Was ist ein sicheres Passwort? Wie bei allen Aspekten des Themas Sicherheit gilt natürlich auch hier: Ein hundertprozentig sicheres Passwort gibt es nicht. Aber man kann einiges tun, damit das Passwort nicht in Bruchteilen einer Sekunde geknackt werden kann. Wir sprechen daher auch von starken oder schwachen Passwörtern.
Bad passwords are one of the easiest ways to compromise a system.
Edward Snowden (Quelle)
Passwörter knacken
Um selbst einschätzen zu können, ob ein Passwort leicht, schwer oder sogar sehr schwer zu knacken ist, ergibt es Sinn einige der grundlegenden Verfahren des Passwort-Knackens kennen zu lernen und Wege diesen Verfahren das Leben schwer zu machen.
Betrachtet werden müssen in diesem Fall zwei Seiten:
- Der Nutzer, der das Passwort erstellt und eingibt.
- Das System, in das das Passwort eingegeben wird.
Dieser Beitrag legt den Hauptfokus auf die Nutzergruppe. Informationen zu den Systemen finden Sie im nächsten Beitrag.
Ausprobieren
Das Knacken eines Passworts kann mithilfe eines Computer-Algorithmus komplett automatisiert werden. Nachfolgend die beiden gebräuchlichsten Verfahren.
Brute-Force-Methode
Diese Methode ist vergleichbar mit dem Öffnen eines Zahlenschlosses. Handelt es sich um ein 4-stelliges Schloss, gibt es 10.000 Kombinationsmöglichkeiten. Wenn ein Versuch per Hand eine Sekunde dauert, wäre das Schloss in weniger als drei Stunden geknackt.
Bei einer Brute-Force-Attacke wird genau dies gemacht - alle Kombinationsmöglichkeiten ausprobieren. Im Unterschied zum Menschen schafft es ein Computer aber pro Sekunde über 2 Milliarden Kombinationsmöglichkeiten zu testen. (Quelle: "As of 2011, available commercial products claim the ability to test up to 2,800,000,000 passwords a second on a standard desktop computer using a high-end graphics processor."). Das 4-stellige Zahlenschloss wäre also in maximal 0,0036 Millisekunden geknackt.
Somit sollte klar sein, dass mit der Brute-Force-Methode jedes Passwort geknackt werden kann. Die Frage ist nur, wie lange es dauert. Doch wie ist das zu beeinflussen? Über die Länge des Passworts und die Anzahl der möglichen Zeichen.
Neben der Passwortlänge ist die Vielfalt der möglichen Zeichen von entscheidender Bedeutung. Daraus ergibt sich die Anzahl der Kombinationsmöglichkeiten. Um die Berechnung und die genauen Werte zu erfahren, lassen Sie einfach Ihre Maus über dem jeweiligen Wert schweben.
PasswortLänge Mögliche Zeichen |
4 | 8 | 12 | 16 |
nur Ziffern [0-9] |
10 Tausend | 100 Millionen | 1 Billion | 10 Billiarden |
nur Klein- oder Großbuchstaben [a-z] oder [A-Z] |
457 Tausend | 209 Milliarden | 95,4 Billiarden | 43,6 Trilliarden |
Ziffern + Klein- oder Großbuchstaben [0-9] + [a-z] oder [A-Z] |
1,6 Millionen | 2,8 Billionen | 4,7 Trillionen | 7,9 Quadrillionen |
Klein- und Großbuchstaben [a-z] + [A-Z] |
7,3 Millionen | 53,5 Billionen | 390,9 Trillionen | 2,8 Quadrilliarden |
Ziffern + Klein- und Großbuchstaben [0-9] + [a-z] + [A-Z] |
14,8 Millionen | 218,3 Billionen | 3,2 Trilliarden | 47,6 Quadrilliarden |
Bei 2,8 Milliarden Tests pro Sekunde ergeben sich folgende maximale Suchzeiten bis das Passwort geknackt wird.
PasswortLänge Mögliche Zeichen |
4 | 8 | 12 | 16 |
nur Ziffern [0-9] |
< 1 Millisekunde | < 1 Sekunde | ~ 6 Minuten | ~ 41 Tage |
nur Klein- oder Großbuchstaben [a-z] oder [A-Z] |
< 1 Millisekunde | ~ 1 Minute | ~ 1 Jahr | > 1000 Jahre |
Ziffern + Klein- oder Großbuchstaben [0-9] + [a-z] oder [A-Z] |
< 1 Sekunde | ~ 17 Minuten | ~ 54 Jahre | > 1000 Jahre |
Klein- und Großbuchstaben [a-z] + [A-Z] |
< 1 Sekunde | ~ 5 Stunden | > 1000 Jahre | > 1000 Jahre |
Ziffern + Klein- und Großbuchstaben [0-9] + [a-z] + [A-Z] |
< 1 Sekunde | ~ 1 Tag | > 1000 Jahre | > 1000 Jahre |
For somebody who has a very common 8-character password, it can literally take less than a second for a computer to go through possibilities and pull that password out.
