Kompakte Notebooks Kompakte Notebooks - Wuala
Kompakte Notebooks Kompakte Notebooks - Wuala
Kompakte Notebooks Kompakte Notebooks - Wuala
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Praxis | Sicherheit: Passwörter<br />
Christiane Rütten<br />
Schön kompliziert<br />
Passwörter mit Köpfchen<br />
Die Liste der Dienste und Accounts, die mit einem Passwort gesichert werden<br />
wollen, wird länger und länger. Wer nicht gerade ein Elefantengedächtnis<br />
hat, bekommt schnell Probleme – wer überall dasselbe Passwort verwendet,<br />
erst recht. Doch mit einem guten Passwortsystem und dem richtigen Umgang<br />
mit Passwörtern fährt man sowohl sicher als auch bequem.<br />
Die Kombination von Benutzername<br />
und Passwort<br />
ist nach wie vor die<br />
wichtigste Methode, sich am PC<br />
und für einen Internet-Dienst zu<br />
authentifizieren. Weil der Benutzername<br />
oft öffentlich einsehbar<br />
ist – etwa bei einer Internet-Auktion<br />
– oder sich aus vorhersehbaren<br />
Personenmerkmalen wie<br />
Pseudonymen, Namen oder Mitgliedsnummern<br />
ergibt, hängt<br />
die Sicherheit dieses Systems<br />
hauptsächlich von der Wahl eines<br />
guten Passworts ab.<br />
Die gängige Faustformel lautet,<br />
dass ein gutes Passwort mindestens<br />
zehn Zeichen lang und<br />
aus einer möglichst zufälligen<br />
Mischung aus Groß- und Kleinbuchstaben,<br />
Ziffern sowie Sonderzeichen<br />
bestehen soll. Solche<br />
Passwörter kann man sich aber<br />
kaum merken und die Zahl von<br />
Diensten und Zugängen, für die<br />
ein Passwort nötig ist, wird immer<br />
größer: PC-Log-in daheim<br />
und auf der Arbeit, Notebook,<br />
das private Blog, die vier E-Mail-<br />
Konten, für ICQ, MSN und Jabber,<br />
das Forum für Kochrezepte,<br />
das Forum fürˇ… und so weiter.<br />
Die Konsequenz ist, dass viele<br />
Anwender leicht zu merkende<br />
Trivialpasswörter verwenden<br />
oder für alle Dienste dasselbe<br />
Passwort nehmen.<br />
Mit einem guten Passwortschema<br />
kann man sich beliebig<br />
viele einprägsame Passwörter<br />
für hohe Sicherheitsansprüche<br />
generieren: die Ergänzung eines<br />
immer gleichen Grundpassworts<br />
mit einer dienstspezifischen Erweiterung.<br />
Denn die beiden<br />
wichtigsten Methoden, der Erinnerung<br />
auf die Sprünge zu helfen,<br />
sind ein Bezug zum Anwendungsfall<br />
sowie regelmäßige<br />
Wiederholung durch möglichst<br />
häufige Verwendung. Beide für<br />
sich genommen sind höchst problematisch,<br />
doch die geschickte<br />
Kombination bringt den entscheidenden<br />
Dreh.<br />
Wichtig ist, dass das Grundpasswort<br />
für sich genommen<br />
ein gutes Passwort ist und Angriffen<br />
mit Wortlisten, Brute-<br />
Force und gezieltem Raten<br />
standhalten kann. Da man diesen<br />
Teil recht häufig eintippen<br />
muss – nämlich bei jedem nach<br />
diesem Schema generierten<br />
Passwort –, brennt sich durch<br />
die Wiederholung selbst eine<br />
lange und komplizierte Zeichenfolge<br />
wie „kL/ngS,4=!BIa#vb“<br />
schnell ins Gedächtnis.<br />
Ganz so lang und kompliziert<br />
muss das Grundpasswort in der<br />
Praxis nicht sein, da es nie alleinstehend<br />
verwendet werden darf;<br />
acht Buchstaben mit Sonderzeichen<br />
sollten mehr als genug<br />
sein. Es sollte außerdem keine<br />
Anführungszeichen oder Kaufmanns-Unds<br />
(&) enthalten, weil<br />
sie viele Formulare ablehnen. Je<br />
nach Tastaturbelegung können<br />
auch Umlaute Probleme machen.<br />
Wichtig ist außerdem, dass<br />
dieser Passwortteil keinen Bezug<br />
zum Nutzer enthält, um gezieltes<br />
Raten zu verhindern.<br />
Kurzfassung<br />
Gelegentlich kommt man in die<br />
