Mit komplexen Passwörtern die Datensicherheit verbessern

Die Datensicherheit wird oft durch zu einfache Passwörter verletzt. So erstellen Sie komplexe, aber einfach zu merkende Passwörter.

Seit mehr als 40 Jahren steht die IT-Branche mit Passwörtern auf Kriegsfuß und ein Sieg ist nicht in Sicht. Die regelmäßig auftretenden Sicherheitslecks selbst großer Unternehmen zeigen dies sehr deutlich. Nur zu oft sind dabei zu einfach zu knackende Passwörter die Ursache  – aber wie kann es eigentlich sein, dass etwas so scheinbar einfaches wie das Erstellen komplexer Passwörter so schwierig ist?

Das Problem mit der Passwortsicherheit ist: Es ist so einfach, dass es paradoxerweise schon wieder schwierig wird. In der Welt der IT-Sicherheit ist die Selbstüberschätzung die größte Gefahr, weil dann nichts mehr hinterfragt wird. Wenn Sie einen typischen Security-Verantwortlichen fragen, ob er sich mit Passwörtern auskennt, wir dieser sicherlich mit einem souveränen und ausdrücklichen Ja antworten. Wenn das aber der Realität entspräche – warum gibt es dann so viele Datensicherheitsverletzungen, die durch zu einfache Passwörter ausgelöst werden?

Wir sprechen hierbei übrigens nicht von technischen Problemen, die abgespeicherten Passwörter zu schützen. Es geht vielmehr um die menschliche Komponente in dieser Gleichung. Menschen tendieren noch immer dazu, zu einfache Passwörter zu wählen. 

Seit Jahren gehört „123456“ zu den am häufigsten gewählten Passwörtern. Auch gerne genommen sind „password“ oder „12345678“.  Natürlich findet man auch jedes Jahr in dieser unrühmlichen Liste der am häufigsten verwendeten Passwörter „iloveyou“, „letmein“, „abc123“ und „princess“ wieder. Sie finden die aktuelle Liste für das Jahr 2014 bei SplashData.

Warum machen sich Anwender aber so wenige Gedanken über Ihre Passwörter? Zum Teil passiert das, weil viele Menschen glauben, dass es niemand auf Ihr Konto abgesehen hat. Es ist die bekannte Mentalität des „das passiert mir nicht“. Allerdings wird unsere Botschaft in Richtung Anwender oftmals nicht richtig verstanden oder falsch vermittelt.

Einer der größten Fehler der IT-Security-Branche ist es, Anwender zu Erstellung extrem komplexer Passwörter zu zwingen, ohne gleichzeitig darauf hinzuweisen, wie auch ein komplexes Passwort einfach zu merken sein kann. Machen wir es den Anwendern zu schwer, sich ein Passwort zu merken, ist „123456“ das Resultat. 

Für den seltenen Fall, dass ein Anwender ein komplexes Passwort erstellt, ist es oftmals zu kurz und wird außerdem über mehrere Seiten und Anwendungen hinweg verwendet. Meist auch gleichzeitig für die private und berufliche Nutzung, warum sollte man auch gleich zwei komplexe Passwörter erstellen und nutzen. Im Umkehrschluss geraten so durch nur eine kompromittierte Seite aber sowohl berufliche als auch private Daten in Gefahr.

Komplexe Passwörter entschlüsselt

Der Ausdruck „komplexes Passwort“ ist möglicherweise einer der missverständlichsten Ausdrücke in der IT-Branche und ein Hauptgrund für die Passwortprobleme unserer Zeit. Viel zu oft assoziiert man „komplexes Passwort“ mit „unmöglich zu merken“. Wir müssen aber verstehen, dass Komplexität nur ein kleiner Teil des Problems ist. Es geht nicht nur um Komplexität, sondern auch um Unvorhersehbarkeit. Die Passwort-Entropie ist hierbei ein hilfreiches Maß, um die Vorhersehbarkeit eines Passworts zu bestimmen. Genau hier liegt der Schlüssel zu einem guten Passwort.

