Passwort

Geheimnis, mit dem sich ein Nutzer authentisiert
(Weitergeleitet von Kennwort)

Ein Passwort ist eine Zeichenfolge, die zur Zugangs- oder Zugriffskontrolle eingesetzt wird.

Abgrenzung und verwandte BegriffeBearbeiten

Der Begriff Passwort ist seit dem 16. Jahrhundert belegt und stammt aus dem militärischen Bereich. Damals reichte noch ein einzelnes Wort aus, um passieren zu dürfen.

Eng damit verwandt ist das Kennwort, das nicht das Passieren betont, sondern die Kennung als gemeinsam bekanntes Geheimnis.

Als Computer Passwörter schnell durchprobieren konnten, wurden einzelne Wörter als Passwort zu unsicher, und in einigen Bereichen wurde der Begriff Passphrase etabliert, um die Notwendigkeit längerer Passwörter zu betonen.

Eher selten verwendet sind Schlüsselwort,[1] Codewort (auch Kodewort).

Im militärischen Bereich wurden auch Losung, Losungswort oder Parole (von italienisch la parola ‚das Wort‘) verwendet.

Eine Persönliche Identifikationsnummer (PIN) ist ein Passwort, das in der Regel ausschließlich aus Ziffern besteht.

EinsatzgebieteBearbeiten

 
Anmeldung bei Wikipedia

Eine Parole beim Militär ist ursprünglich ein als Erkennungszeichen dienendes Wort, um bei Dunkelheit oder bei unbekannten Kombattanten Freund und Feind zu unterscheiden. Noch heute wird von nachtpatrouillierenden Soldaten bei der Wache oder auf Manövern die Frage nach der Parole gestellt. Im Laufe der Geschichte wurden manche Belagerungen durch den Verrat des Losungswortes entschieden.

Häufiger Einsatz von Passwörtern findet in der Computerwelt in Verbindung mit einem Benutzernamen statt, z. B. bei Wikipedia. Hier ist das Passwort eine vom Nutzer selbstgewählte oder eine automatisch generierte, meist alphanumerische Zeichenfolge.

Passwörter werden in zahlreichen Bereichen verwendet, zum Beispiel als Element der Kindersicherung, um Kindern den Zugriff auf Fernseher, Receiver oder ungeeignete Programminhalte zu verwehren.

Neben der Aufgabe Identifizieren von Personen werden Passwörter auch dazu verwendet, um bestimmte Berechtigungen nachzuweisen: Wer das Passwort (den richtigen Code) kennt, gilt als berechtigt. Beispiele: Parole beim Militär oder ein Zugangscode zum Öffnen von Türen.

Die Authentizität des sich so Ausweisenden bleibt nur höchstens so lange gewahrt, wie das Passwort geheim bleibt, das heißt, es Dritten nicht bekannt ist. Der Zusammenhang zwischen Passwort und dessen Nutzer muss gesondert hergestellt und überprüft werden (zum Beispiel durch die Bank auf dem (laut Gesetz) besonders vor Manipulation geschützten Postweg).

NutzungsartenBearbeiten

Gemeinsam bekanntes PasswortBearbeiten

Das einfachste Verfahren besteht darin, innerhalb einer klar definierten Gruppe von Eingeweihten ein gemeinsam bekanntes Passwort zu vereinbaren. In der IT-Technik spricht man von einem „Shared Secret“. Das Wesentliche bei diesem Verfahren ist es, dass alle Kommunikationspartner das gleiche „richtige“ Passwort kennen. Ein Nachteil dieses Verfahrens ist es, dass bei einem Passwort-Verrat alle Beteiligten gleichermaßen verdächtigt werden müssen, nicht vertraulich mit dem Passwort umgegangen zu sein. Außerdem müssen sich nach Bekanntwerden des Passworts alle Kommunikationspartner auf ein neues Passwort einigen.

Persönliches PasswortBearbeiten

Der übliche Anwendungsfall von Passwörtern ist, dass ein Passwort einer einzelnen Person zugeordnet ist und dass diese Person das Passwort geheim hält.

