Die Idee des Passworts ist nicht neu. Unter Soldaten hieß es einmal Parole und in den Geschichten aus 1001 Nacht hieß es „Sesam öffne dich!“. Egal wo und wie, es ist eine Phrase, die der Authentifizierung, Identifikation und letztendlich der Sicherheit dient.
Wie man ein Passwort knackt …
Für das Verständnis, warum Sie Ihr aktuelles Passwort, das vermutlich nicht gut gewählt ist, ändern sollten, müssen Sie wissen, wie Computerkriminelle versuchen hinter Ihr Passwort zu kommen. Im Grunde ist es einfach: Angenommen Sie stehen vor einem Tresor und haben genug Zeit, dann können Sie durch Ausprobieren irgendwann einmal hinter die Kombination kommen. Im Computerbereich nennt man das eine „Brute-Force-Attacke“. Man bewirft einfach die Passwortabfrage mit allen denkbaren Passwörtern und irgendwann klappt es. Vor einigen Jahren war das kein großes Problem, weil ein Computersystem nur wenige 100 Versuche pro Sekunde schaffte, sagen wir 1000. Stellen wir uns also vor sie hätten eine 5-stellige Zahl, dann sind das knapp 100.000 Möglichkeiten und das Passwort wäre in 100 Sekunden auf jeden Fall erraten, mit etwas Glück früher. Bei 5 Buchstaben sah es ein wenig anders aus: Die knapp 12 millionen Varianten wären dann erst in 3 Stunden abgearbeitet. Es ging aber auch damals schon schneller. Die sogenannte Wörterbuchsuche würde erst einmal alle bekannten oder einfachen Passwörter durchprobieren, bevor man sich an die unüblichen oder zufälligen Wörter heranmachen würde. Damit wird die Zeit erheblich reduziert. Eine gemischte Suche, die Wörterbuchfragmente und Zufallssymbole kombiniert wird noch effektiver sein.
Die heutige Rechenleistung eines durchschnittlichen Einzelrechners wollen wir einmal mit 1.000.000.000 Passworttests pro Sekunde annehmen. Die 12 millionen Passwörter von oben wären also in 12 Millisekunden erledigt und das ohne, dass der Angreifer Glück haben mußte. So kann ein Passwort aus 8 Groß-, Kleinbuchstaben und Zahlen immerhin in 60 Stunden zuverlässig erraten werden, auch wenn dies vor Jahren noch als absolut sicher galt. Aber wie gesagt, mit etwas Glück ginge es auch schneller.
Ein sicheres Passwort
Damit Ihr neues Passwort also halbwegs sicher ist muss es also eine gewisse Länge haben, mindestens 8, und sollte aus einer möglichst großen potenziellen Zeichenmenge bestehen. Groß-, Kleinbuchstaben und Zahlen ergeben schon einmal 62 verschiedene Symbole. Mit deutschen Umlauten und Sonderzeichen erreicht man deutlich mehr. Daneben gibt es einige Dinge, die sie unter allen Umständen vermeiden sollten:
- Benutzen Sie keine Namen oder Zahlen, die für Sie eine persönliche Bedeutung haben, dies sind Geburtsdaten, Namen von Kindern, Haustieren, usw … Wörterbücher enthalten diese Namen meistens. Die Geburtsdaten von 1900 bis 2100 ergeben gerade mal 73000 Versuche und sind in unter einer Millisekunde abgefragt.
- Benutzen Sie keine Zeichenfolgen, die auf der Tastatur vorkommen. Etwas wie 123454321 und qwertz befindet sich ganz oben in den Wörterbüchern.
- Benutzen Sie keine Aneinanderreihung der gleichen Symbole. aaaaAAAA oder bbBBBMMMMM ist zwar sehr lange aber dennoch extrem einfach zu erraten.
- Benutzen Sie keine Buchstabenersetzung. Wörter wie be55er oder 4chtung waren früher einmal sicher. Diese Buchstabenersetzungen werden automatisch durchgeführt, wenn ein Passwort geknackt werden soll.
Ein gutes Passwort ist aber auch nur eines, dass Sie sich merken können. Wenn Sie nach den obigen Regeln arbeiten und etwas wählen wie „200_Türen“, dann sind Sie immerhin schon bei etwa 2000 Jahren Rechenzeit angelangt. So schwer ist es also nicht.
Es gibt ein paar Webseiten auf denen Sie Passwörter und deren Sicherheit überprüfen können. Es folgt eine kleine Auswahl:
- checkdeinpasswort.de
- www.wiesicheristmeinpasswort.de
- www.browsercheck.pcwelt.de/de/passwortstaerke-messen
Der Umgang mit Passwörtern
Passwörter sind nur dann geheim, wenn man Sie auch geheim hält. Wenn Sie es schon irgendwo nieder schreiben, dann nicht in ihrem direkten Arbeitsbereich, wo es jeder finden kann. Notfalls kann es auch verschlüsselt notiert sein. Wer es mit sehr vielen Passwörtern zu tun hat, kann sich beispielsweise einer Passwortdatenbank behelfen, die wiederum mit einem Masterpasswort gesichert ist. Verraten Sie Ihr Passwort niemals jemandem am Telefon. Sie glauben nicht wie viele Leute ihr Passwort genannt haben, nur weil jemand am Telefon war, der sich als „John Doe aus der EDV-Abteilung“ oder als Mitarbeiter der Telekom ausgegeben hat. Seriöse Firmen werden Sie niemals nach Ihrem Passwort fragen. Wichtige Passwörter werden Ihnen auch übrigens nur per Briefpost mitgeteilt.
Verwenden Sie übrigens bitte nicht Ihr sicheres neues Passwort für jede Anwendung und Webseite. Nicht selten kommt es vor, dass die Passwortdatenbank eines Unternehmens gehackt wird und dann ist der Zugang zu allen Ihren Benutzerkonzen bekannt.