Passwörter! Wie jetzt richtig, meine Meinung.

Geschrieben in Sidetopics am June 15th, 2013
Tags: , , , , , , , , ,

Sicherheitsexperten sind sich bei Passwortkonventionen selbst nicht einig. Unser BSI hat eine Reihe an Tipps für Passwörter aufgeschrieben. Doch auch diese werden von vielen angezweifelt. Der Grund: Man kann sich diese Passwörter einfach nicht merken.

Was ist der Sinn hinter möglichst langen und komplexen Passwörtern? Kurz erklärt: Wenn ein Passwort in einem Online-System gespeichert wird, dann wissen wir selbst nicht wie dies geschieht. Es kann im Klartext sein, als einfacher Hash oder auch als gesalzener Hash. Bei Klartextpasswörtern hat man für diesen einen Dienst schon verloren, denn der Anbieter hat hier einen sehr großen Fehler gemacht. Einfach gehashte Passwörter können aber ebenfalls unsicher sein, denn es gibt viele Datenbanken die als Wörterbücher für diese Hashes dienen und mit denen man schnell den md5-Hash ‘21232f297a57a5a743894a0e4a801fc3’ in das Wort ‘admin’ übersetzen kann. Ob das bei eurem Passwort der Fall ist, könnt Ihr auch der Seite check-my-password.com prüfen. Auch hier hat der Anbieter einen Fehler gemacht. Gesalzene Hashes sind dagegen nicht zu knacken, sofern man das Salz nicht kennt.

Fakt ist: Ihr wisst nicht, wie euer Anbieter die Passwörter speichert. Und selbst wenn gesalzene Hashes eingesetzt werden, kann es sein, dass der Anbieter im Login keinen Brute-Force-Schutz anwendet und man einfach über das Login selbst einen Account knacken kann. Oder eine andere Möglichkeit: Man selbst fällt auf einen Phishing-Angriff herein oder fängt sich einen Trojaner ein.

Was soll man also tun? 

Man sollte Passwörter verwenden, die eben nicht in einfachen Wörterbüchern vorkommen. Das bedeutet vor allem, die Passwörter sollten möglichst lang sein. Jetzt kommt das große Argument, der Gegner der BSI-Tipps: Diese Passwörter kann sich kein Mensch merken. Das stimmt. Der eigene Vorschlag ist meiner Meinung nach allerdings überhaupt nicht gut. Man schlägt vor, für Passwörter Sätze zu verwenden. Bei Twitter zum Beispiel: “Ich loggemichbeiTwitterein” bei Facebook dann “Ich loggemichbeiFacebookein”. Dies Sätze sind dabei immer gleich, denn: Man soll sich die Passwörter ja merken können. Für mich ist das völliger Blödsinn aus 2 Gründen:

  1. Diese Vorschläge werden wahrscheinlich 1zu1 von den Lesern dieser Vorschläge adabtiert und sind daher auch bekannt. Was eine schlechte Eigenschaft für ein Passwort ist.
  2. Wenn man auf eine Phishing-Seite hereinfällt oder von einem Trojaner befallen ist, dann ist nicht nur ein, sondern viele weitere Logins kompromittiert. Für mich ist diese Art genau so als würde man für alle Zugänge das gleiche “sichere” Passwort verwenden. Und wenn man anfängt bei den Passwörtern abzuweichen “Ichloggemichbei Facebook ein” dann kann man sich die Passwörter wieder nicht merken.

Meiner Meinung nach sollten Passwörter überhaupt keinen Rückschluss auf die Plattform geben bei der man sich anmeldet. Ich empfinde 8 Zeichen, wie vom BSI empfohlen zwar auch für zu kurz aber die weiteren Konventionen sind absolut richtig, denn so generiert man Passwörter die keinen Rückschluss auf die Plattform oder sich selbst zulassen und genau das ist dann ein gutes Passwort. Auch das verwendet man dann natürlich nicht für alle Passwörter sondern eben für jede Plattform ein eigenes.

Und wie merke ich mir die jetzt?

Macht euch das Leben doch nicht so schwer, Leute. Benutzt Passwortmanager. Ihr könnt euch Kilometerlange nichtssagende Zeichenkentten als Passwort erzeugen und habt das Passwort dank den Managers immer zur Hand. KeePass ist zum Beispiel ein guter Passwortmanager.

Werdet Ihr abgephisht, dann ist wirklich nur der eine Account gephishd und man kann euch nicht mit einem Passwort auch auf eBay, Twitter und Amazon gleichzeitig abziehen.

So ist man Sicher. Meiner Meinung nach.


Leave a Reply

Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis