Was ist eigentlich... Passwort Best Practice

Passwort Best Practice

Ob soziale Medien, Musik- und Videoplattformen oder Online Shops - bei vielen Internetdiensten bietet die Erstellung eines Accounts viele Vorteile. Die Anmeldung ist meistens umstandslos. Schnell ist die eigene E-Mail Adresse und das Passwort, welches Sie schon bei den letzten fünf Accounts verwendet haben, eingegeben. Doch in Zeiten, in denen die Wörter „Cyberkriminalität“ und „Datenklau“ in den Volksmund übergegangen sind, sind Ihre Accounts und Ihre damit verbundenen privaten Daten so unsicher wie noch nie.

Warum sollte man ein sicheres Passwort verwenden?

In den meisten Fällen werden Account-Informationen der Nutzer, insbesondere Passwörter, nicht im Klartext in einer Datenbank gesichert. Stattdessen benutzen die meisten Unternehmen bei der Erstellung eines Accounts oder der Passwort-Abfrage eine sogenannte Hashing-Funktion, bei der ein beliebig langes Passwort vor der Übertragung zu einem eindeutigen Wert einheitlicher Länge komprimiert wird. In diesem Fall spricht man von einer Ein-Weg-Funktion - das Klartext-Passwort lässt sich nicht aus dem generierten Wert ermitteln. Im Falle eines Datenklaus sind diese Hashwerte also nutzlos.

So zumindest in der Theorie, doch auch hier gibt es Mittel und Wege, diese mathematische Verschleierung zu umgehen. Eine Methode ist die Verwendung sogenannter "Rainbow Tables". Hinter diesem farbenfrohen Namen verbirgt sich eine Tabelle, in der Millionen bekannter Klartext-Passwörter mit dazugehörigem Hashwert hinterlegt sind. Diese wurden entweder selbst erstellt oder es handelt sich um vorher geklaute Daten. Verwendet deshalb ein Nutzer ein Passwort aus den Tabellen, so kann es durch die zuvor genannte Methode innerhalb von Sekunden geknackt werden.

Ebenfalls sehr beliebt ist eine Kombinationsattacke aus Rainbow Tables und einer sogenannten "Brute Force Attacke". Hierbei werden bekannte Klartext-Passwörter aus dem Rainbow Table mithilfe von Parametern „mutiert“. Auf diese Weise lassen sich auch unbekannte Passwörter, die nur teilweise im Rainbow Table vorhanden sind, erraten (bspw. Namen mit anschließendem Geburtsdatum). Die neu generierten Passwörter müssen vor dem Datenbankabgleich lediglich noch gehashed werden. Diese Methode ist wesentlich zeitintensiver, aber beim Erraten „einfacher“ Passwörter mit geringer Komplexität durchaus effektiv.

Eine weitere Methode, die heutzutage aber eher noch weniger benutzt wird, ist die reine "Brute Force Attacke". Hierbei werden einfach stur alle möglichen Kombinationen aus Zahlen und Buchstaben sequenziell durchgetestet, bis es eine Übereinstimmung gibt. Das Ganze wird häufig bei komplexeren Passwörtern verwendet, bei denen Konditionen bekannt sind (bspw. maximale Zeichenanzahl oder das Fehlen von Sonderzeichen).

Was ist ein sicheres Passwort?

Um der oben beschriebenen Situation vorzubeugen, empfiehlt es sich, für jeden neuen Account auch ein neues, möglichst einzigartiges Passwort zu verwenden. Das bedeutet, dass Sie versuchen sollten, keine „einfachen“ Passwörter wie Namen, Wörter oder beliebte Passwort-Kombinationen zu verwenden (bspw. „passwort123“). Natürlich sind diese Passwörter leicht zu merken, aber wie so oft bei der IT-Sicherheit hat man die Wahl zwischen Komfort und Sicherheit.

Der Grund, warum Sie manche Online-Dienste dazu auffordern, in Ihrem Passwort Groß- und Kleinbuchstaben sowie Zahlen oder Sonderzeichen zu verwenden, hängt mit der Komplexität der daraus resultierenden Passwörter zusammen. Ein 16-stelliges Passwort mit allen Zeichenarten mittels einer Brute-Force Attacken zu erraten, ist deutlich zeitintensiver als ein gleichlanges Passwort, das sich lediglich aus Groß- und Kleinbuchstaben zusammensetzt.

Üblicherweise gilt ein 8-stelliges Passwort mit pseudo-zufälligen Zeichen als sicher. Denn auch hier gibt es Methoden, ein auf den ersten Blick komplexes Passwort zu erstellen und sich zu merken. Beispielsweise können Sie ein Passwort anhand von Sätzen konstruieren. So wird aus dem ersten Teil von Joachim Ringelnatz Gedicht „Die Ameisen“

           „In Hamburg lebten zwei Ameisen

           Die Wollten nach Australien reisen“

das Passwort

            „!HAMl2AdwnAU5r“

Dieses Passwort erfüllt alle empfohlenen Kriterien und bringt Sie vielleicht noch zum Schmunzeln.

Die mit einem * markierten Felder sind Pflichtfelder.