EinmalpasswortBearbeiten

Einmalkennwörter können nur einmal zur Authentifizierung benutzt werden und sind danach ungültig. So entsteht kein Schaden, wenn das Passwort während der Authentifizierung ausgespäht wird. Traditionell werden mehrere Einmalkennwörter auf Vorrat festgelegt und in Form einer Liste vermerkt, die sicher verwahrt werden muss. Solche Einmalkennwörter werden zum Beispiel als Transaktionsnummern (TAN) beim Online-Banking verwendet. Sie können aber auch erst kurz vor ihrer Benutzung unter Einbeziehung der Uhrzeit und einer PIN erzeugt werden und nur zur Benutzung binnen weniger Minuten geeignet sein.

Speichern von PasswörternBearbeiten

Beim Speichern von Passwörtern ist seit 1975 Stand der Technik, dass das Passwort selbst nicht gespeichert wird. Das Klartextpasswort ist idealerweise allein im Kopf einer einzigen Person gespeichert.

Stattdessen wird aus dem Passwort ein kryptographischer Hash berechnet, der dann anstelle des Passworts gespeichert wird. Wird nun das Passwort verwendet, um einen Einlass in das System zu bekommen, wird zu dem eingegebenen Passwort wieder der Hash berechnet. Der Zugriff wird gewährt, wenn dieser Hash mit dem abgespeicherten Hash übereinstimmt.

Der kryptographische Hash wird nach einem fest definierten Verfahren so gebildet, dass aus der Kenntnis des Hashes das Passwort nicht in realistischer Zeit zurückberechnet werden kann. Dadurch können Administratoren, oder bei einem Datenleck die Angreifer, das Passwort nicht direkt auslesen. Sie können jedoch immer noch in einer Datenbank mit bereits bekannten Passwörtern und deren Hashes nachsehen, ob das gesuchte Passwort dabei ist. Um das zu verhindern, wird beim Berechnen des Hashes dem Passwort noch ein Zufallswert angehängt, der sogenannte Salt. Der sorgt dafür, dass es zu einem einzelnen Passwort viele mögliche Hashes gibt (1975 waren es 4096, das war noch ziemlich unsicher, Stand der Technik 2020 sind mehrere Trillionen mal Trillionen), so dass es sich für einen Angreifer nicht lohnt, die Hashes im Voraus zu berechnen.

Wenn ein Angreifer in den Besitz eines gehashten Passworts gelangt, kann er durch systematisches Probieren (Brute-Force-Methode) probieren, das Passwort zu erraten. Um dieses Raten zu verlangsamen, wird eine spezielle Hashfunktion verwendet, die absichtlich viel Rechenzeit und Speicher braucht (Passwortableitfunktion). Dadurch wird das massenhafte Durchprobieren von Passwörter etwas weniger attraktiv. Das rechtmäßige Prüfen des Passworts auf dem eigentlichen Server wird dadurch auch verlangsamt, aber das fällt bei den meisten Systemen nicht weiter ins Gewicht. Sollte eine Passwortüberprüfung weniger als eine Zehntelsekunde brauchen, ist das ein Zeichen dafür, dass das System nicht auf dem Stand der Technik ist.

Wahl sicherer PasswörterBearbeiten

Video: Unknackbar aber einfach zu merken! – Passwörter Einfach Erklärt

Die Sicherheit eines Passworts ergibt sich direkt daraus, wie lange ein Angreifer braucht, um es herauszufinden. Sofern der Angreifer nicht auf Folter, Datenlecks oder ähnliche Seitenkanalattacken zurückgreifen kann, bleibt nur die Möglichkeit, das Passwort gezielt zu erraten. Um dieses Erraten möglichst aufwendig zu machen, sollte das Passwort eine große Entropie haben. Die Entropie eines Passworts ist die Anzahl der Ja/Nein-Fragen, die ein Angreifer nacheinander stellen muss, um das Passwort zu erraten. Da der Angreifer üblicherweise nicht auf jede dieser Ja/Nein-Fragen direkt eine Antwort bekommt, muss er die Ja/Nein-Fragen alle kombinieren. Bereits bei 40 Ja/Nein-Fragen muss er dafür mehr als 1 Billion mögliche Passwörter ausprobieren.

