Passwort

1 Einsatz von Passwörtern 2 Verfahren 3 Wahl von sicheren Passwörtern 4 Sicherheitsfaktoren 5 Ungünstige Passwörter 6 Passwort-Formeln 7 Alternativen 8 Siehe auch 9 Einzelnachweise 10 Weblinks

Einsatz von Passwörtern

Eine Parole war im Militär ursprünglich ein als Erkennungszeichen dienendes Wort, um bei Dunkelheit oder bei unbekannten Kombattanten Freund und Feind zu unterscheiden. Noch heute wird von nachtpatrouillierenden Soldaten bei der Wache oder auf Manövern die Frage nach der Parole gestellt. Im Mittelalter wurde manche Burgbelagerung durch den Verrat des Losungswortes entschieden.^[1]

Häufiger Einsatz von Passwörtern findet in der Computerwelt in Verbindung mit einem Benutzernamen statt, z. B. bei Wikipedia. Hier ist das Passwort eine beliebige, vom Nutzer selbstgewählte alphanumerische Zeichenfolge.

Passwörter werden außerdem im Bereich der Kindersicherung verwendet, um Kindern den Zugriff auf Fernseher, Receiver oder ungeeignete Programminhalte zu verwehren.

Verfahren

Das einfachste Verfahren besteht darin, innerhalb einer klar definierten Gruppe von Eingeweihten ein gemeinsam bekanntes Passwort zu vereinbaren. In der IT-Technik spricht man von einem „Shared Secret“. Das Wesentliche bei diesem Verfahren ist es, dass beide Kommunikationspartner (nämlich erstens derjenige, der Einlass in eine Sache oder zu einem Service erfragt, und zweitens derjenige, der Einlass gewährt oder verweigert) das gleiche „richtige“ Passwort kennen. Ein Nachteil dieses Verfahrens ist es, dass bei einem Passwort-Verrat, alle Beteiligten gleichermaßen verdächtigt werden müssen, nicht vertraulich mit den Passwort umgegangen zu sein.

Um eine höhere Sicherheit zu erreichen, wird in der IT-Technik heute zu einem Passwort ein kryptologisches Hash gebildet, und nur dieses wird auf der prüfenden Seite gespeichert. Das Klartextpasswort ist idealerweise allein im Kopf einer einzigen Person gespeichert. Wird nun das Passwort verwendet, um einen Einlass in das System zu bekommen, wird zu dem eingegebenen Passwort wieder das Hash berechnet. Der Zugriff kann gewährt werden, wenn dieses Hash mit dem abgespeicherten Hash übereinstimmt. Das kryptologische Hash wird nach einem definiertem Verfahren so gebildet, dass aus der Kenntnis des Hashes, das Passwort nicht zurückberechnet werden kann. Trotzdem bieten sich hier Möglichkeiten eines Angriffes. Wurde das Hash z.B. durch einen Hackerangriff erbeutet, so lässt sich durch systematisches Probieren (die sogenannte Brute-Force-Methode) eventuell das richtige Passwort finden.

Einmalkennwörter können nur einmal zur Authentifizierung benutzt werden und sind danach ungültig. So entsteht kein Schaden, wenn das Passwort während der Authentifizierung ausgespäht wird. Traditionell werden mehrere Einmalkennwörter auf Vorrat festgelegt und in Form einer Liste vermerkt, die sicher verwahrt werden muss. Solche Einmalkennwörter werden zum Beispiel als Transaktionsnummern (TAN) beim Online-Banking verwendet. Sie können aber auch erst kurz vor ihrer Benutzung unter Einbeziehung der Uhrzeit und einer PIN erzeugt werden und nur zur Benutzung binnen weniger Minuten geeignet sein.

