So wählt ihr sichere Passwörter für eure Accounts
Selbst sichere Passwörter können geknackt werden – alles eine Frage der Zeit
In einer Zeit, in der Computer immer leistungsfähiger werden, ist das Knacken eines Passworts wortwörtlich nur eine Frage der Zeit. Hacker-Tools werben damit, dass sie acht Millionen Durchläufe pro Sekunde und Passwort schaffen. Das heißt aber auch, dass solche Programme auf mehreren Computern gleichzeitig laufen könnten – und das über mehrere Tage oder sogar Wochen hinweg.
Um den Zeitfaktor noch weiter zu verkürzen, ist es für Angreifer wichtig, nicht einfach nur jede Zeichenkombination auszuprobieren. Daher werden die meistgenutzten Passwörter zuerst ausprobiert. Schließlich ist es sinnlos, ein Passwort mit acht Zeichen zu cracken, indem alle 200 Milliarden Möglichkeiten ausprobiert werden.
Auch werden die „Dictionaries“ für Crack-Software immer besser, indem sie zuerst oft genutzte Passwörter überprüfen und danach dieselben noch mal mit üblichen Ergänzungen oder Endungen – und das in verschiedenen Sprachen. Zudem sind derzeitige Crack-Programme auch in der Lage, verschiedene Wörter beziehungsweise Passwörter zu neuen Wortkonstrukten zusammenzufügen oder gewisse Zeichen wie „1“, „a“ oder „s“ durch „l“, „@“ oder „$“ zu ersetzen.
Sichere Passwörter: XKCD-Methode nicht mehr ausreichend
Aus diesem Grund ist es nicht mehr ratsam, die XKCD-Methode einzusetzen, um ein „sicheres“ Passwort zu erzeugen. Daher gilt: Jedes Passwort, das leicht zu merken ist, kann auch relativ leicht geknackt werden. Einen interessanten Ansatz, diesem Problem Herr zu werden, bietet Bruce Schneier, der schon 2008 sein „Schneier Scheme“ für sichere Passwörter vorgestellt hat.
Dabei merkt man sich einen ganzen Satz, benutzt aber nur die ersten Buchstaben und ersetzt einige davon durch Sonderzeichen und Zahlen. Somit wird aus: „When I was seven, my sister threw my stuffed rabbit in the toilet.“ das relativ leicht zu merkende aber schwerer zu knackende Passwort „WIw7,mstmsritt“.
Schneier weist in einem aktuellen Artikel für BoingBoing aber auch ausdrücklich drauf hin, dass ein Passwort alleine nicht ausreicht. Es müssten auch weitere Hinweise beachtet werden:
- Verwendet niemals ein Passwort auf mehreren Websites.
- Erneuert beziehungsweise ändert eure Passwörter regelmäßig.
- Nutzt einen Passwortmanager.
- Wenn eine Website eine Zwei-Faktor-Authentifizierung anbietet, nutzt sie.
Und welches Passwort verwendet ihr?
Seit Jahren stellt sich allerdings auch schon die Frage: Warum sollte „WIw7,mstmsritt“ sicherer sein als „When I was seven, my sister threw my stuffed rabbit in the toilet.“ ?
Warum verlinkt ihr nicht direkt auf die XKCD-Methode https://www.xkcd.com/936/ anstatt dass man diesen in den verlinkten Seiten suchen muss…
Ist es ja auch nicht. Möglicherweise gibt es immernoch Dienste, die die Passwortlänge beschränken oder viele haben sich an Daumenregeln wie +8 Zeichen gewöhnt, dass +20 Zeichen absurd scheinen.
Immer häufiger findet man den sinnvollen Hinweis statt nur PassWÖRTERN doch PassSÄTZE zu nutzen. Z.B. von Alexander Lehman & co schön dargestellt: https://vimeo.com/138839266
Ich verwende seit jeher „12345“. ;-)
Gestehen wir uns ein, dass es blöd ist, in einer Welt zu leben, in der „Passwörter“ nötig sind! Weil die (berechtigte) Angst existiert, dass andere die Gelegenheit beim Schopfe packen, uns zu schaden. Ist das die menschliche Natur oder „anerzogen“? Meine Vision: Wir kommen in ferner Zukunft darüber hinweg.
Ich hashe mein Passwort, welches nach einem einfachen Schema für alle Websites einzigartige Passwörter erzeugt.
Es gibt viele Websites, die speichern Passwörter direkt ab ohne Hashing bei der Übertragung.
So bin ich auf der sicheren Seite und ein MD5-Generator ist überall zur Hand.