In der Praxis wird jedoch oft nicht auf die Entropie eines Passworts abgezielt, sondern auf die Passwortlänge. Dieser Ansatz ist falsch und erzeugt trügerische Sicherheit, denn das Passwort „A1a1a1a1a1a1a1a1a1a1“ ist zwar 20 Zeichen lang und besteht sowohl aus Großbuchstaben, Kleinbuchstaben und Ziffern, es ist jedoch nach einem einfach erkennbaren Schema aufgebaut. Daher ist die Entropie dieses Passworts deutlich kleiner als die Länge es vermuten lässt. Das Passwort „Rindfleischetikettierungsüberwachungsaufgabenübertragungsgesetz“ hat ebenfalls eine beeindruckende Länge, aber die Entropie ist sehr gering, da es ein feststehender Begriff ist und daher in vielen Wörterlisten vorkommt.

Die Mindestlänge eines Passwortes hängt davon ab, wofür es verwendet wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt, für Onlinezugänge Passwörter mit mindestens zwölf Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern zu verwenden, für WLAN-Zugänge hingegen Passwörter aus mindestens zwanzig Zeichen.[2] Dies ist insbesondere dann nötig, wenn eine unbeschränkte Anzahl von Versuchen mit verschiedenen Passwörtern einen Zugang zulässt und damit einen Angriff („Erraten“) nach der sogenannten Brute-Force-Methode ermöglicht.

Als Ausnahme gilt, dass ein solches „Erraten“ dann erheblich eingeschränkt ist, wenn es nur eine ausgesprochen beschränkte Anzahl von aufeinanderfolgenden Eingaben gibt (z. B. maximal drei Versuche, Aufruf zusätzlicher Eingaben ab einer bestimmten Anzahl Fehlversuchen usw., wie es z. B. bei den Verschlüsselungstechniken der meisten Banken angewendet wird), und danach der Eingebende ausgesperrt und auf einen nur persönlich zugängigen Schlüssel verwiesen wird. Sofern es sich nicht um extrem einfach gewählte Zahlenfolgen handelt (z. B. 1234 oder 9876), ist dieses auch heute nur durch Ausspähen effektiv zu überwinden. Gleiches gilt für die dreistelligen Verschlüsselungen an einem Koffer: Die in der Regel dreistellige Zahl bietet im Verlauf der Abfertigung nur wenige Zeit für ein Erraten und macht es dadurch sicherer: Voraussetzung ist allerdings, dass der Besitzer wenigstens die Werkseinstellung 000 vorher geändert hat.

Moderne Verschlüsselungsverfahren sind technisch so weit fortgeschritten, dass sie in der Praxis außer durch das Austesten aller möglichen Schlüssel – der Brute-Force-Methode – meist nur durch einen Wörterbuchangriff gebrochen werden können. Die Schwachstelle ist bei beiden Angriffen das vom Benutzer gewählte Passwort. Damit ein Passwort nicht unsicherer ist als die eigentliche Verschlüsselung (viele gängige Verfahren nutzen 128-Bit-Schlüssel), ist für dieses theoretisch eine Folge von etwa 20 zufälligen alphanumerischen Zeichen erforderlich. Falls das Passwort nicht aus gleichverteilt zufälligen Zeichen besteht, sind sogar deutlich längere Zeichenfolgen nötig, um die gleiche Sicherheit zu erreichen.

Im Gegensatz dazu veröffentlichte das National Institute of Standards and Technology (NIST) der USA Mitte August 2017 neue Regeln für sichere Passwörter. Den Autoren nach erzeugten viele der alten Regeln – wie etwa Groß- und Kleinschreibung, Sonderzeichen, häufiges Wechseln der Passwörter –, die in den letzten Jahren als wichtige Empfehlung galten, nur wenig bis gar keine zusätzliche Sicherheit.[3]

SicherheitsfaktorenBearbeiten

Die Sicherheit eines Passwortes hängt vor allem von 2 Faktoren ab:

  • Das Passwort muss geheim bleiben.
  • Das Passwort darf nicht leicht zu erraten sein.

GeheimhaltungBearbeiten

Passwörter zur Authentifizierung bieten die größte Sicherheit, wenn diese nur einmalig verwendet werden. Jeder wiederholte Einsatz des Passwortes erhöht die Gefahr, bei unverschlüsseltem Transfer oder Spionage-Maßnahmen (wie z. B. durch Keylogging oder Phishing) das Passwort zu verraten. Dadurch, dass Passwörter dauerhaft gültig sind, können die so erlangten Passwörter wiederverwendet werden, ganz im Gegensatz zu Transaktionsnummern, die nur einmal verwendbar sind.

