Datenschutz

Sichere Passwörter: Das müssen Sie wissen!

Ein sicheres Passwort ist komplex und auch ein bisschen lästig – aber letztendlich unverzichtbar. Lesen Sie, wo Sie welche Passwörter einsetzen sollten.

Passwort vergessen - Knack-Tools

© hywards - fotolia.com

Passwort vergessen? Mit den richtigen Tools können Sie Zugänge knacken und Passwörter wiederherstellen.

Hallo, hier ist Spotify. Wir wollen Dich nur informieren, dass sich die E-Mail-Adresse für Dein Spotify-Konto geändert hat.“ Wie bitte? Ist das Spam? – aber es sieht nicht aus wie Spam … Ist es auch nicht, das Opfer (und Autor des vorliegenden Artikels) hat diese Mail von Spotify bekommen, weil ein Fremder sich in sein Konto eingeloggt und die E-Mail-Adresse geändert hat. 

Der erste (richtige) Reflex ist: Schnell einloggen und die Mail-Adresse zurücksetzen. Aber das scheitert, denn der Täter war klug genug, das zugegeben zu schwache Passwort zu ändern. Fazit: Hin und wieder sollte man über seinen Umgang mit Passwörtern nachdenken.

Tatsache ist, dass die Rechenleistung zum Knacken von Passwörtern enorm zugenommen hat. Sichere Passwörter werden also immer unverzichtbarer. Es ist nun aber völlig unmöglich, sich auch nur ein einziges solches sicheres Passwort zu merken, geschweige denn viele für alle Dienste, die man so hat. 

Um die Anforderungen sauber zu erfüllen, hilft nur ein Passwortmanager wie Keepass, der Passwörter verwaltet und auch sichere erstellt. Wenn Sie also mit dem Passwortgenerator von Keepass für jeden Dienst und jedes Konto ein neues komplexes Passwort erzeugen lassen, das 20 Zeichen und länger ist, sind Sie gegen Angriffe auf Ihr Passwort sicher (aber nicht auf Angriffe zum Beispiel gegen den Dienst, dazu später).

Ein akzeptables Passwort wäre etwa: *2G3Qd:“4ztjYQeN$XS~

Der Passwort-Checker von Kaspersky meint, dieses Beispiel wäre mit einem durchschnittlichen PC erst in 10.000 Jahrhunderten zu knacken. Selbst wenn man im Falle des Einsatzes von Profi-Equipment ein paar 10er-Potenzen abzieht, ist der Wert nicht schlecht und bedeutet viel Langeweile für den Hacker. Wenn dieser nicht weiß, dass Sie ein paar Millionen Bitcoins verstecken, wird er sich ein leichteres Opfer suchen (eines wie mich und meinen Spotify-Account). 

Das Master-Passwort des Passwortmanagers sollte natürlich auch sicher sein. Das müssen Sie sich tatsächlich aber merken. Verwenden Sie dazu den Passwortsatz, wie im nächsten Abschnitt geschildert.

Sichere Passwörter: Keypass

© Screenshot WEKA / PC Magazin

Wählen Sie im Passwortgenerator von Keepass Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen.

PCs privater Anwender 

Nehmen wir an, Sie haben keine Familienmitglieder, Freunde Ihrer Töchter, Nachbarn oder Putzfrauen, die sich mit Cain&Abel und Rainbow-Tables auskennen, Sie wollen aber dennoch ein paar Dateien verstecken oder verhindern, dass sich jemand in Ihren Rechner einloggt. Dann reicht Ihnen ein vergleichsweise schwaches Windows-Passwort, das aber nicht zu erraten sein sollte. (Nehmen Sie nicht den Namen Ihrer Freundin, selbst wenn Sie meinen, Ihre Familie wüsste ihn nicht.) 

Einen Passwortmanager können Sie beim Windows-Login nicht verwenden, aber es eignet sich ein Passwort, das aus einem Satz zusammengesetzt ist: Sage mir, Muse, die Taten des vielgewanderten Mannes. Nehmen Sie die Anfangsbuchstaben des Satzes Sm,M,dTdvM und ersetzen Sie noch einen Buchstaben durch eine Ziffer. Ergebnis: 5m,M,dTdvM. 