Edward Snowden (Quelle)
Daraus ergibt sich, dass, sobald mindestens Buchstaben verwendet werden können, eine Passwortlänge von 12 Zeichen einen akzeptablen Schutz vor einer reinen Brut-Force-Attacke bieten. In Kombination mit anderen Arten von Attacken kann dies aber nicht immer ausreichen. Mehr dazu später. Falls nur Ziffern möglich sein sollten, bedenke Sie bitte, dass erst ab 17 Zeichen die Jahresgrenze (maximale Suchdauer > 1 Jahr) überschritten wird.
Wörterbuchangriffe
Auch wenn ein Angriff mit der Brute-Force-Methode in jedem Fall ein korrektes Ergebnis liefern wird, ist es jedoch fraglich, ob dies in einer akzeptablen Zeit passieren wird. Der Algorithmus, der hinter der Methode steckt, ist somit zwar effektiv aber nicht effizient. Er ist quasi "dumm".
Die Wörterbuch-Methode hingegen verfügt über deutlich mehr Wissen - teilweise sogar Spezialwissen. Die grundlegende Technik, nämlich das Testen vieler Möglichkeiten in schneller Abfolge, wird auch von dieser Methode verwendet. Jedoch werden nicht irgendwelche zufälligen Zeichenkombinationen getestet, sondern eine Liste von bekannten Wörtern bzw. Zeichenkombinationen.
Das hat den Vorteil, dass deutlich weniger getestet werden muss, um das richtige Passwort zu ermitteln. Voraussetzung ist dabei aber, dass das Passwort oder dessen Bestandteile in der Liste überhaupt vorkommt. Ist das nicht der Fall, kommt diese Methode zu keinem Ergebnis.
Bei diesen Listen handelt es sich z. B. um:
- die beliebtesten Passwörter
- die häufigsten Wörter in einer Sprache (inkl. typischer/gewollter Tippfehler)
- alle Vor- und Nachnamen
- usw.
Diese allgemeinen Listen umfassen oft mehrere Millionen Wörter. Je mehr über die Person bekannt ist, die das Passwort vergeben hat, desto gezielter kann eine solche Liste aber auch zusammengestellt werden. Beispiel:
Folgende Daten sind über Walter Pfiffig bekannt:
- Er ist Gerichtsvollzieher.
- Geburtstag: 14.12.1950
- Er hat bei Facebook angegeben Fan der Beatles zu sein.
- Bei Amazon hat er ein sehr exklusives Model eines Aston Martin DB5 gekauft.
Daraus lassen sich z. B. folgende Passwörter ableiten:
- GVGoldfinger1950
- YellowMartini1412
- LetItBeEGVP2013
Diese Passwörter sind schon recht gut gewählt. Die einzelnen Bestandteile haben nichts direkt miteinander zu tun. Liegen aber spezielle Wörterbücher zu den Themen Gerichtsvollzieher, Beatles und James Bond vor, sieht die Sache schon anders aus.
Bei der Analyse von real vergebenen Passwörtern wird immer wieder festgestellt, dass rund die Hälfte aller vergebenen Passwörter ganz normale Wörter waren.
Verwenden Sie also keine Wörter und Daten die in direktem Zusammenhang mit Ihnen stehen. Wenn Sie "normale" Wörter verwenden möchten um sich das Passwort leichter merken zu können, wählen Sie bitte ein möglichst langes Passwort mit vielen Zeichenräumen. Dann ist auch "Passwörtersind110%sicher" ein akzeptables Passwort.
Erfragen
Doch, selbst wenn Sie sich durch ein sehr starkes Passwort bestmöglich gegen Angreifer geschützt haben, kann das komplette System durch unvorsichtiges Verhalten zusammenbrechen. Denn neben den rein computergestützten Verfahren gibt es auch Methoden in denen das Opfer mit in die Ermittlung des Passworts einbezogen wird. Dies hat für den Angreifer den Vorteil, dass er sofort das richtige Passwort erhält. Nachfolgend nur ein kleiner Überblick. Diesen Bereich werden wir später in der Serie noch vertiefen.
Social Engineering / Phishing
Bei dieser Technik wird versucht das Passwort direkt beim Nutzer zu ermitteln. Dies geschieht per direkten Kontakt (z.B. auf der Straße, per Telefon oder Chat) oder indem das Opfer auf einer gefälschten Internetseite oder in einer gefälschten E-Mail das Passwort eingibt und es direkt an den Angreifer übersendet.
Dieses Thema wird im Beitrag Phishing erkennen detailierter behandelt.