Aus dieser Überlegung heraus stammt die Anforderung, dass Passwörter regelmäßig geändert werden. Gegen diese Anforderung spricht jedoch, dass es für Menschen schwierig ist, sich alle 3 Monate ein komplett neues Passwort zu merken. In der Praxis passiert es häufig, dass derartige Passwörter mit einer Zahl aufhören, die alle 3 Monate um 1 erhöht wird. Dieses Verfahren erhöht die Sicherheit des Passworts nicht wesentlich, da ein einmal bekannt gewordenes Passwort auf zukünftige Passwörter schließen lässt.

Die Übertragung des Passwortes vom Benutzer zum System sollte sicher sein, z. B. durch Verwendung von verschlüsselten Kanälen zur Übertragung (siehe auch TLS). Dadurch wird es bei sicherer Implementierung und ausreichender Stärke der Verschlüsselung für den Angreifer nahezu unmöglich, das Passwort in Erfahrung zu bringen, da die Rechenkapazität heutiger Rechner bei weitem nicht ausreicht, um moderne Verschlüsselungen in angemessener Zeit zu knacken.

Passwörter sollten nicht aufgeschrieben werden, sondern idealerweise nur im Kopf der jeweils berechtigten Personen gespeichert sein. Dazu ist erforderlich, dass das Passwort sich leicht merken lässt. Das steht jedoch im Konflikt dazu, dass alle Unberechtigten das Passwort nicht durch Erraten herausfinden dürfen. In diesem Spannungsfeld versuchen Passwortrichtlinien einen pragmatischen Kompromiss zu finden.

Das Passwort darf nicht im Klartext gespeichert werden. Bei der Stelle, die prüft, ob ein eingegebenes Passwort mit einem früher eingegebenen Passwort übereinstimmt, muss zum Beispiel gar nicht das Passwort selbst gespeichert werden, sondern es reicht, einen mit einer kryptographischen Hashfunktion berechneten Hashwert zu speichern. Um Angriffe auf den Hashwert mit Hilfe von Hash-Tabellen (z. B. Rainbow Tables) zu verhindern, muss in den Hashwert auch ein Zufallswert (Salt) eingehen. Zusätzlich sollte die Funktion rechenintensiv sein (z. B. PBKDF2) um ein schnelles Durchprobieren zu unterbinden.

Erraten von PasswörternBearbeiten

Es empfiehlt sich, für jede Anwendung ein anderes Passwort zu vergeben. Wird das Passwort einer Anwendung durch einen Angreifer ermittelt, bleibt für den Angreifer der Zugriff auf eine andere Anwendung weiterhin verwehrt.

Speziell gegen Phishing im Internet empfiehlt es sich, das Passwort als Hash-Wert aus einem Passwort, welches sich der Benutzer aussucht, sowie der Domain der Webseite zu bilden. Dies führt einerseits dazu, dass jede Webseite automatisch ein anderes Passwort bekommt, selbst wenn der Benutzer immer das gleiche Passwort eingeben sollte. Viele Phishingmethoden können auf diese Weise unterbunden werden. Gegen Keylogger hilft dies jedoch nur bedingt.

Viele Passwörter, wie 123456, können aufgrund ihrer Einfachheit von Angreifern leicht erraten werden. Da die meisten Passwörter von menschlichen Benutzern eingegeben werden (im Gegensatz zur Erzeugung durch Zufallsgeneratoren) und vor allem leicht einprägsam sein müssen, kommen häufig einfach zu erratende Passwörter zum Einsatz, wie z. B. der eigene Name oder der Name eines Familienmitgliedes, des Freundes oder Haustieres, sowie Geburtstage oder Adressen.

Bei Erzeugung durch Zufallsgeneratoren ist zu beachten, dass die erhaltenen Passwörter schlecht zu merken sind und der Nutzer daher tendiert sie zu speichern oder aufzuschreiben. Eine Alternative ist die Kombination von Zufallsmechanismen und einfach zu merkenden Elementen, z. B. wie bei der Verwendung von Diceware.

