Mal wieder: Sichere Passwörter

verfasst von:  Lars  am 19.September 2005

Die Verwendung von sicheren Passwörtern ist immer wieder ein Problem - und die Vermittlung der Problematik an Schüler und Lehrer im Unterricht anscheinend nicht gerade einfach.

Dabei ist derzeit ein Ende des "Passwort-Hypes" kaum abzusehen: zig verschiedene Online-Dienste, der persönliche Rechner, der Schul-Account, die Video-Ausleihkarte, der Online-Banking-Zugang, ...

Alle diese Accounts sollten nach Möglichkeit nicht nur mit verschiedenen Logins sondern natürlich auch mit unterschiedlichen und dabei sicheren Passwörtern ausgestattet sein.

Wie "sicher" die selbst gewählten Passwörter dabei oft sind, kann man aber ganz leicht ausprobieren:

So bieten verschiedene Online-Dienste wie etwa der Schweizer Datenschutz einen Passwort-Check an (Achtung: das eingegebene Passwort erscheint im Klartext!).

Außerdem kann man mit sogenannten "Passwort-Crackern" wie John oder Cain&Abel sämtliche auf dem heimischen System gespeicherten Passwörter auf ihre "Standfestigkeit" überprüfen - und wenn man es nicht selber macht: ein böser Hacker macht das bestimmt gerne!

Aber wie soll man ein nach all den Tests "sicher" gewordenes Passwort aufbewahren? Besonders dann, wenn man es nur selten gebraucht, stellt sich diese Frage immer wieder. ...und wie kann man schnell einigermaßen sichere Passwörter generieren?

Dazu ein paar Tips von Sebastian Mösch:
"Ich empfehle bei Passwörtern je nach Sicherheitsbedarf eine der folgenden Methoden. Diese sind dabei aufsteigend ihrer Sicherheitsanforderungen geordnet. Allen Methoden sei vorausgesetzt, dass die gewählten oder entstandenen Passwörter natürlich einen gewissen Sicherheitscharakter besitzen müssen, dahingehend, dass sie keiner Wörterbuch-Attacke [wie z.B. durch die oben genannten "Passwort-Cracker"] zum Opfer fallen könnten.
  1. Die Tresormethode. Passwörter aufschreiben und in einem sicheren Tresor lagern. Man sollte für jedes Passwort einen eigenen Zettel anlegen und nur jeweils den Zettel aus dem Tresor entnehmen den man benötigt (falls man überhaupt einen entnimmt).
  2. Eine alte Chiffriermethode: Hebräschische Chiffrierung. Man schreibt das Passwort Zeilenweise in eine Matrix und liest sie Spaltenweise wieder aus, das entstandene Chiffre kann man niederschreiben und wie in Verfahren 1 verwahren. Was man sich nun noch zusätzlich merken muss ist die Zeilen- und Spaltenanzahl der gewählten Matrix um das Verfahren wieder rückgängig machen zu können. Ein kurzes Beispiel: Das Passwort ist "h7fJ,!h).:9G" und man wählt eine 4x3-Matrix: h 7 f J , ! h ) . : 9 G Das zu notierende Chiffre wäre also "h,.7!:fh9J)G". Da in diesem Fall der Böse Angreifer Bob nur wenige Permutationen prüfen müsste, falls ihm das Verfahren bekannt ist, ensteht hierbei nur eine gewisse Sicherheit im Sinne von "Security by Obscurity", aber besser als nichts.
  3. Eine weitere altmodische Chiffriermethode: Man wähle lange Passwörter (in dem Fall leider nur textuelle inkl. Satzzeichen handhabbar) und Chiffriere diese Anhand eines bekannten Textes durch ein fortlaufendes numerisches Substitutionsverfahren (Eine erweiterte Caesar-Chiffrierung. Bei Bedarf kann ich das näher erklären, wäre hier aber zu lang).
  4. Die konstruierten Passwörter: Man nehme sich einen Liedtext, ein Gedicht oder einen Buchtext und setze das Passwort aus den Buchstaben des Anfangs von logischen Einheiten (Wörter, Absätze, ...) zusammen: Z.b. Nehme man sich seine Lieblingssongs. Am Beispiel der Refrain von Lotto-King-Karl's "Ich liebe dir" ... I(ch) l(iebe) d(ich) . N(ur) d(ich) , s(o) w(ie) d(er) H(amburger) s(ein) H(olsten) ... => Passwort: Ild.Nd,swdHsH So lange man nicht unbedingt als Vorlage "Herr von Ribbeck" oder einen Evergreen von den Beatles wählt, sollte das Passwort für böswillige (den Freundeskreis mal ausgeschlossen) relativ schwer zu erraten sein. Unb bei einer genügend großen Textbasis lassen sich auch viele Passwörter generieren.
  5. Beliebige Kombinationen aus den obigen einfachen Verfahren.
  6. Verschlüsselte Speicherung von Passwörtern: Man erstelle sich eine Passwortdatenbank. Am besten eine einfache Textdatei mit verschieden langen Passwörtern und verschlüssle diese mit einem geeigneten Block-Verfahren und einer genügend langen Passphrase (>= Blocklänge). Das ganze kann man dann verschlüsselt auf einem USB-Stick an seinem Schlüsselbund ohne Probleme mit sich rumtragen.
    Im Normalfall ist die Gefahr, dass eine Attacke auf diese Passwortdatenbank gelingt gering, da der Angreifer keine Basis hat (verschieden lange Passwörter und Passwörter ohne Wortteile mal vorrausgesetzt). Die Sicherheit dieses Vorgehens hängt natürlich am stärksten von der Geheimhaltung der Passphrase ab.
  7. -100. [Viele andere einfache und kosteneffektive Verfahren]
  1. Der momentane Quasi-Standard: Die Token-Karte
    Man setzt z.B. einen RSA-Server für die Authentifizierung auf, auf dem sich Private-Keys für die Erzeugung von zufälligen Buchstabenketten befinden. Jeder Benutzer erhält eine Tokenkarte, die ebenfalls diesen Schlüssel enthält. Die Tokenkarte und der RSA-Server berechnen alle Paar-Minuten ausgehend von dem vorherigen Wert einen neuen Wert, den sogenannten Token. Beide Geräte müssen dabei synchronisiert sein und ausgehend von dem vorherigen Wert und demselben Private-Key denselben Token erzeugen. Wenn sich der Benutzer anmelden will, besteht sein Passwort aus einem frei gewähltem und immer gültigem Teilpasswort und dem aktuell gültigen Token.
Wie gesagt können obige Erklärung bestenfalls als gute Ratschläge für eventuelle Verfahren dienen. Falls jemand ernsthaft in Erwägung ziehen sollte eines der Verfahren anzuwenden, so sei ihm angeraten, sich genauer mit dem jeweiligen Verfahren und den Schwachstellen zu beschäftigen."

PDF PDF  |  Druckerfreundliche Ansicht Drucken  |  Hits: 7607

Kommentare

Einen Kommentar hinzufügen



 Suchen:


 Umfrage

(Nur für angemeldete Benutzer)

Was wird hier am meisten vermisst?

[ Ergebnis | Umfragen ]

Stimmen: 621
Kommentare: 0

 Zitate

Es gibt zwei Dinge im Leben, die du nicht zurücknehmen kannst: Den Pfeil den du verschossen und das Wort, das du gesprochen.

-- altes indianisches Sprichwort