Ein Passwort, das nicht vorhersehbar ist, muss nicht per se schwer zu merken sein. Verwendet man eine Kombination aus Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen kann das schon die halbe Miete sein. Man sollte sich allerdings nicht ausschließlich auf diese Regeln fokussieren. 

Nehmen Sie zum Beispiel die Zeichenkette „IchbinimletztenMonat2Malfischengegangen?“. Das Passwort lässt sich einfach merken, es ist nicht vorhersehbar und es ist ein komplexes Passwort, da es Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthält.

Jeder kurze Satz, an den sich der Anwender einfach erinnern kann, funktioniert. Nehmen Sie den Ausdruck und hauchen Sie diesem etwas Komplexität ein. Plötzlich haben Sie ein extrem starkes Passwort. Dieses dürften Sie wohl eher kaum in den Wörterbüchern böswilliger Hacker finden und es lässt sich lediglich mit so genanntem Brute Force knacken. 

Wollen Sie unser Beispiel „IchbinimletztenMonat2Malfischengegangen?“ mittels Brute Force knacken, würde das laut dem Brute-Force-Rechner von Gibson Research Corporation mehrere Milliarden Jahrhunderte dauern, selbst wenn man 100 Milliarden Mal pro Sekunde rät. Ich würde sagen, das ist ein starkes Passwort.

Anwender können einige dieser Phrasen verwenden und eine kleine Formel entwickeln, mit denen sie sich sinnvoll modifizieren lassen. Ein Facebook-Passwort könnte zum Beispiel FB und das Abschlussjahr des Nutzers enthalten. Somit würde das Passwort so aussehen: „FB89IchbinimletztenMonat2Malfischengegangen?“ und so weiter. 

Ich würde allerdings zu einer etwas komplexeren Formel raten und keine so simple nehmen. Aber das Konzept ist damit klar. Wendet man diese Methode an, kann ein Nutzer ein einfach zu merkendes, einfach zu tippendes Passwort erstellen, dass zudem für jede Seite oder Applikation unterschiedlich ist. Ist das ein perfekter Umgang mit Passwörtern? Natürlich nicht. Allerdings schlägt es das Passwort „123456“, das man dazu auf 30 verschiedenen Seiten anwendet, um Längen.

Ein weiterer Trick besteht darin, einen einzigartigen Anwendernamen zu erstellen, sofern das möglich ist. Viele Seiten möchten die E-Mail-Adresse eines Anwenders als Nutzernamen haben. Einige Finanzinstitute erlauben es aber, dass man eigene Anwendernamen erstellt. 

Setzt der Anwender auf jeder Seite seine E-Mail-Adresse als Username ein und womöglich noch das gleiche Passwort, kann das böse enden. Sobald eine Seite kompromittiert ist, kann man die anderen Seiten doch recht einfach herausfinden und ebenfalls knacken. Für spezielle, vor allem sensible Seiten einen einzigartigen Anwendernamen einzusetzen ist also keine schlechte Idee. Das gilt natürlich auch für die Verwendung unterschiedlicher Passwörter auf diesen wichtigen Seiten.

Als Security-Community ist es unsere Pflicht, die Botschaft über sichere Passwörter angemessen an Anwender zu kommunizieren. Nutzer müssen verstehen, warum „123456“ keine gute Wahl für ein Passwort ist. Das gilt aber auch für Passwörter, die zwar komplex sind, die sich aber niemand merken kann. Wollen wir erfolgreich sein, müssen wir selbst ein besseres Verständnis für unvorhersehbare Passwörter entwickeln. Nur dann können wir diesen Umstand hoffentlich an unsere Anwender weitergeben.

Über den Autor:
Keith Palmgren ist ein zertifizierter SANS-Lehrer, der seine eigene Consulting-Firma NetIP Inc. betreibt. Keith bringt 30 Jahre Erfahrung in der IT-Security mit sich. Er ist mit nachfolgenden Zertifikaten ausgezeichnet: CISSP, GSEC, GSLC, GCIH, GCED, GISF, CEH, Security+, Network+, A+ und CTT+.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Februar 2015 aktualisiert

Erfahren Sie mehr über Identitätsdiebstahl und Datensicherheitsverletzungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close