Das Passwort sollte lang genug sein, um nicht durch Ausprobieren (Brute-Force-Angriff) ermittelt werden zu können. Das System sollte außerdem einen ausreichend großen Zeichensatz verwenden, mit dem das Passwort gebildet wird. Die erforderliche Länge und Zusammensetzung hängt von mehreren Faktoren ab:

  • Welche Zeichen verwendet werden (Ziffern, Buchstaben, Sonderzeichen, geordnet nach Komplexität, da Ziffern nur zehn Variationen von 0–9, Buchstaben hingegen 26 oder mit Groß- bzw. Kleinschreibung sogar 52 Variationen pro Zeichen zulassen, welche einen Brute-Force-Angriff auf das Passwort deutlich erschweren).
  • Ein Passwort kann auch mithilfe von Zeichen sicherer gemacht werden, die es auf der Tastatur nicht gibt, z. B. „®,¤,©“. Diese Zeichen werden meist bei Brute-Force-Angriffen außer Acht gelassen. Zum Eintippen verwendet man unter Windows dann Alt + 0174, Alt + 0164 und Alt + 0169. Die Ziffern müssen bei eingeschaltetem Num-Lock auf dem Ziffernblock getippt werden. Diese Methode ist nicht auf allen Systemen anwendbar, da für das Kennwort entweder nur ein eingeschränkter Zeichensatz zulässig ist (z. B. einige Großrechner) oder eine Eingabe über eine physische Tastatur nicht möglich ist (z. B. bei Smartphones).
  • Ein Passwort sollte nicht mittels eines Wörterbuchangriffs gefunden werden können. Dies kann durch Kunstwörter ohne logischen Bezug, wie z. B. „Pfeifenleuchte“ oder „Vogeltastatur“ nicht ganz verhindert werden, da Wörterbuchangriffe auf Listen bekannter Passwörter und Begriffe zugreifen und komplexere Wörterbuchangriffe mit Hybrid-Funktion mehrere Wörterreihen kombinieren und so auch Kunstwörter brechen können. Durch die Kombination mehrerer Wörter erhöht sich die Anzahl der zu ratenden Kombinationen sehr schnell, so dass durch mehrere willkürlich ausgewählte Wörter durchaus starke Passwörter erzeugt werden können. Der Einsatz von Leetspeak kann dazu dienen, durch eingestreute Sonderzeichen einen Wörterbuchangriff zu erschweren und das Wort trotzdem lesbar zu halten.

Das passwortprüfende System sollte nur eine kleine Anzahl von Log-In-Versuchen von einer IP-Adresse in einem bestimmten Zeitraum zulassen, z. B. nur ein Passwort pro Sekunde. Ansonsten können Rate-Angriffe (Brute-Force) direkt auf das System gestartet werden.

Unsichere PasswörterBearbeiten

Hierzu zählt man die leichtesten Passwörter, also Wörter die einen Sinn ergeben oder deren Verwendung als Passwörter gut dokumentiert ist. Dies ist dann möglich, wenn durch Kompromittierung von Webseiten große Mengen von Passwörtern bekannt werden. Zu diesen Passwörtern zählen nicht nur statische Begriffe, sondern auch Bildungsmuster, die vorhersehbar sind. Einige Beispiele:[4][5][6]

Beispiele Erläuterung
Achterbahn, Chrysantheme, Zypresse Wörter aus einem Wörterbuch, können leicht erraten werden
asdf, wsxedc, tzughj Einfache Zeichenketten von der Tastatur
123456, 54321, 13131 Einfache Ziffernketten
Martin, Sonja Eigennamen – da diese häufig in Wörterbüchern zu finden sind, wird ein Wörterbuchangriff ermöglicht
Spatzi, Mausi Bekannte Kose-, Ruf- und Spitznamen
1985, 3.7.1976 Geburtsjahre, Geburtstage o. Ä.
Mausi1976, Ich3.7.1976 und deren Verwendung als Anhang an einen anderen Begriff
PasswortJuni2020 Typische Techniken, um Passwortwechsel zu vereinfachen, wie z. B. Anhängen von Ziffern oder Monatskürzeln an einen feststehenden Begriff

Diese sogenannten Trivialpasswörter können in vergleichsweise übersichtlichen Listen zusammengefasst werden und sind leicht zu recherchieren. Passwortcracker erzeugen sie seit vielen Jahren auch teilweise automatisch, daher besitzen sie keine Schutzwirkung mehr.