Kaspersky sagt: 4 Jahre – schlecht, mit Profihardware in Minuten zu knacken, für den Nachbarn aber zu schwer. Hinzu kommt, dass Windows nach ein paar Fehlversuchen die Möglichkeit zur Passworteingabe stetig verlangsamt und lästig macht. 

Haben Sie einen versierten Hacker in der Familie, ist nicht das Windows-Passwort das Problem, sondern Angriffe, die – ohne Passwort – einen neuen Admin-Account am Rechner erzwingen. Der neue Admin könnte zusätzlich Ihr Passwort aufstöbern, denn es liegt als Hashwert verschlüsselt im System. Wenn er es entschlüsselt, weil es schwach ist und Sie es dann noch für ein anderes Konto verwenden (Ihr Banking-Login), dann steht dem gewitzten Hacker auch dieses offen. 

Ein fataler Angriff, den Sie nur mit dem Einsatz von Bitlocker verhindern können. Der Vorteil: Mit Bitlocker reicht tatsächlich Ihr Satz-Passwort. Der Nachteil: Wenn Sie dieses vergessen, steht Ihnen der oben geschilderte Rettungsangriff nicht offen. Dennoch raten wir zum Einsatz von Bitlocker.

WLAN-Passwort 

Das WLAN-Passwort ist als relativ kritisch einzustufen und das Passwort sollte mindestens 20 Zeichen lang sein. Nehmen Sie 25 Zeichen und verzichten Sie auf die Sonderzeichen, das werden Ihnen die Besucher danken, die das Passwort auf dem Handy eintippen müssen. 

Im Gegensatz zu anderen sicheren Passwörtern sollten Sie das WLAN-Passwort zusätzlich alle paar Monate wechseln. Da es Angriffe auf das WLAN gibt, die vom Passwort unabhängig sind, sollten Sie ganz sensible Daten auch innerhalb des Netzes verschlüsselt versenden, etwa mit einem VPN- oder TLS-Tunnel. Das gilt aber eher für Firmen, da diese Art von Angriffen im Heimbereich realistisch nicht durchführbar ist. Für den Router gelten die allgemeinen Passwortregeln, eher schärfer eingestellt, da Sie mit Angriffen von außen rechnen müssen. (Und das Firmware-Update nicht vergessen!)

Sichere Passwörter: Kaspersky

© Screenshot WEKA / PC Magazin

Dieses Passwort ist sehr sicher, auch gegen Profi-Knacker-Hardware. Aber es ist kaum zu merken.

Internet-Dienste 

Brute-Force-Attacken auf Ihr Konto bei Facebook & Co. sind im Prinzip nicht möglich, da die Dienste einen Angriff erkennen und die Eingabemöglichkeit verlangsamen. Die Gefahr lauert an anderer Stelle: Der Dienst selbst wird gehackt, und die Angreifer dringen bis zur Passwort-Datenbank vor und kopieren diese. So geschehen bei Yahoo und anderen. 

Nun sind die Passwörter in der Datenbank zwar verschlüsselt, aber der Angreifer kann in Ruhe eine Brute-Force-Attacke auf die Hash-Werte starten. Um Zeit zu sparen, wird er erst versuchen, alle Accounts mit unsicheren Passwörtern zu knacken, denn das geht in Sekunden. Wenn Ihres also sicher ist, wird der Hacker wahrscheinlich schnell davon ablassen. 

Fatal wird der Diebstahl dann, wenn Sie die gleiche Login-Kombination noch bei anderen Diensten verwenden. Denn die Hacker probieren das systematisch und automatisiert aus (wie bei meinem Spotify-Account). Eine Zweifaktorenauthentifizierung wird das verhindern, aber besser ist es, gleich sichere Passwörter einzusetzen – und bei jedem Dienst ein eigenes. 

Wichtig ist beim Login in Online-Diensten eine SSL/TLS- Verbindung, sonst können finstere Admins fremder Router die Login-Kombination einfach mitlesen und kopieren. Exkurs Salz und Pfeffer: Clevere Admins speichern Passwörter nicht einfach so verschlüsselt in der Datenbank, sondern fügen Salt-and-Pepper hinzu. Salz erhöht die Komplexität des Hashwertes, und Pfeffer fügt dem zu verschlüsselnden Passwort Zufallsziffern hinzu. Gerade Letzteres macht es dem Hacker schwer, ein Passwort zu extrahieren. 

