Jeder, der sich im digitalen Raum bewegt, musste wohl bereits ein Passwort setzen. Passwörter bilden eine wichtige Verteidigungslinie gegen unbefugten Zugriff auf schützenswerte Daten. Trotz ihrer wichtigen Rolle wird ihnen oft zu wenig Aufmerksamkeit geschenkt, was zu einer Unterschätzung und falschen Nutzung führen kann. Dadurch öffnet man eine schwerwiegende Sicherheitslücke und riskiert, dass die schützenswerten Daten eingesehen, kopiert, verändert oder gelöscht werden können.
Die meisten haben wahrscheinlich bereits gelernt, dass sich bestimmte Regeln bezüglich Passwörtern etabliert haben. Häufig wird man sogar bei der Wahl eines Passwortes gezwungen, einige dieser Standards zu erfüllen. In diesem Artikel möchten wir diese Best Practices nicht einmal mehr trocken auflisten, sondern wir erklären Ihnen, weshalb diese Regeln Sinn machen. Wenn Sie nämlich wissen, wie Angreifer vorgehen, um Ihr Passwort zu knacken, verstehen Sie viel besser, was Sie tun können, um sich davor schützen können.
Hier eine Übersicht der Passwort-Regeln, die man bestmöglich einhalten sollte.
Das Passwort sollte:
- bestenfalls 12 Zeichen lang sein. Je länger desto besser
- aus einer Kombination von Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
- keine gängigen Wörter (Sommer, geheim, Laura) beinhalten
- keine gängigen Zahlenfolgen (2023, 3456) verwenden
- keine naheliegenden Wörter aus Unternehmen, Hobby, Umfeld, Familie beinhalten
- nie für mehrere verschiedene Anwendungen verwendet werden
Erklärung 1
- bestenfalls 12 Zeichen lang sein. Je länger desto besser
- aus einer Kombination von Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
Ein längeres Passwort erhöht die Sicherheit, indem es die Zeit erhöht, die benötigt wird, um es zu knacken. Das möchten wir nun veranschaulichen.
Nehmen wir an ein Passwort besteht nur aus Kleinbuchstaben und ist vierstellig. Weil wir wissen, dass das Alphabet 26 Buchstaben hat, lässt sich die Anzahl der Kombinationsmöglichkeiten berechnen. Wir beginnen mit der ersetn Kombinationsmöglichkeit «aaaa», dann «aaab», «aaac» bis wir nach 26 Kombinationen bei «aaaz» angelangen. Dann wechseln wir die zweitletzte Stelle auf «b» und spielen erneut die 26 Kombinationsmöglichkeiten durch: «aaba», «aabb», «aabc» usw. Dies können wir 26 Mal tun bis wir bei «aazz» angelangen. Dann wechseln wir die zweite Stelle auf «b» und spielen erneut alle bisherigen Kombinationen durch. Dasselbe wiederholt sich dann für die erste Stelle und mal erkennt, dass insgesamt 26 x 26 x 26 x 26 = 456'976 unterschiedliche Kombinationen möglich sind. Diese Anzahl an Kombinationen ist für moderne Rechner keine Herausforderung und kann in Sekundenschnelle durchgespielt werden, somit kann auch ein entsprechendes Passwort in Sekundenschnelle erraten werden.
Wenn wir die Passwortlänge nun auf 6 Stellen erhöhen, erhalten wir eine viel grössere Anzahl an Kombinationsmöglichkeiten, nämlich 26 x 26 x 26 x 26 x 26 x 26 = 308'915'776. Mit jeder Stelle erhöhen wir diese Zahl um den Faktor 26 und ein Rechner braucht 26 Mal mehr Zeit, um die Kombinationsmöglichkeiten durchzuspielen. Wenn wir die Stellen genug erhöhen, brauchen Rechner irgendwann hunderte von Jahren, um das Passwort erraten zu können und kann aus dieser Sicht als sicher betrachtet werden.
Exponentieller Anstieg:
X-Achse: Anzahl Stellen des Passwortes
Y-Achse: Anzahl Kombinationsmöglichkeiten
Um diesen Prozess des sogenannten exponentiellen Wachstums zu unterstützen können wir die Komplexität des Passwortes erhöhen. Das heisst statt nur Kleinbuchstaben auch Grossbuchstaben, Zahlen und Sonderzeichen verwenden. Eine einzelne Stelle hat somit nicht mehr nur 26 mögliche Zeichen, sondern 95 (druckbare ASCII Zeichen). Jede hinzugefügte Stelle beim Passwort erhöht die Anzahl der Kombinationsmöglichkeiten also um den Faktor 95.
Aus diesem Gund ist es wichtig, dass ein Passwort lang und komplex gewählt wird.
Darstellung der Zeit, die ein Computer benötigt, um ein
Kennwort mit unterschiedlichen Parametern zu knacken
Erklärung 2
- keine gängigen Wörter (Sommer, geheim, Laura) beinhalten
- keine gängigen Zahlenfolgen (2023, 3456) verwenden
Stellen Sie sich vor, sie hätten eine Liste mit allen Passwörtern, die durch Datenlecks der vergangenen Jahre an die Öffentlichkeit gelangten. Denken Sie, dass Sie viele Passwörter von Leuten erraten könnten, wenn Sie auf deren Login-Maske alle Passwörter dieser Liste ausprobieren würden?