Ebenso unsicher sind Passwörter, die bei anderen Anbietern, wo sie eventuell weitergegeben oder gestohlen werden können, genutzt werden,[7] oder erratbare Abwandlungen. Wird z. B. bei Facebook Wa64h8NR2RKGsQfacebook genutzt, ist für jemanden, der Zugriff auf Facebookpasswörter hat, leicht zu erraten, dass bei Wikipedia vielleicht Wa64h8NR2RKGsQwikipedia genutzt wird. Ähnliches gilt für Wa64h8NR2RKGsQ01 und Wa64h8NR2RKGsQ02. Abhilfe kann eine nachgeschaltete Hashfunktion bieten.

Die oben vorgestellten Muster machen ein Passwort nicht sicherer, da diese Muster den Angreifern ebenfalls bekannt sind. Daher müssen sichere Passwörter ihre Sicherheit aus anderen Quellen bekommen, zum Beispiel durch die Wahl von ausreichend vielen unterschiedlichen Wörtern, die kombiniert werden.

Passwort-FormelnBearbeiten

Mit über Formeln erstellten Passwörtern bleiben Anwender von externen Anbietern unabhängig. Gleichzeitig ermöglicht dieses Prinzip beliebig hohe Sicherheit. Der Nutzer merkt sich eine für alle Passwörter geltende Formel, die in Zusammenhang mit einem variablen Faktor jeweils unterschiedliche Passwörter ergibt. Beispiele für solche variablen Faktoren sind zum Beispiel eine Internetadresse oder ein Firmenname. Der Nutzer merkt sich einzig den zur Erstellung des Passworts nötigen Chiffriercode und erhält damit individuelle und gleichzeitig sichere Passwörter. Wichtig dabei ist, dass vom erzeugten Passwort nicht auf die Formel geschlossen werden kann, damit von einem, auf einer weniger gut gesicherten Seite abgefangenen Passwort, nicht auf das anderer Seiten geschlossen werden kann.

Typischerweise wird ein konstantes Passwort genutzt und dieses zusammen mit etwas Dienstspezifischem gehashed. Es gibt diverse Programme, die dies automatisiert machen.

BeispielBearbeiten

Verarbeitungsstufe beispiel.tld wikipedia.org
Konstantes Passwort Wa64h8NR2RKGsQ Wa64h8NR2RKGsQ
Second-Level-Domain beispiel.tld wikipedia.org
Ergänztes Passwort Wa64h8NR2RKGsQbeispiel.tld Wa64h8NR2RKGsQwikipedia.org
Ergänztes Passwort in Hex 5761363468384e5232524b4773516265
69737069656c2e746c64
5761363468384e5232524b4773517769
6b6970656469612e6f7267
Ergänztes Passwort in Base64 V2E2NGg4TlIyUktHc1FiZWlzcGllbC50bGQ= V2E2NGg4TlIyUktHc1F3aWtpcGVkaWEub3Jn
Gehashtes Passwort in Hex 5942b19324253a01c69b04e8165428c4
ee0da5b0f1436f0e8623f388b1b30bd4
9958e7f183f746e836aab22e9ed82046
46269abae35b2f184d9fb512205193de
Gehashtes Passwort in Base64 WUKxkyQlOgHGmwToFlQoxO4NpbDxQ28O
hiPziLGzC9Q=
mVjn8YP3Rug2qrIuntggRkYmmrrjWy8Y
TZ+1EiBRk94=

Das „konstante Passwort“ ist für beide Domains gleich. Wenn ein Angreifer dieses Passwort abfängt, kann er es direkt auf der jeweils anderen Webseite nutzen.

Das „ergänzte Passwort“ ist das konstante Passwort, ergänzt um die Domain der jeweiligen Webseite. Es unterscheidet sich zwar zwischen den Webseiten, aber am Ende des Passworts ist klar erkennbar, wie es aufgebaut ist. Durch einfaches Ersetzen des Teils „beispiel.tld“ könnte ein Angreifer leicht das Passwort für andere Webseiten raten.