Gelingt der Bruch, dann ist das Passwort mit den Zufallsziffern unbrauchbar – vorausgesetzt, dem Hacker ist es nicht gelungen, auch den Pfeffer-Algorithmus zu knacken oder im System aufzuspüren. Yahoo hatte diese verbesserte Sicherheit nicht im Einsatz.

Mehr lesen

Shutterstock Teaserbild
Passwort-Manager

KeePass ist ein starkes Tool für die eigene Passwort-Verwaltung. Wir geben unverzichtbare Tipps, damit Sie noch sicherer im Web surfen.

Passwort Sync 

Sehr praktisch ist es, Passwörter und Zugangsdaten über verschiedene Computer und Handys hinweg zu synchronisieren. Alle Browser bieten entsprechende Dienste an. Diese Synchronisation ist auch tatsächlich sicher, denn die Verschlüsselung findet auf dem jeweiligen Rechner statt (Ende-zu-Ende). Das von Ihnen dabei verwendete Passwort, zum Beispiel für das Firefox- Sync-Konto, sollte allerdings sicher sind. Auch Lastpass arbeitet mit Ende-zu-Ende-Verschlüsselung. 

Das Problem sitzt im Browser selbst, denn der Passwortspeicher ist nach wie vor leicht zu knacken. Ein Masterpasswort (nicht zu verwechseln mit dem oben erwähnten Passwort für die Synchronisation) bietet einen gewissen Schutz, aber nur solange der Passwort-Safe des Browsers nicht geöffnet ist. Verwenden Sie die Browser-Passwort-Manager daher besser nicht, denn ein Trojaner hätte schnell alle Ihre Zugangsdaten entwendet. Einen etwas besseren Schutz bietet in diesem Zusammenhang Lastpass.

Kritischere Umgebungen 

Wenn Sie Blaupausen in Ihrer Firma hin- und herschicken, sollten Sie über Zugriffskontrollen und sichere Kanäle nachdenken. Nicht nur die Passwörter, sondern die ganze Umgebung benötigt ein Sicherheitskonzept. Das sicherste Passwort ist die Smartcard, denn sie erledigt auch die eigentliche Signatur und Verschlüsselung. Der Schlüssel selbst verlässt dabei die Smartcard nicht.

Fazit

Letztendlich kommen Sie um den Einsatz eines Passwortmanagers nicht herum. Viele AV-Suiten beinhalten solch ein Tool, das auch das Login in Webseiten automatisiert. Keepass oder ein Online-Dienst wie Lastpass sind hier ebenfalls eine gute Wahl. Achten Sie aber auf eine Ende-zu-Ende- Verschlüsselung. 

Persönlich angemerkt: Das Wissen, dass ein Fremder in den eigenen Spotify-Playlisten herumstöbert, ist wirklich beunruhigend. Und ein mulmiges Gefühl bleibt, obwohl der super Spotify-Support den Übeltäter blitzschnell wieder rausgekickt hat.

Mehr zum Thema

Spionage Tools aussperren
Schutz vor Spionage

Keylogger und andere Trojaner sind eine große Gefahr. Virenscanner können Sie schnell übersehen. Wir zeigen, wie Sie sich schützen können.
Vault 7 Wikileaks
Vault 7

Die Cyber-Agenten des CIA haben es auf Handys, das Smart Home und vernetzte Dinge abgesehen. So entdecken Sie die Spione in Ihrem Netz.
Spion im Drucker
Sicherheit

Wussten Sie, dass Drucker die eindeutige Geräteseriennummer und den Druckzeitpunkt hinterlassen? Nein? Auch einer Whistleblowerin wurde das zum…
Facebook Apps
Jetzt prüfen!

Facebook-Apps lassen sich nun deutlich bequemer löschen. Das Soziale Netzwerk spielt ein Update ein, mit dem Nutzer Ihre Daten besser im Griff haben.
Datensicherheit im Managed-Service-Modell
Cambridge Analytica unter Beschuss

Der Facebook-Datenskandal betrifft weltweit mehr Nutzer als gedacht, auch deutsche Nutzer sollen dabei sein. Cambridge Analytica streitet die Vorwürfe…