Situation, dass man einem Anbieter<br />
nicht so recht traut – sei<br />
es, weil er die Zugangsdaten im<br />
Klartext überträgt oder er keinen<br />
guten Ruf genießt – oder dass<br />
einem der Schutz des Accounts<br />
nicht besonders wichtig ist. Für<br />
solche Fälle sollte man sich eine<br />
vereinfachte Variante des Grundpasswortes<br />
überlegen, indem<br />
man beispielsweise alle Sonderzeichen<br />
auslässt und alles klein<br />
schreibt.<br />
So ist sichergestellt, dass ein<br />
Angreifer keinen Zugriff auf<br />
Dienstteil<br />
Laptop<br />
mailkonto1<br />
auktionen<br />
Blog<br />
Grundpasswort<br />
:9,V7a-s9BB+<br />
:9,V7a-s9BB+<br />
:9,V7a-s9BB+<br />
:9,V7a-s9BB+<br />
Mit dem richtigen Passwortschema<br />
lassen sich beliebig<br />
viele einprägsame und<br />
trotzdem sichere Passwörter<br />
generieren.<br />
Mythos: „Die Länge macht’s!“<br />
Analysen von Passwortlisten<br />
haben ergeben, dass sich die<br />
häufigsten Passwörter aus einem<br />
Wort und einer angehängten<br />
oder vorangestellten Zahl<br />
zusammensetzen. Dies wissen<br />
auch die Schreiber von Knackprogrammen,<br />
weshalb Passwörter<br />
wie „passwort1“ oder „daniel76“<br />
keinen nennenswert<br />
besseren Schutz bieten als die<br />
Wörter ohne Zahl. Solche Kennwörter<br />
kann man sich zwar gut<br />
merken, doch sie halten keinem<br />
Wörterbuchangriff stand.<br />
Eine ebenfalls weit verbreitete,<br />
aber schlechte Zutat für Passwörter<br />
sind Namen und Geburtsjahre.<br />
Man kann davon<br />
ausgehen, dass die meisten<br />
Internetnutzer den 50 Jahrgängen<br />
vor 2000 angehören. Betrachtet<br />
man nun die Kombination<br />
aus Vorname mit rund<br />
sechs Zeichen und Jahreszahl<br />
mit zwei oder vier Ziffern, so ergeben<br />
sich rund neun Zeichen<br />
lange Passwörter.<br />
Das klingt erst einmal viel, heißt<br />
es doch vielerorts, acht Zeichen<br />
seien meist genug. Aus neun<br />
Kleinbuchstaben und Zahlen<br />
ergeben sich immerhin rund<br />
100 Billionen (36 9 ) mögliche<br />
Passwörter, die man per Brute-<br />
Force durchprobieren müsste.<br />
Doch wenn man bedenkt, dass<br />
eine Liste der 1000 häufigsten<br />
Vornamen das Gros der Anwender<br />
hierzulande abdeckt, ergeben<br />
sich zusammen mit den<br />
50 Jahrgängen gerade einmal<br />
50ˇ000 verschiedene Passwörter,<br />
die unter Umständen sehr<br />
schnell durchprobiert sind.<br />
Abgesehen davon wissen Daniels<br />
Bekannte und Leser seiner<br />
Website aber auch wahrscheinlich,<br />
dass er 1976 geboren<br />
wurde, er sich für Skateboardfahren<br />
interessiert, in Berlin<br />
wohnt und so weiter. Die Länge<br />
eines Passwortes ist somit kein<br />
hinreichend aussagekräftiges<br />
Maß für seine Qualität. Mindestens<br />
ebenso wichtig ist, aus welchen<br />
Komponenten es besteht,<br />
wie viele mögliche Zustände<br />
diese einnehmen können und<br />
wie leicht es ist, sie aus den bekannten<br />
Daten zu einer Person<br />
abzuleiten und sie so gezielt zu<br />
erraten.<br />
Auch Antworten auf Sicherheitsfragen<br />
sollten nicht vernachlässigt,<br />
sondern mit Köpfchen beantwortet<br />
werden. Der E-Mail-<br />
Account der US-Vizepräsidentschaftskandidatin<br />
Sarah Palin<br />
konnte beispielsweise geknackt<br />
werden, weil sich die Antworten<br />
auf die Sicherheitsfragen der<br />
Passwort-Rücksetzung nach einer<br />
kurzen Internet-Recherche<br />
aus der Vita der Gouverneurin<br />
herleiten ließen.<br />
86 c’t 2009, Heft 2<br />
©<br />
Copyright by Heise Zeitschriften Verlag GmbH & Co. KG. Veröffentlichung und Vervielfältigung nur mit Genehmigung des Heise Zeitschriften Verlags.