dieses Passwort zwischen sechs bis acht Zeichen lang und sich leicht zu merken ist.

Lassen Sie uns ein paar Fakten von Kevin Fogarty in IT World ansehen. Sechs Zeichen (Zahlen und Nummern, aber alles Kleinbuchstaben und ohne Sonderzeichen) hat 2,25 Milliarden Kombinationsmöglichkeiten.

  • Mit einer Web-App, die 1000 Versuche pro Sekunde schafft, kann das Passwort in 3,7 Wochen geknackt werden.
  • Wenn wir das ganze offline versuchen und Hochleistungsserver und Desktops nutzen, könnten 100 Milliarden Kombinationen pro Sekunde getestet werden und das Passwort wäre in 0,0224 Sekunden entschlüsselt.
  • Wenn wir dazu noch parallellaufende Cluster nutzen, die simultan zur gleichen Zeit testen, könnten wir 100 Trillionen Kombinationen pro Sekunde testen und das Passwort in 0,0000224 Sekunden knacken.

Wenn Sie ein Sonderzeichen hinzufügen und Ihr Passwort auf 10 Zeichen verlängern, machen Sie es Hackern schon erheblich schwerer.

  • Mit einer Web App – 54,46 Millionen Jahrzehnte.
  • Offline mit Hochleistungsservern – 54,46 Jahre.
  • Offline mit parallelen Clustern – 2,83 Wochen.

Falls wir es wirklich schaffen wollen, würden wir vielleicht ein paar Wochen investieren, aber nur, wenn wir absolut sicher sind, dass wir etwas wirklich Wertvolles hinter dem Passwort finden. Warum würden wir es sonst tun? Es gibt noch wichtigere Dinge im Leben.

Ein neues Passwort für alle Accounts

Es mag selbstverständlich klingen, aber Sie werden überrascht sein, wie viele Leute es nicht tun (mehr als 80% nutzen Passwörter erneut, wie eine aktuelle Studie herausfand). Falls wir Ihr Passwort herausfinden, würden wir dieses Passwort bei allen großen Onlinediensten ausprobieren, bei denen wir vermuten, dass Sie sich angemeldet haben. Wir wollen nicht nur Zugriff auf Ihre E-Mails haben. Wir wollen die E-Mails nutzen, um herauszufinden, welche anderen Dienste Sie nutzen und mit ein bisschen Glück haben Sie das gleiche Passwort verwendet.

Wer weiß, vielleicht gelingt der Zugriff auf Ihre Arbeits-E-Mails und dann auf ein internes Unternehmenssystem, das finanzielle Daten von Kunden speichert. Ziel erreicht.

Wenn Sie sich nicht so viele Passwörter merken können, was sehr wahrscheinlich ist, außer falls Sie Sheldon von der Big Bang Theory sind, dann nutzen Sie einen Passwortmanager. Wenn Sie ein Unternehmen leiten, machen Sie einen Passwortmanager zum Teil Ihres internen Systems. Mitarbeiter können so Passwörter speichern und teilen, innerhalb und zwischen Abteilungen.

Techradar hat eine Liste der besten Passwortmanager von 2016 veröffentlicht. LastPass wird darin als bester Passwortmanager gekürt, und Sie können mit dem darin enthaltenden Passwortgenerator sogar zusätzlich sicherere Passwörter erstellen.

Nutzen Sie keine persönlichen Informationen in Ihren Passwörtern

Es ist verständlicherweise praktischer und einfacher ein Passwort zu nutzen, das leicht zu merkende Informationen enthält – Ihren Geburtstag oder der Geburtstag eines Bekannten, Ihr Straßenname, Ihr eigener Name oder der Name eines Familienmitglieds, oder gar der Name Ihres Haustiers.

Falls Sie sich für praktisch statt sicher entschieden haben, haben Sie es einem Hacker auch gerade leichter gemacht. Die Passwort-Hacking-Software von vorhin? Viele haben eine Funktion in der man persönliche Informationen eingeben kann und diese Informationen werden vorrangig genutzt, um das Passwort zu erraten.

So können längere Passwörter schneller geknackt werden, als wenn es sich um eine beliebige Zeichenfolge handelt.

Nutzen Sie Zwei-Faktor-Authentifizierung

Es gibt Wege auf denen man Passwörter mit Zwei-Faktor-Authentifizierung knacken kann.

Falls Sie nicht wissen was damit gemeint ist, Zwei-Faktor-Authentifizierung fügt einen zweiten Faktoren bei der Verifizierung Ihrer Identität bzw. beim Einloggen hinzu. Zum Beispiel müssen Sie Ihr Passwort in Kombination mit Ihrem Fingerabdruck angeben, einer Push-Nachricht auf Ihrem Handy folgen oder sogar einen Token/Smartcard einstecken. Zwei-Faktor-Authentifizierung bedeutet, dass ein zweiter Schritt (sozusagen ein zweites Passwort) benötigt wird.

Manche der besten Passwort-Hacking-Tools bieten die Möglichkeit den zweiten Schritt zu hacken, falls es sich beim zweiten Schritt um ein weiteres Passwort und nicht um einen anderen Faktoren handelt.

Zwei-Faktor-Authentifizierung ist aber keine Zeitverschwendung. Falls Sie es in Kombination mit einem starken Passwort verwenden, macht es das Leben eines Hackers ungemein schwerer. Und wenn das Passwort auch noch schwer zu hacken ist, entscheidet ein Hacker sich vielleicht lieber für ein einfacheres Opfer.

Viele Webdienste und -anwendungen ermöglichen Zwei-Faktor-Authentifizierung über die Einstellungen. Falls wir das Szenario nicht gerade aus Sicht eines Hackers erklären würden, würden wir die Dienste kontaktieren, die noch keinen zweiten Authentifizierungsfaktoren akzeptieren und erklären, wie sie damit Kunden helfen könnten.

Falls Sie ein Unternehmen sind, können Sie einen zweiten Faktor für alle Mitarbeiter einführen, die sich in Systeme einloggen, in denen vertrauliche und geheime Informationen zu finden sind. Es ist eine gute Idee alle Daten, Systeme und Mitarbeiter, die darauf Zugriff haben zu prüfen. Damit können Sie die Größe des Projekts bestimmen und den richtigen Dienstleister für Hilfe an Bord holen.

Entscheiden Sie sich noch nicht gegen ein modernes Leben…

Hacker handeln selten so ausgeklügelt wie in der Serie Mr. Robot. Meistens sind sie auf der Suche nach Daten, die sie verkaufen können oder sie testen das System auf Schwachstellen, die sie ausnutzen können. Sobald etwas zu schwierig zu hacken ist, lassen sie sich meist davon abbringen.

Ein starkes Passwort, Passwortmanager und Zwei-Faktor-Authentifizierung sind die drei Tools, mit denen Sie Ihr Passwort uninteressant für Hacker machen.

Artikel teilen