kein Passwort zweimal
Passwörter sollten niemals zweimal oder gar öfter verwendet werden. Wird in Zeiten, in denen Benutzer Dutzende von verschiedenen Diensten nutzen, ein Dienst kompromittiert und das Passwort gestohlen, ist es für die Kriminellen eine Steilvorlage, wenn sie mit den gleichen Zugangsdaten bei anderen Diensten erfolgreich Zugang erhalten.
je länger, je besser
Passwörter werden brute force geknackt,
also durch reines, systematisches Durchprobieren aller Möglichkeiten.
Sind Wörterbücher und Listen oft verwendeter Passwörter erfolglos erschöpft, werden diese zusammengesetzt.
Danach werden Zeichenketten durchkombiniert: A-Z, a-z, 0-9 und Sonderzeichen. Bei 10 Sonderzeichen
ergibt dies 72 verschiedene Zeichen pro Stelle.
Ein moderner Computer kann 8000 Millionen Passwörter pro Sekunde rechnen.
| Länge | Kombinationen | Dauer |
|---|---|---|
| 6 | 139314069504 | 18 Sekunden |
| 7 | 10030613004288 | 21 Minuten |
| 9 | 51998697814228992 | 75 Tage |
| 10 | 3743906242624487424 | 15 Jahre |
Diese Zeiten gelten für einen Computer. Hat man sehr viele Computer, etwa in einem botnet oder der cloud relativieren sich selbst bei einer Passwortlänge von 10 Zeichen die 15 Jahre auf wenige Sekunden bis Minuten.
besser lang und einfach, als kurz und schwer
Passwörter muss man sich merken können und gegebenfalls auch zügig eingeben.
Was kann man sich besser merken: HundKatzeMaus oder ThetheiM5ooGa?
Beide sind 13 Zeichen lang, ersteres hat den Nachteil, dass die Komponenten aus einem
Wörterbuch kommen. Dies kann man vermeiden, indem man die Komponenten systematisch
zusammensetzt und verstümmelt.
Schema
Gesucht: ein Passwort für Facebook?
Als Grundschema verwenden wir
Vorname, Dienst, Tier.
Facebook beginnt mit einem "F". Also nehmen wir
Friedrich, Facebook, Fisch.
Da sich diese Wörter in einem Wörterbuch finden lassen, verstümmeln wir sie zu
Riedrich, Acebook, Isch.
Nun gießen wir das noch in eine mathematische Formel und bringen damit Sonderzeichen
ins Spiel.
Mit Riedrich+Acebook=Isch erhält man ein starkes Passwort, das man
beispielweise mit einem Komma am Anfang und Ende noch verlängern und damit verstärken könnte.
Denken Sie sich Ihr eigenes Schema aus!
Quersumme
Eine weitere Methode, um starke Passwörter zu erhalten, stellen Hashfunktionen dar.
Hashfunktionen funktionieren wie Quersummen, sie sind nur komplizierter
konstruiert. Die momentan wohl bekanntesten Vertreter sind MD5 und
SHA-1.
Beide Hashfunktionen weisen mittlerweile Schwächen auf, so dass von ihrem Einsatz für bestimmte
Gebiete abgeraten wird, diese sind jedoch für diese Verwendung irrelevant.
Beginnen wir wieder mit einem einfachen Ansatz: Vorname und Dienst. Davon nehmen wir wiederum
Riedrich und Acebook und hängen es zu RiedrichAcebook aneinander.
Wendet man nun die MD5 Hashfunktion darauf an, erhält man dfecaf343d1c91e8d3810b52fe5984b7.
Das kann man sich zwar nicht merken, das Ausgangspasswort ist aber leicht zu merken und so das
eigentliche Passwort immer leicht wieder zu berechnen. Die Länge des Passwortes sorgt dafür dass
es sicher ist.
Diese Methode ist schlecht, wenn man sein Passwort häufig und vielleicht unter Beobachtung eingeben muss,
weil man es sich eher nicht merken, nur langsam eintippen und der Generierungsprozess leicht
beobachtet werden kann. Will man aber Daten nur einmal verschlüsseln und eher sporadisch darauf zugreifen,
bietet sich eine solche Methode an.
