Sicherheitslücke Passwort
Tipps für sichere Passwörter

SicherheitSicherheitsmanagement

Ein unknackbares Passwort zu finden ist gar nicht so schwierig. Wer ein paar Grundregeln beachtet, ist sicher vor Passwort-Crackern und Phishing-Angriffen.

Sicherheitskriterien für Passwörter

Sicherheitslücke Passwort

Schwache Passwörter sind entweder zu kurz oder leicht zu erraten. Trotzdem wählen sie die meisten Nutzer in der Praxis PC Professionell hat in der letzten Untersuchung rund 95 Prozent untauglicher Passwörter ermittelt. Dabei ist es nicht schwer, starke Passwörter zu finden. Man muss nur einige Sicherheitskriterien beachten, die auf den ersten Blick selbstverständlich erscheinen, in der Praxis aber oft nicht beachtet werden.

Verraten Sie niemals Ihr Passwort und teilen Sie sich keinen Benutzer-Account mit jemand anderem. Außerdem sollte ein Kennwort lang genug sein, so dass es nicht in Sekunden von Knack-Programmen wie John the Ripper ermittelt werden kann. Ausreichend sind mindestens acht Zeichen. Damit diese Anforderungen dem Praxistest standhalten, sollten Sie sich leicht an das Passwort erinnern und es einfach und ohne Fehler eintippen können.


Sichere Passwörter finden

Sicherheitslücke Passwort

Zweifellos ist »kR_3Uih7§pX9%@e« ein starkes Passwort. Es ist lang genug, enthält Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Außerdem ist es nach einem Zufallsprinzip erzeugt worden und ergibt keinen Sinn. Erraten ist unmöglich, und ein Passwort-Knacker wird sich zu Tode rechnen; im Testlabor versucht sich das Knack-Tool John schon einige Tage vergeblich daran. Der Haken dabei: Nur Gedächtnisweltmeister können sich das Passwort merken.

Einfache Passwörter absichern

Ein guter Trick ist, einen bekannten Begriff so weit abzuändern, dass er nicht mehr durch Social Engineering oder schlichtes Erraten herausgefunden werden kann. Ein Beispiel: Im letzten Kuba-Urlaub haben Sie vor allem Havanna Club Rum getrunken. Daraus ergibt sich zunächst einmal das schwache Passwort »HavannaClubRum«.Sie müssen also noch ein paar Extras einbauen um es abzusichern. Ihr Urlaubstrunk hatte 40 Prozent Alkoholanteil, also wird das Passwort zu »HavannaClubRum40%« erweitert. Jetzt ersetzen Sie noch die Vokale durch zusätzliche Sonderzeichen, etwa a durch @ und u durch _; daraus entsteht dann »H@v@nn@Cl_bR_m40%«, ein schon recht sicheres Passwort. Doch Vorsicht:

Einige Passwort-Knacker führen solche Standardersetzungen auch durch. Alternativ ersetzen Sie nur immer den ersten Buchstaben oder Sie ersetzen nur, wenn es eine gerade Anzahl von Buchstaben ist. Je unkonventioneller die Methode, desto wirksamer der Schutz.


Heim-PC kann Brute-Force-Attacke ausführen

Sicherheitslücke Passwort

Ein Passwort darf deswegen nicht zu kurz sein, weil schon ein normaler Heim-PC sehr leistungsfähig ist und eine Brute-Force-Attacke ausführen kann. Angenommen, ein Passwort besteht aus fünf Kleinbuchstaben. Es gibt 26 Buchstaben im Alphabet, so dass es für jeden Buchstaben 26 Möglichkeiten gibt. Das sind dann 26 x 26 x 26 x 26 x 26 = 11881376 mögliche Kombinationen. Fast zwölf Millionen mögliche Passwörter hört sich nach sehr vielen Kombinationen an.

Auf der Webseite www.orange.co.jp/~masaki/rc572/
fratee.php finden Sie eine Liste von typischen Rechnern mit der Anzahl von Schlüsseln, die sie pro Sekunde generieren können – 10 000 pro Sekunde sind ein realistischer Wert, den ein aktueller Heim-PC heute erbringt, Leistungstendenz mit Multicore-PCs stark ansteigend.

Zwölf Millionen Passwörter testen

Der Rechner braucht im schlimmsten Fall also nur 20 Minuten, um das obige Passwort zu knacken. Bei einem Wort mit acht Buchstaben erhöht sich der Wert auf 241 Tage. Durch die Verwendung von Groß- und Kleinbuchstaben wird jede Stelle durch 52 mögliche Buchstaben belegt. Obige Berechnung mit 10000 Schlüsseln pro Sekunde liefert bei einem achtstelligen Passwort eine Brute-Force-Knackdauer von etwa 170 Jahren.


