1. Passwörter – und was dann?

Herzlich willkommen zu unserer mehr-teiligen Blog-Reihe zum Thema Passwörter und Authentifizierung.

Was macht gute Passwörter aus, was sind Passphrases, wieso sind Passwortmanager hilfreich und was ist eigentlich Multifaktor-Authentifizierung?

Inhalt:

Alt, und doch immer wieder gerne genutzt – Passwörter. Der Mensch ist ein Gewohnheitstier und was wir einmal gelernt haben, verwenden wir gerne auch in einem anderen Kontext. Zum einen, weil der Mensch an sich ‚bequem‘ ist und weil wir uns ungern mit geänderten Gegebenheiten auseinandersetzen. Was sich früher bewährt hat, hat für uns oftmals auch heute noch Gültigkeit.

So ist es auch mit Passwörtern. Denn tatsächlich werden Passwörter in der Menschheitsgeschichte schon sehr lange verwendet. Von dem geheimen Passwort für den Zugang zu einer Höhle im Orient¹, gefüllt mit Schätzen („Sesam öffne Dich“), über das geheime Passwort für den Zugang zu Flüsterkneipen („Speakeasis“) während der Prohibition² in den USA, hin zu den Zugangsworten unserer modernen Gesellschaft.

Was hat sich also von der Antike bis heute verändert? Warum ist es noch wichtiger geworden, sichere Passwörter zu finden?

Wir müssen uns heute eine Vielzahl von Passwörtern „ausdenken“ und merken, da wir nicht nur eine einzige Höhle mit Schätzen besitzen, sondern viele.

Zudem sind die heutigen Rechner in der Lage, einfache Passwörter in relativ kurzer Zeit zu „knacken“ oder „cracken“.

Hier ein Ranking von Router-Passwörtern, die das Prädikat „gut“ nicht verdienen:

  1. admin
  2. root
  3. 1234
  4. guest
  5. password
  6. 12345
  7. support
  8. super
  9. Admin
  10. Pass

Was macht eigentlich ein „gutes“, also sicheres, Passwort aus? Und wie kann ich das Passwort prüfen?

Ein „gutes“ Passwort sollte enthalten:

  1. Eine Kombination aus Groß- und Kleinbuchstaben
  2. Sonderzeichen und Symbole
  3. Ziffern
  4. Eine Mindestanzahl von Zeichen (>=12)

Weitere Kriterien oder Regeln für ein sicheres Passwort sind:

  1. Passwörter sollte man sich merken können
  2. Für jeden Zweck ein anderes Passwort verwenden, nicht recyclen
  3. Passwörter nie aus der Hand geben
  4. Informationen, die bspw. durch Dritte in sozialen Medien ‚ausgespäht‘ werden können, eignen sich nicht als Passwörter. Bspw. der Name des Ehepartners oder von Kindern, das Geburtsdatum, Name des Haustiers, Hobbies, etc.
  5. Das Passwort sollte nicht in Wörterbüchern vorkommen. Auch nicht in anderssprachigen
  6. Passwörter nie im Klartext speichern. Bspw. in einer Textdatei auf dem Rechner oder dem SmartPhone
  7. Allzu häufiges Ändern von Passwörtern ist tatsächlich ebenfalls nicht ratsam. Meist kommt hierbei die Bequemlichkeit zum Zuge und die Passwörter werden recycled oder für mehrere Konten gleichzeitig verwendet

Passwörter online prüfen

Nachfolgend einige Beispiele von Online-Tools, mit denen Sie Ihr Passwort prüfen können.

Wie sicher ist mein Passwort: https://wiesicheristmeinpasswort.de/  

Kaspersky: https://password.kaspersky.com/de/  

Bayerisches Staatministerium für Digitales: https://www.stmd.bayern.de/service/passwort-check/online-anwendung-passwort-check/  

Troy Hunthttps://haveibeenpwned.com/Passwords  

Interessant ist hierbei, dass die Prüfungen (teils erhebliche) Unterschiede in den Ergebnissen liefern können. Empfehlenswert ist daher die Verwendung eines Passworts, dessen Prüfung von mehreren Online-Tools ein ’sicher‘ ergibt.

#  Passwort  Prüfer  Ergebnis 
1  IS_kek_jL  Wie sicher ist mein Passwort  Jahrhunderte 
2  IS_kek_jL  Kaspersky  4 Monate 
3  IS_kek_jL  Bayerisches Staatministerium für Digitales  3 Jahre 
4  HeinzErhard  Wie sicher ist mein Passwort  3 Stunden 
5  HeinzErhard  Kaspersky  2 Monate 
6  HeinzErhard  Bayerisches Staatministerium für Digitales  < 1 Sec. 
7  MAibh1M4Ru3T!  Wie sicher ist mein Passwort  Jahrhunderte 
8  MAibh1M4Ru3T!  Kaspersky  Jahrhunderte 
9  MAibh1M4Ru3T!  Bayerisches Staatministerium für Digitales  Jahrhunderte 

In Teil 2 dieser Blog-Reihe schauen wir uns Passphrases an. Teil 3 beleuchtet die sogenannten Passwortmanager.

Ihr Stefan Roschetzki, IT-Security Beauftragter und Manager (TÜV)

[1] https://de.wikipedia.org/wiki/Ali_Baba  

[2] https://de.wikipedia.org/wiki/Prohibition_in_den_Vereinigten_Staaten 

[3] Brute Force ist eine Technik, die üblicherweise in der Kryptographie Anwendung findet. Prinzipiell wird hierbei durch das Ausprobieren jedes möglichen Schlüssels eines Schlüsselraumes versucht, den unverschlüsselten Inhalt zu erhalten.