Wahl von sicheren Passwörtern

Moderne Verschlüsselungsverfahren sind technisch so weit fortgeschritten, dass sie in der Praxis außer durch das Austesten aller möglichen Schlüssel – der sogenannten Brute-Force-Methode – meist nur durch einen Wörterbuchangriff geknackt werden können. Die Schwachstelle ist bei beiden Angriffen das vom Benutzer gewählte Passwort. Damit ein Passwort nicht unsicherer ist als die eigentliche Verschlüsselung (112 bis 128-Bit-Schlüssel bei gängigen Verfahren), ist für dieses theoretisch eine Folge von etwa 20 zufälligen Zeichen erforderlich. Falls das Passwort nicht aus zufälligen Zeichen besteht, sind sogar deutlich längere Zeichenfolgen nötig, um die gleiche Sicherheit zu erreichen.

Da die Länge der Passwörter, die zur Verschlüsselung verwendet werden können, softwareseitig oft begrenzt ist (zum Beispiel bringen Passwörter mit mehr als 32 Zeichen bei AES keinerlei Sicherheitsgewinn), sollte man immer Zeichenkombinationen wählen, die aus seltenen Wörtern und Wortstellungen, Phantasiewörtern oder fremdsprachigen Wörtern, Anfangsbuchstaben eines Satzes, Zahlen und/oder Sonderzeichen oder noch besser Kombinationen davon bestehen. Deren Bestandteile sollten für einen gut über die Person und ihre Interessen informierten Angreifer nicht vorhersehbar sein. Eine Alternative ist es, einen Passwortgenerator zu benutzen und sich das Passwort entweder gut einzuprägen oder an einem geheimen Ort zu notieren.

Ein relativ sicheres Passwort könnte sein: 0aJ/4%(hGs$df"Y! (16 Zeichen). Die Problematik solcher Zufallszeichenfolgen ist jedoch, dass sie schwer zu merken sind und deshalb irgendwo notiert werden. Eine leichter zu merkende Alternative ist ein einstudierter, zeichenweise veränderter Satz wie „dIE bANANNE*3 durch 1/4 nIKOTIN.“ (32 Zeichen), wichtig ist hier das Einstreuen von genügend Zufallszeichen. Gut geeignet ist die Verwendung der Anfangsbuchstaben eines Satzes (z. B. Ie90%dÄf7€! gebildet aus den fett hervorgehobenen Zeichen von „Ich esse 90 % der Äpfel für 7 € !“). Einige Passwortgeneratoren bieten die Option zur Bildung phonetischer Buchstabenkombinationen in Form von zufällig kombinierten Wortsilben. Eine weitere Alternative zur Erzeugung von Passphrasen mit bekannter Entropie ist die Diceware-Methode.

Die Verwendung von Sonderzeichen kann zwar einen Sicherheitsgewinn bringen, da ein Passwort dadurch komplexer wird, dennoch sollte man bedenken, dass auf nicht allen Tastaturen die gleichen Sonderzeichen vorhanden sind (zum Beispiel: Sprach-spezifische Sonderzeichen, ältere Mobiltelefone).

Sicherheitsfaktoren

Die Sicherheit eines Passwortes hängt vor allem davon ab, dass es geheim bleibt. Andere Faktoren zum Schutz des Passwortes sind z. B.:

