Tobias Scheible Cyber Security & IT-Forensik Dozent
HowTo sichere Passwörter

Sichere Passwörter

Habt ihr euch schon einmal mit der Frage auseinander gesetzt, wie sicher eigentlich ein zehnstelliges Passwort aus Groß- und Kleinbuchstaben, Umlauten, Ziffern und Sonderzeichen ist? Die Frage müsste eigentlich lauten: Wie viel Zeit oder Geld würde ein Angreifer für das Knacken meines Passwortes aufwenden?

Dienstag, 22. April 2014
2 Kommentare
Cyber Security
Workshop, Passwort, knacken

Die Rechnung ist eigentlich ganz simpel:

Für das Passwort werden 52 Groß und Kleinbuchstaben, 6 Umlaute, 1 ß, 10 Ziffern und 30 Sonderzeichen (°!“§$%&/(){}[]=?+*~#‘<>|,;.:-_), also 99 mögliche Zeichen verwendet. Bei einem zehnstelligen Passwort ergeben sich daraus 90.438.207.500.880.449.001 Kombinationen (ZeichenraumgrößePasswortlänge). Das klingt nach viel, die Zahl schrumpft aber im Angesicht von 348 Milliarden Schlüsseln, die pro Sekunde berechnet werden können, auf eine sehr beschauliche Zahl:

99^10/348.000.000.000/60/60/24/365 = ca. 8 Jahre

Der Blogeintrag mit diesen Daten ist vom Dezember 2012, also sollten die Herren in spätestens 7 Jahren mein potenziell sicheres Passwort geknackt haben. Alternativ könnte man auch mit einem größeren Budget noch mehr Passwörter in kürzerer Zeit berechnen.

Passwörter werden in der Regel nicht als Klartext abgespeichert, da dies technisch nicht notwendig ist und somit das Passwort zu keiner Zeit eingesehen werden kann. Stattdessen wird ein Hash-Wert eines Passworts, also das Ergebnis einer kryptografischen Berechnung gespeichert. Hier können unterschiedliche Algorithmen zum Einsatz kommen, zum Beispiel das NTLM-Protokoll, das noch heute von Windows eingesetzt wird. Die obige Berechnung hat sich zum Beispiel auf diesen Algorithmus bezogen.

Die Komplexität des Algorithmuses hat starken Einfluss auf die Sicherheit eines Passworts, da der Passwort-Cracker den gleichen Algorithmus verwendet und das Ergebnis seiner Berechnung mit dem vorliegenden Passwort-Hash vergleicht. Zu Windows XP-Zeiten wurden die Passwörter mit dem Vorgängerprotokoll LM geschützt. Da dieser Algorithmus relativ einfach implementiert ist, könnte die vorgestellte Hardware ein 14 Zeichen langes XP-Passwort in knapp sechs Minuten knacken.

Und plötzlich erscheint uns der Hinweis von Truecrypt, eine bekannte Software zum sicheren Verschlüsseln von Dateien und ganzen Festplatten, gar nicht mehr so absurd:

“We strongly recommend choosing a password consisting of more than 20 characters (the longer, the better). Short passwords are easy to crack using brute-force techniques.”

Aber wie soll man sich ein 20-stelliges Passwort den merken? Eine gute Möglichkeit ist die Verwendung einer Eselbrücke. Man überlegt sich einen einprägsamen Satz, der aus möglichst vielen Wörtern besteht. Nun nimmt man jeweils den ersten Buchstaben der Wörter und ersetzt schließlich vereinzelt Buchstaben durch Umlaute, Ziffern und Sonderzeichen. Konkret könnte das wie folgt aussehen:

  • Bei dem Satz lautet die Devise, je kreativer der Satz, desto leichter tut mach sich, beim Lernen:

    Meine Mutter kommt aus Bayern und vermisst das Weißwurstfrühstück vor 12 Uhr

  • Wenn wir nun noch ein paar Silben trennen kommen wir in diesem Beispiel auf 16 Zeichen, fehlen also noch 4. Zeit für ein paar wahllos verstreute Umlaute und Sonderzeichen:

    MMükaB&vmÄdWwöfv1_2U

    Das klingt jetzt ungefähr so (einmal in Gedanken bewusst so lesen):

    Meine Mütter kommt aus Bayern und vermisstÄ das Weißwörschtfrühstück vor 12 Uhr.

  • Da noch immer die Anzahl der Buchstaben stark überwiegt, fügen wir weitere Zahlen und Sonderzeichen ein. Hier sollte man sich eine weitere Eselbrücken bauen, wie zum Beispiel ein 3 sieht aus wie ein gedrehtes M, ein k ist eine geschweifte Klammer, usw.

    M3ü{aB&vmÄdW#öfv1_2U

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Malte Bublitz am 27. April 2014 um 21:29 Uhr

Warum nur die Anfangbuchstaben des Satzes nehmen? Solange keine maximale Passwortlänge vorgegeben ist (ich kenne dies nur von Microsofts Live–Diensten, wo maximal 16 Zeichen möglich sind), sorgt dies insbesondere bei Verwendung von kryptischen Bestandteilen (Exotische Namen, absichtliche seltene Tippfehler etc.) für deutlich stärkere Passwörter.

Folgender Comic bei xkcd stellt dies auch grafisch dar:
https://xkcd.com/936/

Eine Analyse des Comics bzgl. seiner kryptographischen Korrektheit:
https://xato.net/passwords/analyzing-the-xkcd-comic/

Tobias Scheible am 2. Mai 2014 um 16:22 Uhr

Auf jeden Fall sind grundsätzlich immer möglichst lange Passwörter zu wählen. Allerdings muss aufgepasst werden, dass nicht zu einfach und gebräuchliche Wörter, ohne Abwandlung, verwendet werden, ansonsten besteht die Gefahr das Wörterbuch-Angriffe zum Erfolg führen. Ebenso muss der Benutzer sich auch im Klaren sein, dass die Wörter keinen Rückschluss auf seine eigene Person zulassen, ansonsten ist er anfällig für Social Engingeering. Das muss den Benutzer bei der Wahl des Passwortes mit mehreren Wörtern klar sein.

Der Comic bezieht sich auf ein bekanntes Wort, das durch bekannte Ersetzungsmethoden verändert wird. Dabei ist die Entropie natürlich deutlich geringer, da das Wort bekannt ist. Beim Beispiel hier im Blog wird durch die Verwendung von Anfangsbuchstaben eine neue und noch nie verwendete Grundlage geschaffen. Wodurch die Entropie deutlich höher ist.

Am sichersten ist wie immer eine Kombination aus alle Methoden. Mehrere Wörter aneinander, am besten so in einem Dialekt geschrieben damit sie nirgendswo auftauchen, und dann mit ein paar Zahlen und Sonderzeichen angereichert. Und dort wo nur kürzere Passwörter erlaubt sind oder praktikabler sind, kann mit der obigen Methode ein geheimes Passwort geschaffen werden.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.