Passwörter

Aus FAKTURA-X Wiki
Version vom 9. Mai 2020, 21:43 Uhr von FBO (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Passwörter sind notwendig, aber lästig. Deshalb vergeben viele Anwender einfache Passwörter oder verwenden für alle Einsatzbereiche nur ein oder einige wen…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Passwörter sind notwendig, aber lästig. Deshalb vergeben viele Anwender einfache Passwörter oder verwenden für alle Einsatzbereiche nur ein oder einige wenige Passwörter.

Auf diesen Seiten wird das erstellen komplexer und trotzdem "merkbarer" Passwörter beschrieben.

Schlechte Passwörter

Die beliebtesten und häufigsten Passwörter im Überblick:

  • 12345
  • 0000
  • qwertz im deutschsprachigen Raum, im anglo-amerikanischen Raum 'qwerty
Diese Passwörter sind leicht zu erraten und bieten daher keinerlei Schutz.

Ebenfalls beliebt sind der Name des Partners/Kindes/Haustiers/Lieblingsverein/Lieblingsmusiker. Diese Passwörter lassen sich jedoch leicht von Menschen erraten. die den Anwender kennen und bieten daher ebenfalls kaum Schutz. Durch Social Engineering ist es übrigens einfach, solche Passwörter durch einfache Fragen an Bekannte oder Kollegen herauszubekommen.

Ebenfalls schlechte Passwörter sind Begriffe, die sich in Wörterbüchern finden (Bücherwurm oder Tischkante) oder Namen (Anke oder Klaus). Diese Passwörter werden von entsprechenden Anwendungen systematisch ausprobiert, quasi das gesamte Wörterbuch. Diese Methode nennt sich Brute Force (Rohe Gewalt).

Auch kurze oder einfache Passwörter (abcde oder 123abc) werden durch Brute Force schnell geknackt.

Grundlagen für sichere Passwörter

Bei der Brute Force Methode nutzt man die Schnelligkeit moderner Computer. Daher ist es wichtig, das Passwörter lang und komplex sind.

Ein vierstelliges Passwort, welches nur aus Ziffern besteht, bietet 10*10*10*10, also 10.000 verschiedene Kombinationen. Ein moderner Computer kann pro Sekunde vier Milliarden Kalkulationen durchführen. Eine vierstellige Zahlenkombination ist also in wenigen Millisekunden gefunden.

Passwörter sollten nicht nur aus Ziffern bestehen und mehr als vier Stellen haben.

Der Zeichenvorrat, aus dem das Passwort besteht, sollte möglichst groß sein. Ein vierstelliges Passwort reicht nicht aus:

  • Mit Ziffern hat es 10*10*10*10, also 10.000 Kombinationen
  • Mit Kleinbuchstaben hat es 26*26*26*26, also 456.976 Kombinationen
  • Mit Ziffern, Groß-, Kleinbuchstaben und Sonderzeichen hat es 72*72*72*72, also 26.873.856 Kombinationen

Das reicht aber immer noch nicht. Auch ein solches Passwort würde in weniger als einer Sekunde geknackt. Probieren wir es mit einem zehnstelligen Passwort:

  • Mit Ziffern hat es 10.000.000.000 Kombinationen, der Computer knackt es in maximal 2,5 Sekunden.
  • Mit Kleinbuchstaben hat es 1.411.670.956.533.767 Kombinationen, der Computer knackt es in maximal 36 Sekunden.
  • Mit Ziffern, Groß-, Kleinbuchstaben und Sonderzeichen hat es 3.743.906.242.624.487.424 Kombinationen
In der maximalen Kombination benötigt der Computer maximal 30 Jahre. Dabei muss aber beachtet werden, dass bei einer inkrementellen Suche das Passwort 1111111111 trotzdem in Sekundenbruchteilen gefunden ist.

Das Passwort muss also aus allen Zeichenarten bestehen. Ein ideales Passwort lautet beispielsweise #8gK4%&Z2m. Das kann man sich aber nicht einfach merken. Und mit dem steigenden Schwierigkeitsgrad sinkt die Akzeptanz solcher Passwörter, insbesondere, wenn man sie auch noch regelmäßig ändern muss.

Leicht zu merkendes und trotzdem sicheres Passwort

Ein Kompromiss zwischen Komplexität und Praktikabilität sind Passwörter, die sich herleiten lassen. Man geht dabei folgendermaßen vor:

  1. Man nimmt ein zusammengesetztes Wort, beispielsweise Schulbus
  2. Man trennt das Wort und fügt vor den Wortbestandteilen, die alle mit Großbuchstaben beginnen, ein Sonderzeichen hinzu, beispielsweise #Schul%Bus
  3. Man fügt nach jedem Wortbestandteilen eine Zahl ein, beispielsweise #Schul3%Bus5

Das Passwort hat im Beispiel sogar 12 Stellen, ist ausreichend komplex und trotzdem leicht zu merken: # Schul 3 % Bus 5'