• Passwörter zur Authentifizierung bieten die größte Sicherheit, wenn diese nur einmalig verwendet werden. Jeder wiederholte Einsatz des Passwortes erhöht die Gefahr, bei unverschlüsseltem Transfer oder Spionage-Maßnahmen (wie z. B. durch Keylogging oder Phishing) das Passwort zu verraten.
  • Passwörter sollten regelmäßig geändert werden.
  • Es empfiehlt sich, für jede Anwendung ein anderes Passwort zu vergeben. Wird das Passwort einer Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung weiterhin verwehrt.
  • Speziell gegen Phishing im Internet empfiehlt es sich, das Passwort als Hash-Wert aus einem Passwort, welches sich der Benutzer aussucht, sowie der Domain der Webseite zu bilden. Dies führt einerseits dazu, dass jede Webseite automatisch ein anderes Passwort bekommt, selbst wenn der Benutzer immer das gleiche Passwort eingeben sollte. Phishing kann auf diese Weise ausgeschlossen werden. Gegen Keylogger hilft dies jedoch nur bedingt.
• Die Übertragung des Passwortes vom Benutzer zum System sollte sicher sein, z. B. durch Verwendung von verschlüsselten Kanälen zur Übertragung (siehe auch SSL). Dadurch wird es bei sicherer Implementierung und ausreichender Stärke der Verschlüsselung für den Angreifer nahezu unmöglich, das Passwort in Erfahrung zu bringen, da die Rechenkapazität heutiger Rechner bei weitem nicht ausreicht, um SSL-Verschlüsselungen in angemessener Zeit zu knacken.
  • Passwörter sollten nicht aufgeschrieben und nicht unverschlüsselt gespeichert werden. Bei der prüfenden Komponente sollte das Passwort gar nicht gespeichert werden, sondern nur ein mit einer kryptologischen Hashfunktion berechneter Hashwert. Um Brute-Force-Angriffe auf den Hashwert mit Hilfe von Hash-Tabellen (z. B. Rainbow Tables) zu verhindern, sollte in den Hashwert auch ein Zufallswert (Salt) eingehen.
• Viele Passwörter können von Angreifern leicht erraten werden. Da die meisten Passwörter von menschlichen Benutzern eingegeben werden (im Gegensatz zur Erzeugung durch Zufallsgeneratoren) und vor allem leicht einprägsam sein müssen, kommen häufig einfach zu ratende Passwörter zum Einsatz, wie z. B. der eigene Name oder der Name eines Familienmitgliedes, des Freundes oder Haustieres, sowie Geburtstage oder Adressen.
  • Bei Erzeugung durch Zufallsgeneratoren ist zu beachten, dass Computer keinen „echten“ Zufall mit maximaler Entropie generieren können. Man spricht von Pseudo-Zufallsgeneratoren. Diese Schwachstelle kann jedoch nur in den seltensten Fällen ausgenutzt werden, da zuerst das Muster, mit dem der Generator arbeitet, also Parameter und auch die Saat (das sind weitere, zufällige Parameter) erschlossen werden müssen. „Echten“ Zufall kann man z. B. mit Überlagerung von Schallwellen gewinnen, wenn man diese aufzeichnet und in digitale Form bringt.
• Das Passwort sollte lang genug sein, um nicht durch Ausprobieren (Brute-Force-Angriff) ermittelt werden zu können. Das System sollte außerdem einen ausreichend großen Zeichensatz verwenden, mit dem das Passwort gebildet wird. Die erforderliche Länge und Zusammensetzung hängt von mehreren Faktoren ab:
  • Welche Zeichen verwendet werden (Ziffern, Buchstaben, Sonderzeichen, geordnet nach Komplexität, da Ziffern nur zehn Variationen von 0–9, Buchstaben hingegen 26 oder mit Groß- bzw. Kleinschreibung sogar 52 Variationen pro Zeichen zulassen, welche einen Brute-Force-Angriff auf das Passwort deutlich erschweren). Sonderzeichen bieten die größte Variationsdichte, sind allgemein aber schwerer einzuprägen.
  • Ein Passwort kann auch mithilfe von Zeichen sicherer gemacht werden, die es auf der Tastatur nicht gibt, z. B. „®,¤,©“. Diese Zeichen werden meist bei Brute-Force-Angriffen außer acht gelassen. Zum Eintippen verwendet man unter Windows dann Alt + 0174, Alt + 0164 und Alt + 0169. Die Ziffern müssen bei eingeschaltetem Num-Lock auf dem Ziffernblock getippt werden.
  • Wie schnell der Zugriff auf das Passwort ist (z. B. sind Webserver-Zugriffe generell langsamer als direkte Dateizugriffe auf den Hash-Wert des Passwortes).
  • Ob das Passwort mittels eines Wörterbuchangriffs gefunden werden kann. Dies kann durch Kunstwörter ohne logischen Bezug, wie z. B. „Pfeifenleuchte“ oder „Vogeltastatur“ nicht verhindert werden, da Wörterbuchangriffe auf Listen bekannter Passwörter und Begriffe zugreifen und komplexere Wörterbuchangriffe mit Hybrid-Funktion mehrere Wörterreihen kombinieren und so auch Kunstwörter brechen. Auch das Einstreuen von ein oder zwei Ziffern oder Sonderzeichen hilft hier nicht.

Zudem sollte das System nach einer bestimmten Zahl von fehlerhaften Eingaben keine neuen Eingaben akzeptieren, bis eine bestimmte Zeit vergangen ist bzw. das System manuell wieder freigeschaltet wurde.

Die folgende Tabelle gibt die benötigte Rechenzeit eines Brute-Force-Angriffs auf verschiedene Passwörter wieder. In diesem Beispiel wird eine Rechenleistung von 1 Milliarde Schlüsseln angenommen, die der Angreifer pro Sekunde durchprobieren kann - dies entspricht ungefähr der Leistung eines modernen Standard-PCs mit leistungsfähiger Grafikkarte (z. B. Radeon HD 6770)^[2]. Weiters wird für dieses Beispiel angenommen, dass das Passwort als md5-hash, ohne weitergehende Sicherungsmaßnahmen wie z. B. Salt, vorliegt. Es ist zu beachten dass die Werte dieser Tabelle nur ein Beispiel darstellen und sich in der Praxis auch sehr deutlich davon unterscheiden können:^[3][4]

Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde

	Passwortlänge
Zeichenraum	4 Zeichen	5 Zeichen	6 Zeichen	7 Zeichen	8 Zeichen	9 Zeichen	10 Zeichen
26 [a-z]	<1 Sekunde	<1 Sekunde	<1 Sekunde	8 Sekunden	4 Minuten	2 Stunden	2 Tage
52 [A-Z;a-z]	<1 Sekunde	<1 Sekunde	20 Sekunden	17 Minuten	15 Stunden	33 Tage	5 Jahre
62 [A-Z;a-z;0-9]	<1 Sekunde	<1 Sekunde	58 Sekunden	1 Stunde	3 Tage	159 Tage	27 Jahre
96 (+Sonderzeichen)	<1 Sekunde	8 Sekunden	13 Minuten	21 Stunden	84 Tage	22 Jahre	2.108 Jahre

Ungünstige Passwörter

Hierzu zählt man die leichtesten Passwörter, also Wörter die einen Sinn ergeben oder deren Verwendung als Passwörter gut dokumentiert ist. Dies ist dann möglich, wenn durch Kompromittierung von Webseiten große Mengen von Passwörtern bekannt werden. Zu diesen Passwörtern zählen nicht nur statische Begriffe, sondern auch Bildungsmuster, die vorhersehbar sind. Einige Beispiele:^[5][6][7]

• Einfache Zeichenketten von der Tastatur, z. B. asdf, wsxedc, tzughj etc.
• Einfache Ziffernketten, 123456, 54321, 13131 etc.
• Typische Begriffe aus dem Bereich der Authentifikation, also Varianten von Passwort, geheim usw.
• Eigennamen – da diese häufig in Wörterbüchern zu finden sind, wird ein Wörterbuchangriff ermöglicht
  • Und deren Abwandlung in der Form von Kose-, Ruf- und Spitznamen.
• Vokale oder Selbstlaute
• Geburtsjahre, Geburtstage o. Ä.
  • und deren Verwendung als Anhang an einen anderen Begriff
• Typische Techniken, um Passwortwechsel zu vereinfachen, wie z. B. Anhängen von Ziffern oder Monatskürzeln an einen feststehenden Begriff.

Diese sogenannten Trivialpasswörter können in vergleichsweise übersichtlichen Listen zusammengefasst werden und sind leicht zu recherchieren. Passwortcracker erzeugen sie seit vielen Jahren auch teilweise automatisch, daher geht von ihnen keine Schutzwirkung mehr aus.

Generell sollte man Passwörter verwenden, die den oben vorgestellten Mustern nicht folgen. Hierbei können Programme helfen, die Passwörter erstellen (siehe unten).

Passwort-Formeln

Mit über Formeln erstellten Passwörtern bleiben Anwender von externen Anbietern unabhängig. Gleichzeitig ermöglicht dieses Prinzip beliebig hohe Sicherheit. Der Nutzer merkt sich eine für alle Passwörter geltende Formel, die in Zusammenhang mit einem variablen Faktor jeweils unterschiedliche Passwörter ergibt. Beispiele für solche variablen Faktoren sind zum Beispiel eine Internetadresse oder ein Firmenname. Von einer solchen Zeichenkette nimmt man bestimmte Zeichen und kombiniert sie mit nach einem festen Schema vorgegebenen Zahlen und Sonderzeichen. Der Nutzer merkt sich einzig den zur Erstellung des Passworts nötigen Chiffriercode und erhält damit individuelle und gleichzeitig sichere Passwörter.

Alternativen

Anstatt Passwörter manuell eingeben zu lassen, können Schlüssel auch in einer Schlüsseldatei abgelegt werden. Bei Anwendungen wie beispielsweise SSH können statt Passwörtern zur Authentifizierung auch öffentliche Schlüssel dienen, die durch ihre Länge den üblichen Passwörtern überlegen sind. Hierbei ist der private Schlüssel geheim zu halten. Aufgrund der Länge wird er auf einem Datenträger gespeichert. Für den Fall, dass Unbefugte diesen privaten Schlüssel auslesen, kann dieser zusätzlich mit einem Passwort geschützt werden.

Eine andere Alternative für eine Zugangskontrolle ist, statt die Kenntnis eines Passwortes vorauszusetzen, den Besitz eines einmaligen Objektes zu verlangen. Dieses Objekt, das man Security-Token nennt, kann beispielsweise eine Chipkarte sein oder ein besonderer USB-Stick. Um den Token vor Missbrauch zu schützen, wird er oft zusätzlich durch ein Passwort geschützt. Man spricht dann von einer „Zweiwege-Authentifizierung“, da zur Authentifizierung sowohl der „Besitz eines Objektes“ erforderlich ist als auch die „Kenntnis eines Geheimnisses“.

Siehe auch

• Authentifizierung
• Kennwortverwaltung
• Diceware: eine Methode zur Erzeugung sicherer und leicht zu merkender Kennwörter bzw. Kennsätze.
• md5: eine häufig verwendete Methode zur Erzeugung von Hash-Werten für Passwörter.
• SpecOps Password Policy: eine Passwortverwaltungssoftware
• KeePass: eine Passwortverwaltungssoftware für viele Betriebssysteme, die alle Passwörter mit einem Hauptpasswort verschlüsselt.
• Computersicherheit

Einzelnachweise

1. ↑ kennwort.info
2. ↑ hashcat.net. Abgerufen am 23. August 2011
3. ↑ Thor's Password Strength Checker. Abgerufen am 16. August 2011
4. ↑ Password Recovery Speeds. Abgerufen am 16. August 2011
5. ↑ Passwortdaten von Flirtlife.de kompromittiert. In: Heise online. 22. Juni 2006.
6. ↑ Bruce Schneier: MySpace Passwords Aren't So Dumb. In: Wired. 14. Dezember 2006.
7. ↑ 10 Most Common Passwords. In: PC Magazin. 18. April 2007.

Weblinks

• Sichere Online-Passwörter immer zur Hand, Leitfaden: Passwort-Formeln als Alternative zu Kennwortverwaltern, 23. Jun 2009
• Die Grundsatzdiskussion: Kennwort-Sätze oder Kennwörter., Microsoft TechNet, 10. Dez 2004
• Zur Problematik unterschiedlicher Passphrase-Formeln bei WEP
• Thema Passwörter, Verbraucher sicher online
• eKaay Sesame Einloggen ohne Passwort, sondern mit dem Handy (neues Verfahren, Uni Tübingen, 2010)
• Getaktete Passwörter Clientseitiges Passwortsalzen für mehr Sicherheit
• Die 25 schwächstesten Passwörter 2011

Dieser Artikel basiert auf dem Artikel Kennwort aus der freien Enzyklopädie Wikipedia und ist unter der Lizenz Creative Commons Attribution/Share Alike verfügbar. Zusätzliche Bedingungen können anwendbar sein. In der Wikipedia ist eine Liste der Autoren verfügbar.