Passwörter oder Passphrasen?

Sicherheitslücke Passwort

Eine Alternative zum klassischen Passwort sind Passphrasen. Dabei werden einfach mehrere Wörter aneinander gehängt. Der Vorteil ist, dass Passphrasen länger sind als normale Passwörter und so auch schwerer zu knacken.

So können Sie etwa einen Satz als Eselbrücke für ein Passwort verwenden: »DWuWwsdJ2005« steht etwa für Der Weltraum unendliche Weiten wir schreiben das Jahr 2005. Doch Vorsicht, ausgefeilte Wortlisten haben bereits solche Passphrasen in Ihrem Repertoire. Vor allem Sprichwörter und geflügelte Worte sind besonders gefährdet. »LmdMmDs« alias »Luke möge die Macht mit Dir sein« ist also eher unsicher.


Knackprogramme überlisten

Sicherheitslücke Passwort

Solche Wortlisten kann man austricksen, wenn man eine Passphrase aus einem Buch übernimmt. Schlagen Sie wahllos eine Seite auf und nehmen Sie die ersten Buchstaben von jedem Wort in einem beliebigen Satz. Aus einem Computerbuch stammt der Satz »Seit einiger Zeit werden ADSL-Router immer populärer (und billiger)«. Daraus entsteht »SeZwAip(ub)«. Auf der Seite sind die Abbildungen 24.11 und 24.12 zu sehen, die mit in das Passwort eingebaut werden können, daraus wird »SeZ24.11wAip12(ub)«.

Wenn Ihnen das alles zu mühsam ist, können Sie die Passwörter auch automatisch von einem Programm erzeugen lassen. Unter www.security-gui.de/pwdgen.php oder www.anonym-surfen.com/service/330-pass wort-generator finden Sie Online-Generatoren für Passwörter. So brauchen Sie nicht einmal eine Software zu installieren. Wichtig: Stellen Sie als Mindestlänge acht Zeichen ein und lassen Sie neben Klein- und Großbuchstaben auch Zahlen und Sonderzeichen einbauen. Bei einem Testlauf von PCpro werden etwa »Kzk%4?Pd«, »id0wJ9VS«, »!?PXy2{K« und »lW1/k$Ij« erzeugt alles solide Passwörter, wenn auch schwer zu merken; jedoch absolut zufällig generiert.


Passwort-Generatoren für Windows

Sicherheitslücke Passwort

Programme, die Passwörter zufällig erzeugen, sind etwa PWGen oder die Freeware Passwort Safe des renommierten Kryptografie-Spezialisten Bruce Schneier. Passwort Safe verwahrt auch gleichzeitig Kennwörter für Sie. Nach dem ersten Start müssen Sie eine neue Datenbank erstellen. Das geht über Create new database. Für diese Datenbank vergeben Sie ein Master-Passwort, das Programm nennt es Safe Combination. Das Programm verschlüsselt die eingegebenen Passwörter mit dem Blowfish-Algorithmus (bis zu 448 Bit).

Den Open-Source-Safe Keepass, der ebenfalls Passwörter verwaltet, gibt es nicht nur für Windows, sondern auch für Pocket PC. Es ist ratsam, den Passwort-Safe nicht auf dem Arbeitsplatz-Rechner zu speichern, sondern zum Beispiel auf einem PDA. Gute Freeware-Programme gibt es auch für Palm (gnukeyring.sourceforge.net) und Java-fähige Handys (freesafe.sourceforge.net).


Passwörter prüfen

Sicherheitslücke Passwort

Wer prüfen will, ob sein Windows-Passwort gut oder schlecht gewählt ist, findet dazu unter Windows kein passendes Werkzeug. Eine Alternative sind Passwort-Cracker. Doch es geht auch einfacher. Leider nicht mit dem Microsoft Baseline Security Analyzer. Sie können zwar mit dem Gratis-Tool ebenfalls prü
fen, ob das Windows-Login-Passwort sicher gewählt ist. Das Ergebnis enttäuscht jedoch: Der MBSA prüft nur, ob überhaupt ein Kennwort vergeben ist, und checkt ab, dass es nicht mit dem Benutzernamen übereinstimmt. Im Test wertet das Microsoft-Tool das simple Passwort »test« bereits als sicher.

Besser macht es Elcomsoft mit dem Proactive Password Auditor, der aber nur in einer Demoversion kostenlos erhältlich ist. Für bis zu 20 Benutzerkonten kostet das Profi-Tool rund 200 Dollar.

