News CONSUS OKAS Fachartikel Spiele Impressum
 
Sicherheit und Passwörter
Dass man als Passwort keine Namen verwenden sollte ist im Allgemeinen bekannt. Auch soll man bekanntlich keine Geburtsdaten oder dergleichen nutzen und wenn man wirklich sicher gehen will, dann soll man in seinem Passwort Großbuchstaben und Sonderzeichen verwenden. Denn damit soll sich die Sicherheit des Passworts erhöhen. Aber ist dem auch wirklich so und wenn ja, warum und um welchen Faktor erhöht sich dabei die Sicherheit des Passworts? Dieser Artikel soll etwas Licht in den Dschungel aus Passworttips geben.

Zunächst einige einleitende Worte und Definitionen:
Ein Passwort (englisch password), auch Passphrase, Kennwort, Schlüsselwort, Codewort, Losung, Losungswort oder Parole (von italienisch la parola; deutsch: „das Wort“) genannt, dient zur Authentifizierung und eindeutigen Identifizierung. Hierzu wird eine Information benutzt, die als Ausweis dient und möglichst unverwechselbar die eigene Identität bestätigt. Die Authentizität des sich so Ausweisenden bleibt nur höchstens so lange gewahrt, wie das Passwort geheim bleibt, das heißt, es nicht Dritten bekannt wird.

Um eine höhere Sicherheit zu erreichen, wird in der IT-Technik heute zu einem Passwort ein kryptologisches Hash gebildet, und nur dieses wird auf der prüfenden Seite gespeichert. Das Klartextpasswort ist idealerweise alleinig im Kopf einer einzigen Person gespeichert. Wird nun das Passwort verwendet, um einen Einlass in das System zu bekommen, wird zu dem eingegebenen Passwort wieder das Hash berechnet. Der Zugriff kann gewährt werden, wenn dieses Hash mit dem abgespeicherten Hash übereinstimmt. Das kryptologische Hash wird nach einem definiertem Verfahren so gebildet, dass aus der Kenntnis des Hashes, das Passwort nicht zurückberechnet werden kann (Falltürmethode).

Die Schwachstelle an diesem weitverbreitetem System ist nur das Passwort selbst. Hacker benutzen die sogenannte Brute-Force Methode, das systematische Ausprobieren, um Kennwörter zu knacken. Daher sind Passwörter, die aus Kombinationen von persönlichen Daten, wie Vor- und Nachname, Wohnort, Haustier oder Kindernamen etc., sehr unsicher. Auch Wörter, die nichts mit der Person zu tun haben lassen sich durch eine "Wörterbuchattacke" herrausfinden. Dieser Angriff ist eine besondere Version der Brute-Force Methode und probiert gängige Wörter, Sätze und Zeichenfolgen aus (asdf, wsxedc, 12345, 54321 usw.).
Auch persönliche Details, wie Geburtsdaten oder gar den eigenen Namen als Passwort geben Angreifern eine gute Chance zu einem erfolgreichen Zugriff. Darunter fallen natürlich ebenfalls Passworte wie der Name seines Pferdes (wie beispielsweise "Sultan") oder eine wichtige Person seiner Glaubensangehörigkeit (wie etwa "Jesus") oder seine heimliche Angebetete (wie etwa "Sonja"). In einem solchen Fall kann es schnell passieren, dass Personen, die Sie gut kennen, durch pures Raten auf das Passwort stoßen.
Auffällige und dennoch häufig genutzte Passwörter, wie "Passwort" oder "Kennwort" oder der Name der Seite, auf der man sich gerade befindet, bieten genauso wenig Schutz und zeugen dazu von einer großen Unkreativität.

