Passwort
Aus FAQ-vServer
Einige brauchbare Faustregeln zur Erstellung eigener sicherer Passwörter:
"eine kleine Wissenskunde"
Gründe:
- Passwörter, die man sich nicht merken kann, sind unsicher.
Wenn man sich Passwörter nicht sicher und eindeutig merken kann, ist man geneigt, es irgendwo aufzuschreiben. Das Problem liegt hierbei darin, das Menschen, die sich Passwörter nicht merken, sich auch nicht merken können, wo sie sich diese notiert haben. Ergo sucht man in der Nähe vom Computer (unter der Tastatur, Ordnern wie "Alles zu unserem PC", auf der Rückseite der Kontokarte, etc.) nach dem begehrtem Passwort oder PIN.
- Passwörter, die kürzer als 6 Zeichen sind, haben eine hohe Wahrscheinlichkeit, erraten zu werden.
Die Rechenleistung hat sich in den letzten 5 Jahren mehr als verzehnfacht.
Um Passwörter zu erraten verwendet man in der Regel einen Mechanismus (Brutforce), der einfach Zeichen aneinanderreiht und probiert sich damit einzuloggen. Also "aaa" "aab" "aac" usw.
Bei einem Symbolvorrat von 74 Zeichen (Zahlen, große und kleine Buchstaben, Satzzeichen) und einem angenommenen niedrigen Wert von 4 Versuchen pro Sekunde kann man sich folgende Tabelle einmal verinnerlichen:
| Zeichen aus 74 |
Möglichkeiten/Variationen |
Zeit zum Probieren aller Möglichkeiten bei 4 Versuchen pro Sekunde |
Zeit die ein aktueller PC mit 2 GHz dafür braucht |
Zeit, welche eine Cray XT3 dafür braucht |
| 1 | 74 | 19 Sekunden |
< 1 Sekunde |
< 1 Sekunde |
| 2 | 5.476 | 23 Minuten |
< 1 Sekunde |
< 1 Sekunde |
| 3 | 405.224 | 28 Stunden |
< 1 Sekunde |
< 1 Sekunde |
| 4 | 29.986.576 | 87 Tage |
< 1 Sekunde |
< 1 Sekunde |
| 5 | 2.219.006.624 | 12 Wochen |
10 Sekunden |
< 1 Sekunde |
| 6 | 164.206.490.176 | 18 Jahre |
13 Minuten |
< 1 Sekunde |
| 7 | 12.151.280.273.024 | 1.302 Jahre |
16 Stunden |
< 1 Sekunde |
| 8 | 899.194.740.203.776 | 96.329 Jahre |
48 Tage |
15 Sekunden |
| 9 | 66.540.410.775.079.400 | 7.128.320 Jahre |
10 Jahre |
18 Minuten |
| 10 | 4.923.990.397.355.880.000 | 527.495.646 Jahre |
722 Jahre |
22 Stunden |
- Passwörter, die auf den Benutzer Rückschlüsse liefern oder reale Worte (im Sinne von lexikalisch korrekt), sind ebenfalls unsicher.
Eine Variante zur Bruteforce-Attacke ist die Wörterbuch-Attacke (Dictionary-Attack). Es werden aus bekannten, dem Benutzer angepasste Wortlisten verwendet, und Wort für Wort als Passwort verwendet. Vorgehensweisen sind u.a. Standardregeln wie "1234", "admin", User=Passwort, Geburtsdatum, Vorname, Land, KFZ-Zeichen, usw. und dann regoinale Wörterbücher, oder gar dem Beruf angepasste Begriffslisten.
Gegenmaßnahmen:
- Passwörter generieren lassen. Es gibt Programme, die das für einen übernehmen. Diese Programme erstellen Passwörter, die Sinnfrei sind, aber phonetische Silben haben, damit man sich die Worte einprägen kann.
Beispiel: Phee4roo, gesprochen: "Fi-for-ru". Wenn man sich erinnert, das es 8 Zeichen sein sollen, kann man schnell das Passwort "vor Augen sehen" und sich konkret erinnern.
- Passwörter erstellen. Nehmen Sie ihr Lieblingsbuch, Ihren Lieblingsfilm, eine Ihr Leben verändernde Situation, alle Ihre Kinder, usw. und nehmen Sie von jedem Wort soviele Buchstaben, das Sie die geforderte Passwortlänge von z.B. hier 6 Zeichen "voll" haben. Fehlt Ihnen sinnvolles zum ergänzen, dann verwenden Sie einfach die gegebenen Satzzeichen.
Beispiele:
"Tolkin, Herr der Ringe!" -> T,HdR!
oder "Die unendliche Geschichte" -> DiunGe
Anmerkung: Entgegen der Behauptung, man solle ALLE Zeichen verwenden, empfehle ich grundsätzlich nur die Zeichen der englischen Tastatur! Wenn aus irgendeinem Grunde einmal das deutsche Tastaturlayout (notwendig zum Darstellen von öäüßÖÄÜ€) nicht geladen wird oder Sie im Ausland sind, werden Sie bei der Passworteingabe bitterlich scheitern.
Bedenken Sie später (im Falle des Falles) bitte, das auf einer englischen Tastatur "Y" und "Z" vertauscht sind.