Mit Vorsicht zu genießen sind Online-Checks, etwa unter https://passwortcheck.datenschutz.ch. Zwar ist das Angebot seriös, die Betreiber raten jedoch selbst, keine wirklich eingesetzten Passwörter prüfen zu lassen. Sie können jedoch mit dem Online-Check schnell prüfen, ob Sie ein Gefühl für schwache und starke Passwörter haben.


Sichere Passwörter auswürfeln

Sicherheitslücke Passwort

Eine einfache aber etwas verspielte Methode für sichere Passwörter oder Passphrasen ist Diceware. Sie brauchen dazu einen Würfel (Dice) und eine Wortliste, die es in den Sprachen Deutsch, Englisch, Finnisch, Polnisch, Schwedisch und Spanisch gibt. Würfeln Sie jetzt mit dem Würfel fünf Mal hintereinander und notieren Sie sich die Zahlen. Beispiel: Sie würfeln nacheinander 3, 6, 2, 4, 4. Dann notieren Sie sich die Zahl 36244 und schauen in der Liste das Wort nach, das an dieser Stelle zu finden ist.

Auf der deutschen Wortliste ist das »kuala«. Wiederholen Sie dieses Würfelspiel noch viermal, so dass sie zum Schluss fünf Wörter zufällig ermittelt haben. Reihen Sie die erzeugten Wörter jetzt einfach aneinander, und Sie haben eine Zufallspassphrase erstellt. Sie müssen nicht unbedingt fünf Runden spielen, auch sechs oder sieben Wörter lassen sich zu einer Passphrase bündeln und mit den bereits gezeigten Tricks um Sonderzeichen und Zahlen ergänzen.


Tipps für Administratoren

Sicherheitslücke Passwort

Administratoren und CIOs (Chief Information Officers) sollten Sicherheitsrichtlinien (Policies) für Passwörter in ihrem Unternehmen einführen. Was dabei zu beachten ist, erklärt der Beitrag RFC 2196 unter www.faqs.org/rfcs/rfc2196.html ausführlich.

Mit den Bordmitteln von Windows 2000 Pro, XP Pro und Server 2003 lässt sich schon viel zusätzliche Passwort-Sicherheit erzielen. Unter Start/Ausführen starten Sie den Gruppenrichtlinieneditor mit gpedit.msc. Hangeln Sie sich durch die explorerartige Ansicht über Computerkonfiguration/Sicherheitseinstellungen und dann über Kontorichtlinien zu Kennwortrichtlinien.


Sechs Richtlinien

Sicherheitslücke Passwort

Die nachfolgenden sechs Richtlinien sind bereits vordefiniert. Sie können sie einfach per Klick der rechten Maustaste aktivieren:

Kennwort muss Komplexitätsvoraussetzungen entsprechen: Damit erzwingen Sie, dass im Kennwort kein Teil des Benutzernamens vorkommen darf. Außerdem müssen Zahlen, Buchstaben und Sonderzeichen vorkommen.

Kennwortchronik erzwingen: Dahinter verbirgt sich eine Funktionssperre, die verhindert, dass der Benutzer ein Passwort mehrmals hintereinander verwendet. Erst nach 25 anderen Kennwörtern darf er ein bereits benutztes Passwort oder Teile davon erneut einsetzen.

Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern: Diese Funktion schwächt die Passwort-Sicherheit erheblich und sollte nur in Notfällen aktiviert werden. Die Passwörter sind nicht mit Einwegfunktionen verschlüsselt, sondern mit umkehrbaren Funktionen, was in etwa einer Klartextspeicherung gleichkommt. Ein möglicher Notfall, der die Einstellung rechtfertigt, ist ein Programm, das die Kennwörter für Zugriffe benötigt und an der Chiffrierung scheitert.

Maximales Kennwortalter: Nach der eingestellten Zeit muss der Nutzer das Pass -wort ändern. Hier kann für die Anzahl der Tage höchstens der Wert 999 eingetragen werden, sinnvoll ist 90. Wird der Wert 0 eingestellt, laufen die Passwörter nie ab.

Minimales Kennwortalter: Das minimale Kennwortalter legt fest, wann ein Nutzer frühestens ein neues Kennwort ändern darf. Der Wert 0 erlaubt dem Nutzer jederzeit die Änderung seines Passworts. Der Wert muss unter dem des maximalen Passwortalters liegen, ein guter Wert ist 30.

Minimale Kennwortlänge: Die minimale Passwortlänge liegt zwischen 0 und 14 Zeichen, wobei 0 auch leere Passwörter erlaubt und nur im Ausnahmefall gesetzt werden sollte. Eine gute Voreinstellung ist 8.