Schadsoftware
Hat sich eine solche Software (z.B. durch unbemerkten Download oder über einen E-Mail-Anhang) installiert kann Sie dem Angreifer die benötigten Daten direkt zusenden.
Dieses Thema wird im Beitrag Schadsoftware und andere Gefahrenquellen detailierter behandelt.
Hinweis speziell für EGVP-Nutzer: Wie sicher ist Ihre EGVP-PIN?
Hier ein kleines Beispiel aus Ihrem Arbeitsumfeld.
Um im Governikus Communicator Zugang zum EGVP-Postfach zu erhalten ist ein PIN-geschütztes Verschlüsselungszertifikat nötig. Der mögliche Zeichenraum der PIN ist dabei auf Ziffern (0-9) beschränkt. Die minimale PIN-Länge ist auf 4 Ziffern festgelegt. Es gibt somit 10.000 Kombinationsmöglichkeiten, wenn Sie nur die minimalen Anforderungen erfüllen.
Selbst ohne Computerunterstützung, aber mit dem obigen Wissen, ist die PIN ohne Probleme innerhalb von 12 Stunden händisch zu ermitteln. Wahrscheinlich aber deutlich schneller wie folgende Herangehensweise deutlich macht. Es wird dabei davon ausgegangen, dass pro Minute 15 Versuche durchführbar sind.
Mögliche Herangehensweise
- persönliche Daten (Geburtstag, Geburtsjahr) > geknackt nach 1 - 2 Minuten
- alle Zahlenreihen (1234, 2345, ..., 9876, 8765, ..., 2468, 1357, ..., 0000, 1111, ...) > geknackt nach 2 - 3 Minuten
- alle Jahreszahlen zwischen 1900 und 2018 absteigend > geknackt nach ca. 10 Minuten
- alle Datumskombinationen (0101, ..., 3112) > geknackt nach ca. 35 Minuten
- restliche Kombinationsmöglichkeiten > geknackt nach maximal etwas mehr als 11 Stunden
Schritt 1 bis 4 ergeben ca. 500 Möglichkeiten, also 5 % aller Kombinationen. Die Wahrscheinlichkeit ist sehr hoch, dass sich die gesuchte PIN darunter befindet - vermutlich schon in Schritt 1 oder 2. Vielleicht haben Sie ja Ihre eigene auch entdeckt.
Sie sehen also, dass selbst ein Computer-Laie mit einer systematischen und durchdachten Herangehensweise, eine so kurze PIN mit Leichtigkeit herausfinden kann.
Gegenmaßnahmen
- Verwenden Sie eine deutlich längere PIN um auch gegen Computer eine Chance zu haben. Jede zusätzliche Ziffer verzehnfacht die maximale Suchdauer. Erst ab 15 Ziffern liegt die maximale Suchdauer für einen Computer, der pro Sekunden 2,8 Milliarden Kombinationsmöglichkeiten testen kann, über 24 Stunden!
- Verwenden Sie keine bekannten Ziffernkombinationen. Auch wenn die PIN "123456789987654321" aus 18 Zeichen besteht wird der Computer diese PIN dank intelligenter Algorithmen in kurzer Zeit lösen können.
- Finden Sie eine Möglichkeit nicht nur Ziffern, sondern auch Buchstaben zum Schutz Ihres Postfachs verwenden zu können. Ansprechpartner wäre hier vermutlich der Support des EGVP-Programms.
- Allein die Hinzunahme von Kleinbuchstaben (a-z ohne Umlaute) erhöht die maximale händische Suchdauer von 11 Stunden auf knapp 78 Tage. Auch der Computer hätte es deutlich schwieriger. Die in Punkt 1 angesprochene 24-Stunden-Grenze würde schon bei 10 Zeichen überschritten werden.
- Bei zusätzlicher Hinzunahme der Großbuchstaben (A-Z ohne Umlaute) liegt die maximale händische Suchdauer bei knapp 2 Jahren und die 24-Stunden-Grenze für Computer wird bei 8 Zeichen überschritten.
Mindeststandards für ein starkes Passwort
Wir empfehlen Ihnen diese Mindeststandards für ein starkes Passwort einzuhalten:
- mindestens zwölf Zeichen lang
- Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern
- keine Wörter aus dem Wörterbuch (bei kurzen Passwörtern)
- Tabu sind Wörter und Daten, die mit Ihnen in direkter Verbindung stehen.
- Keine gängigen Muster verwenden.
Nicht alle Systeme/Programme/Internetseiten etc. unterstützen alle Empfehlungen - z.B. bezüglich der Passwortlänge. Wählen Sie dann ein Passwort, das unter diesen Umständen den besten Schutz verspricht. Unter Umständen kann es aber auch sein, das noch striktere Regeln für ein Passwort gelten.
Tipp: Bedenken Sie, dass Sie im Ausland unter Umständen deutsche Umlaute per Tastatur nicht eingeben können.