Diese Passwortliste aus Datenlecks existiert tatsächlich und nennt sich rockyou.txt. Jeder Hobby-Hacker kennt diese Liste und es existieren auch unzählige Variationen davon, zum Beispiel eine Passwortliste mit allen deutschen Passwörtern, die im Jahr 2024 in Datenlecks erschienen sind. Hacker nutzen diese Listen ebenfalls, um Passwörter auszuprobieren. Sie tun dies jedoch automatisiert und sehr schnell und man spricht dann von sogenanntem Brute-Forcing oder auch Dictionary-Attack.
Passwörter wie «pa$$wort», «qwerty», «iloveyou», «geheim» oder «maria» sind aus diesem Grund ungeeignet und können sehr schnell erraten werden.
Wir wissen nun, weshalb gängige Wörter und Zahlenfolgen in Passwörtern vermieden werden sollten.
Ausschnitt der Passwortliste rockyou.txt
Erklärung 3
- keine naheliegenden Wörter aus Unternehmen, Hobby, Umfeld, Familie beinhalten
Viele Menschen gestalten ihre Passwörter mit Wörtern und Zahlen aus ihrem Umfeld. Das könnte das Modell und die Marke ihres Autos sein, die Namen der Kinder, den Jahrgang des Ehepartners oder weitere Wörter wie Schach, Tennis oder FCBarcelona.
Wenn jemand einen Audi S3 fährt und seine Frau den Jahrgang 1983 hat, könnte sein Passwort beispielsweise folgendermassen aussehen: «1983s3audi». Obwohl ein solches Passwort nicht in einer öffentlichen Liste der häufigsten Passwörter auftaucht, wäre es für einen Angreifer dennoch leicht zu knacken. Der Angreifer würde im ersten Schritt eine ausführliche Recherche über die Zielperson machen (OSINT). Je nachdem, wie aktiv die Zielperson im Internet Daten hinterlässt, findet man die Wohnadresse, Familienmitglieder, Arbeit, Interessen und viele mehr. Im zweiten Schritt erstellt der Angreifer eine personalisierte Passwortliste mit allen Begriffen und Zahlen aus der Recherche sowie weitere Wörter aus entsprechenden Themengebieten. Im dritten Schritt würde der Angreifer diese Passwortliste mit verschiedenen Tools weiterbearbeiten, um zahlreiche Kombinationen der Begriffe und Zahlen zu erhalten. In der folgenden Tabelle ist ein Beispiel zu sehen, wie aus dem Namen «Elliot Alderson» mit Tools automatisiert Variationen, Kombinationen und naheliegende Veränderungen erstellt werden können.
Mögliche Variationen der Wörter «Elliot» und «Alderson»
Bei Unternehmen sind es häufig die WLAN-Passwörter, die leicht zu erraten sind. «Cewl» ist ein simples Programm, das eine Webseite der Wahl nach Wörtern und Zahlen durchkämmt und in einer Liste abspeichert. Wenn das Passwort eines Unternehmens «Cyberphant» aus dessen Namen oder Teile davon mit dem Gründungsjahr und einem Ausrufezeichen besteht (z.B. Cyber2024!), ist es entsprechend schnell geknackt.
Dies veranschaulicht, weshalb Passwörter bestehend aus Elementen aus Unternehmen, Hobby, Umfeld und Familie zu vermeiden sind.
Erklärung 4
- nie für mehrere verschiedene Anwendungen verwendet werden
Im digitalen Zeitalter, wo für jede Software und viele Webseiten ein Benutzerprofil verlangen, akkumulieren sich eine Menge von Login-Daten (Benutzername und Passwort). Es ist verständlich, weshalb viele Menschen dazu tendieren, anwendungsübergreifend das gleiche Passwort zu verwenden oder die Passwörter nur minimal voneinander unterscheiden. Der folgende Abschnitt erklärt, warum dies unbedingt zu vermeiden ist.
Schlechtes Beispiel: Passwörter für unterschiedliche
Logins werden nur leicht abgeändert
In der Hackerszene werden täglich neue Datenlecks publiziert. Das heisst, dass täglich neue Datenbanken mit sensiblen Daten an die Öffentlichkeit gelangen, und unter diesen Daten befinden sich häufig Login-Daten inklusive Passwörter. Das Schadensausmass, wenn das Passwort vom Katzenblog24.de geleakt wird, hält sich in Grenzen. Wenn dort jedoch das Gleiche Passwort verwendet wird, wie für wichtigere Logins, oder diese sich leicht ableiten lasse, ist das problematisch. Hacker versuchen mit den Daten, die sie in Datenlecks erhalten, noch mehr Daten abzugreifen. Ein Angreifer könnte beispielsweise Zugriff auf das LinkedIn-Profil erhalten und sich dann als diese Person ausgeben, um Menschen in deren Umfeld zu täuschen. Die Möglichkeiten für Angreifer sind unzählig. Das Risiko, Opfer eines solchen Angriffes zu werden, kann jedoch stark reduziert werden, wenn man eben nicht das gleiche oder ähnlich Passwörter für verschiedene Anwendungen verwendet.
Praxis-Tipps
- Prüfen Sie auf der folgenden Webseite, ob Ihre E-Mail-Adresse eventuell mit entsprechendem Passwort in einem Datenleck gefunden wurde: https://haveibeenpwned.com
- Überprüfen Sie die Sicherheit Ihrer Passwörter auf dieser Webseite: www.passwortcheck.ch
- Lassen Sie sich ein Passwort hier generieren: www.bitwarden.com/de-de/password-generator