Das „ergänzte Passwort in Hex“ ist einfach nur eine andere Darstellung. Sie sieht auf den ersten Blick zufällig aus, aber wenn man genau hinsieht, erkennt man, dass die Passwörter in beiden Spalten mit denselben Ziffern anfangen und sich nur am Ende unterscheiden.

Das „ergänzte Passwort in Base64“ ist ebenfalls nur eine andere Darstellung. Hier werden immer 3 Zeichen des Klartext-Passworts blockweise in 4 Zeichen des codierten Passworts umgewandelt. Auch hier ist der Anfang des codierten Passworts auf beiden Seiten gleich, nur das Ende unterscheidet sich.

Durch das Anwenden einer kryptographischen Hashfunktion (in diesem Beispiel SHA-256) wird das Passwort so stark durcheinandergewürfelt, dass es nicht möglich ist, aus dem Ergebnis auf das ursprüngliche Passwort oder auch Teile davon zurückzuschließen.

Die Ausgabe von SHA-256 ist eine Bit- oder Bytefolge. Um diese Folge in Textform darzustellen, muss sie codiert werden, zum Beispiel mit hexadezimalen Ziffern oder Base64. Die Darstellung in hexadezimal ist relativ originalgetreu, da die einzelnen Bits noch gut erkennbar sind. Die Darstellung in Base64 ist kürzer, versteckt aber dafür die einzelnen Bits, sodass schwieriger erkennbar ist, ob die so codierten Daten tatsächlich durcheinandergewürfelt sind oder ob das durch die Codierung nur so wirkt.

Der wesentliche Unterschied zwischen den codierten und den gehashten Varianten des Passworts ist, dass sich aus den codierten Varianten leicht das Original-Passwort ausrechnen lässt, während das bei den gehashten Varianten nicht geht.

Passsatz für das PasswortBearbeiten

Als sicher, wenn richtig angewendet und gut zu merken gelten Passsätze. Damit sind Sätze gemeint welche leicht merkbar sind aber zu kompliziert zu erraten. Die jeweils ersten Buchstaben aller Wörter im Satz ergeben das Passwort. Beispiel: "Wenn du versuchst mein Passwort zu klauen werde ich dich verhauen". Daraus lässt sich das 11-Stellige Passwort WdvmPzkwidv konstruieren. Diese elf Stellen lassen sich nur mit größtem Zeitaufwand mit der Brute-Force-Methode erraten, resp. errechnen.[8][9]

Sofern das Passwort beliebig lang sein darf und auch Leerzeichen erlaubt sind, ist der gesamte Passsatz sicherer als das daraus abgeleitete Passwort. Es gibt jedoch genug Situationen, in denen derartige Passwörter nicht vom System erlaubt sind.

Ausprobieren von PasswörternBearbeiten

Die folgende Tabelle gibt die maximal benötigte Rechenzeit eines Brute-Force-Angriffs auf verschiedene Passwörter wieder. In diesem Beispiel wird eine Rechenleistung von 1 Milliarde Schlüsseln angenommen, die der Angreifer pro Sekunde durchprobieren kann. Dies entspricht ungefähr der Leistung eines modernen Standard-PCs mit leistungsfähiger Grafikkarte (z. B. Radeon HD 6770 aus dem Jahr 2011).[10] Die zugrundeliegende Formel für die Berechnung der Anzahl der maximal benötigten Versuche lautet: ZeichenraumgrößePasswortlänge, also beispielsweise bei alphanumerischen Passwörtern (62 Zeichen) mit der Länge 10 ergäben sich maximal 6210 Versuche. Des Weiteren wird für dieses Beispiel angenommen, dass das Passwort als md5-hash, vorliegt. Es ist zu beachten, dass die Werte dieser Tabelle nur ein Beispiel darstellen und sich in der Praxis auch sehr deutlich davon unterscheiden können:[11][12]

Maximale Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde
  Passwortlänge
Zeichenraum 4 Zeichen 5 Zeichen 6 Zeichen 7 Zeichen 8 Zeichen 9 Zeichen 10 Zeichen 11 Zeichen 12 Zeichen
10 [0–9] <1 ms <1 ms 1 ms 10 ms 100 ms 1 Sekunde 10 Sekunden 2 Minuten 17 Minuten
26 [a–z] <1 Sekunde <1 Sekunde <1 Sekunde 8 Sekunden 4 Minuten 2 Stunden 2 Tage 42 Tage 3 Jahre
52 [A–Z; a–z] <1 Sekunde <1 Sekunde 20 Sekunden 17 Minuten 15 Stunden 33 Tage 5 Jahre 238 Jahre 12.400 Jahre
62 [A–Z; a–z; 0–9] <1 Sekunde <1 Sekunde 58 Sekunden 1 Stunde 3 Tage 159 Tage 27 Jahre 1.649 Jahre 102.000 Jahre
96 (+Sonderzeichen) <1 Sekunde 8 Sekunden 13 Minuten 21 Stunden 84 Tage 22 Jahre 2.108 Jahre 202.000 Jahre 19 Mio. Jahre

AlternativenBearbeiten

Anstatt Passwörter manuell eingeben zu lassen, können Schlüssel auch in einer Schlüsseldatei abgelegt werden. Bei Anwendungen wie beispielsweise SSH kann neben der Authentifizierung mit einem Passwort auch ein Public-Key-Verfahren eingesetzt werden. Der Vorteil ist dabei, dass die Gegenstelle den geheimen privaten Schlüssel nicht zu sehen bekommt. Auch hier wird der private Schlüssel in einer Datei gehalten und kann gegen unbefugtes Auslesen mit einem Passwort geschützt werden.

Die Zugangskontrolle kann auch durch eine Identifizierung der Person anhand (fast) einmaliger persönlicher Merkmale wie Fingerabdrücke oder das Irismuster erfolgen. Mittlerweile lassen sich solche Merkmale jedoch fälschen, weshalb biometrische Authentifizierungsmethoden nicht für sensible Daten verwendet werden sollten.[13] Zudem kann bei biometrischen Verfahren der Zugriff durch Behörden oder andere dritte Personen erzwungen werden.[14]

Eine andere Alternative für eine Zugangskontrolle ist, statt die Kenntnis eines Passwortes vorauszusetzen, den Besitz eines einmaligen Objektes zu verlangen. Dieses Objekt, das man Security-Token nennt, kann beispielsweise eine Chipkarte sein oder ein besonderer USB-Stick. Token wurden und werden im Eisenbahnwesen verwendet um sicherzustellen, dass sich auf einer eingleisigen Strecke nur ein Zug bewegt. Um den modernen Token vor Missbrauch zu schützen, wird er oft zusätzlich durch ein Passwort geschützt. Man spricht dann von einer Zweifaktor-Authentifizierung, da zur Authentifizierung sowohl der „Besitz eines Objektes“ erforderlich ist als auch die „Kenntnis eines Geheimnisses“.

Siehe auchBearbeiten

WeblinksBearbeiten

Wiktionary: Passwort – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

EinzelnachweiseBearbeiten

  1. Passwort in duden.de, abgerufen am 2017-04-17
  2. Empfehlung des BSI zur Passwortwahl
  3. Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts. heise.de. Abgerufen am 14. August 2017.
  4. Passwortdaten von Flirtlife.de kompromittiert. In: Heise online. 22. Juni 2006.
  5. Bruce Schneier: MySpace Passwords Aren’t So Dumb. In: Wired. 14. Dezember 2006.
  6. 10 Most Common Passwords. In: PC Magazin. 18. April 2007.
  7. PwdHash (englisch) Problembeschreibung Mehrfachnutzung von Passwörtern. Abgerufen am 4. Januar 2014
  8. Passwortsicherheit mit Passsatz
  9. Passsatz ist einfacher zu merken als Passwort
  10. hashcat.net (Memento vom 9. Oktober 2010 im Internet Archive). Abgerufen am 23. August 2011
  11. Thor’s Password Strength Checker. Abgerufen am 16. August 2011
  12. Password Recovery Speeds. Abgerufen am 13. Dezember 2012
  13. http://www.ccc.de/de/updates/2014/ursel
  14. http://mashable.com/2014/10/30/cops-can-force-you-to-unlock-phone-with-fingerprint-ruling/