Dies lässt sich jedoch leicht durch ein nicht nachvollziehbares Passwort umgehen, was unweigerlich zu den bekannten Passwortregeln führt, wie sie mittlerweile in fast jeder Firma gängig sind. Durch eine Verkettung von Buchstaben, Zahlen und Sonderzeichen wird ein Passwort erstellt, dass sich nicht durch persönliche Daten herleiten lässt und ein Ausprobieren in die Länge ziehen soll.
Dieses Vorgehen führt natürlich zu sicheren Passwörtern bringt jedoch einen großen Nachteil mit sich. Passwörter werden so kompliziert, dass man sie sich nur noch erschwert merken kann. Nun umgehen viele Benutzer dieses Problem, indem sie ihr Kennwort auf ein PostIt schreiben und an den Bildschirm kleben oder eine Textdatei anlegen und Passwörter dort im Klartext notieren. Das unterminiert natürlich die Sicherheit des Passwortes.
Des weiteren fordern viele Firmne, dass Passwörter in bestimmten Intervallen (z.B. monatlich) geändert werden müssen. Alte Passwörter dürfen eine bestimmte Anzahl von Intervallen nicht mehr benutzt werden. Auf diese Weise aufeinander folgende Passwörter nennt man Generationen.
Um bei diesem Problem zu helfen haben wir einen Passwort Generator geschrieben, der aus einem Satz oder auch aus einem Masterpasswort beliebig viele Generationen von Passwörtern generiert. Die Regeln des Erstellens kann man nach bedarf anpassen (Sonderzeichen, Großbuchstabe etc.) Das Skript findet man hier: Passwort Creator

Aber auch zufällige Buchstabenfolgen sind nicht unlösbar. Man kann das Wörterbuch, welches bei einem Wörterbuchangriff verwendet werden soll, wie bereits erwähnt, beliebig anpassen. Es ist auch möglich alle Möglichkeiten bei einer bestimmten Passwortlänge und einer bestimmten Symbolgrundmenge durchzuprobieren. Dies bezeichnet man, wie oben erwähnt, als einen "Brute-Force-Angriff". Diese nutzen zumeist eine Breitensuche. Das bedeutet, dass sie zuerst alle Passwörter der Länge 1 ausprobieren, die denkbar wären, dann alle Passwörter der Länge 2, die denkbar wären, dann alle Passwörter der Länge 3... und so weiter. Somit wird ein Passwort auf jeden Fall gefunden, das Problem ist dabei allerdings die benötigte Zeit. Je nachdem, mit welcher Rechengeschwindigkeit die Passwörter probiert werden, kann es so lange dauern, das Passwort zu finden, dass es keinen Nutzen hat. Wichtig für die Ermittlung der benötigten Zeit ist in erster Linie die Gesamtzahl der möglichen Passwörter. Nebensächlich ist auch die Geschwindigkeit des Prozessors interessant, allerdings verliert auch diese an Relevanz, wenn die Möglichkeiten eines Passworts nur groß genug sind.

Wendet man sich also zusammenhangslosen Passwörtern zu, dann stellt sich zuerst die Frage, welche Grundmenge an Symbolen man nehmen soll. Im einfachsten Fall könnte man natürlich die Zahlen nehmen. Allerdings erweist sich dies aufgrund der kleinen Symbolmenge (Die Ziffern von 0 - 9, also 10 Symbole) als nachteilig. Nimmt man zum Beispiel ein 8-stelliges Zahlenpasswort, dann gibt es 100 Millionen Möglichkeiten. Diese Zahl berechnet sich aus den 10 möglichen Symbolen, unter denen man wählen kann und den 8 Zeichen, die man schlussendlich wählt. Letztere geben dabei den Exponenten an, mit welchem ersterer verrechnet wird, also: 10 ^ 8 = 100 000 000 (Sprich 10 hoch 8). Ein Brute-Force-Angriff muss also höchstens 100 Millionen mögliche Passwörter probieren, um besagtes Passwort gefunden zu haben. Geht man davon aus, dass der Prozessor eine Millionen Passwörter pro Sekunde probieren kann, dann hat er das Passwort nach nicht einmal 2 Minuten gefunden, egal, wie es gewählt wurde.

Nimmt man stattdessen die Menge aller Kleinbuchstaben als Grundmenge (= 26 mögliche Symbole), dann gibt es für ein 8-stelliges Passwort etwa 200 Milliarden (= 26 ^ 8) Möglichkeiten. Besagter Prozessor bräuchte zum Erraten des Passworts circa 200 000 Sekunden, was mehr als 2 Tagen und einer Verbesserung von dem ungefähren Faktor 2000 gegenüber einem Passwort, das nur aus 8 Zahlen besteht, entspräche.

Will man diese Zeit weiter optimieren, dann muss man lediglich die Grundmenge der verwendeten Symbole vergrößern. Nimmt man die Menge der Großbuchstaben zu der Menge der Kleinbuchstaben und der Zahlen hinzu, dann hat man 62 Symbole pro Zeichen (26 Kleinbuchstaben + 26 Großbuchstaben + 10 Ziffern = 62 Symbole). Nutzt man nun ein Passwort, welches aus 8 Zeichen besagter Symbolmenge besteht, dann gäbe es 218 Billionen (= 62 ^ 8) theoretische Passwörter. Besagter Prozessor bräuchte dann etwa 7 Jahre zum Berechnen aller Passwörter. Dies entspricht einer Verbesserung um etwa dem Faktor 1000 gegenüber Passwörtern, welche nur aus 8 Kleinbuchstaben bestehen.

Diese Verbesserung wirkt sich bei langen Passwörtern mehr aus, als bei kurzen. Betrachtet man zum Beispiel ein einstelliges Passwort, welches nur aus Kleinbuchstaben besteht, so gibt es 26 Möglichkeiten - für jeden Buchstaben genau eine Möglichkeit. Erhöht man die Grundmenge der zu verwendeten Zeichen auf 52, indem man auch Großbuchstaben hinzunimmt, dann entspricht dies lediglich einer Verbesserung um den Faktor 2, da die maximale Menge aller Möglichkeiten ja nur verdoppelt wurde.
Betrachtet man nun ein Passwort der Länge 2, gilt dies aber für jedes Zeichen, sowohl für das erste gibt es nun die doppelte Anzahl an Möglichkeiten, als auch für das zweite. Weitet man es aus auf 8 Zeichen, dann hat sich die Menge aller Möglichkeiten bereits 8 mal verdoppelt. Dies entspricht einer Verbesserung um den Faktor 256 (= 2 ^ 8).

Zu beachten gilt bei diesen Zahlen zweierlei: Zum einen gibt es Prozessoren die um ein Vielfaches schneller sind als besagter Prozessor. Selbst alltägliche Computer sind häufig in der Lage mehr als eine Millionen Passwörter pro Sekunde zu probieren. Zum anderen ist ein 8-stelliges Passwort aber auch recht kurz. Nimmt man stattdessen ein 12-stelliges oder noch längeres Passwort, dann haben auch Supercomputer einigige Probleme auf eine annehmbare Zeit zu kommen. Außerdem kann man immer noch auf eine größere Grundmenge an Symbolen zurückgreifen: Zum Beispiel könnte man Sonderzeichen wie "+", "(" oder "§" zu der Symbolmenge hinzunehmen. Allerdings sollte man dann darauf achten, dass man nur auf Symbole zurückgreift, welche auch auf jeder Tastatur zu finden sind und welche auch von dem entsprechenden Programm oder der entsprechenden Website akzeptiert werden.

Diese Überlegungen führen nun zu den erwähnten Regeln der Passwörter (mindestens 8 Zeichen, Sonderzeichen, Großbuchstaben und ein häufiges wechseln des Passwortes). Als effektiven Schutz gegenüber Brute-Force-Angriffen empfiehlt es sich jedoch für Webseitenadministratoren oder Programmentwickler, entweder nur ein Passwortversuch pro Sekunde zuzulassen, oder nach mehrmaliger Falscheingabe ein paar Sekunden zu warten, bis ein erneuter Versuch stattfinden kann. Ein Mensch würde diese Überprüfung vermutlich nicht wahrnehmen, ein Computer hingegen, der darauf angewiesen ist mehrere Millionen Möglichkeiten pro Sekunde zu probieren, wäre diesem Schutz gnadenlos unterlegen.

Bei Fragen, Wünschen, Anregungen oder Verbesserungen dieses Artikels kann man uns jederzeit eine Mail schicken.
JW // KK
Nach oben
 
Aktuelles:
  - new Beam Video
Projekte:
  - CGE Consus Game Engine
- OKAS unsere Webhosting Software
Social: