Moin,
Hier möchte ich euch ein bisschen was zur Sicherheit von Passwörtern erzählen.
Insbesondere werde ich euch Zeigen warum 90% der Passwörter die ihr bisher verwendet habt vermutlich nicht sicher sind.
Auslöser dafür war dieser Artikel über eine Passwort-Cracking-Machine die dieses Jahr den Crack me if you can Contest gewonnen hat:
arstechnica.com/security/2012/08/passwords-under-assault/
Dieser Computer kostet recht moderate 12,000$ und kann beliebige 8-Stellen Passwörter innerhalb von 12h knacken.
Sie verwendet dazu parallelgeschaltete Grafikkarten, da diese mehr Rechenpower haben als herkömmliche CPUs.
Doch fangen wir von vorne an:
Wie werden Passwörter eigentlich geknackt?
Wenn eine Webseite gut programmiert ist sind die Passwörter niemals im Klartext gespeichert sondern verschlüsselt.
Als Standartverschlüsselung gilt heute MD5 - das ist nach wie vor unknackbar.
Das schützt aber nicht davor, dass Passwörter geknackt werden.
Wenn wir zum Beispiel das Passwort "Hallo" nehmen läuft das ganze wie folgt ab:
Ich registriere mich bei einer Webseite und gebe das Passwort "Hallo" an.
Die Webseite verschlüsselt das Passwort mit dem MD5-Verfahren und speichert den sogenannten Hash ab.
Dieser lautet: d1bf93299de1b68e6d382c893bf1215f
Wenn ich mich nun anmelden möchte gebe ich wieder das Passwort ein, die Webseite verschlüsselt das eingegebene Passwort und vergleicht es mit dem abgespeicherten Hash - ist der Wert identisch wird mir der Zugang gewährt.
Nun kann jemand - in der Regel über ein Programm - natürlich die Webseite mit verschiedenen Passwörtern füttern, solange bis das richtige Passwort gefunden ist.
Bei so einem einfachen Passwort wie "Hallo" ist das eine Sache von Sekunden - auch wenn hier Webseiten häufig vorbeugen und nach x-Versuchen das weitere Ausprobieren für eine gewisse Zeit unterbinden.
In solchen Fällen suchen Hacker meist nach Sicherheitslücken im System und laden sich die gesamte Datenbank herunter - dann haben sie die Hashes vor sich liegen und können solange rumprobieren bis sie ihr Ziel erreicht haben.
Eine schnellere Alternative stellen Dictionary Attacks oder Rainbowtables dar.
Dictionary Attacks benutzen - wie der Name schon sagt - Wörterbücher um ein Passwort zu erraten.
Dort werden dann Wortpasswörter wie "Hallo", zusammengesetzte Passwörter wie "Hallo123" oder "Hallo123Welt" extrem schnell geknackt.
Rainbowtables sind Tabellen, die im Laufe der letzten 8 Jahren von Hackern angelegt wurden.
Dort werden bereits gecrackte MD5 Hashes abgelegt - ich habe jüngst ein Angebot gefunden mit ca. 3TB Rainbowtables - die Vertreiber versprechen 96.8%ige Trefferwahrscheinlichkeit bei ASCII Passwörtern (also Groß/Kleinschreibung, Zahlen, Sonderzeichen) bis 8 Stellen und bei Alphanumerischen Passwörtern bis 10 Stellen - Tendenz steigend.
Wie sieht also ein sicheres Passwort aus?
Ein sicheres Passwort sollte deutlich mehr wie 10 Stellen haben und aus Groß-&Kleinschreibung, Zahlen und Sonderzeichen bestehen.
Je länger desto besser.
Das Passwort sollte in keinem Wörterbuch vorkommen und sollte möglichst nur bei einem Account verwendet werden.
Wie kann ich mir solche Passwörter merken?
Ein einfacher Trick:
Bildet einen skurillen Satz - je skuriller und unsinniger desto besser, denn desto größer ist die Wahrscheinlichkeit das ihr ihn euch merken könnt.
z.b.:
Jeden Sonntag fahre ich mit Schwiegermutter zum Eisessen in die Arktis
Diesen Satz solltet ihr nun verfremden. Dafür eignet sich z.b. Leetspeak.
Damit kann man aus dem Satz oben z.b. folgendes Passwort zaubern:
J3d3nS0nnt@gf@hr31chm1tSchw13g3r/\/\utt3rzum31s3ss3n1nd13@rkt1s
Das ist sicherlich etwas umständlich aber einprägsam und hat alle Charakteristika eines sicheren Passworts.
Wenn man es sich etwas einfacher machen möchte merkt man sich ein langes Passwort und sichert damit z.b. einen Passwort Container wie:
Password Safe.
Dann kann man auch zufällig generierte Passwörter nehmen.
100%ige Sicherheit gibt es nie - spätestens wenn man dann noch auf Keylogger und Trojaner eingeht...
Daher haltet eure PCs sauber und bleibt sicher im Netz!
Hier möchte ich euch ein bisschen was zur Sicherheit von Passwörtern erzählen.
Insbesondere werde ich euch Zeigen warum 90% der Passwörter die ihr bisher verwendet habt vermutlich nicht sicher sind.
Auslöser dafür war dieser Artikel über eine Passwort-Cracking-Machine die dieses Jahr den Crack me if you can Contest gewonnen hat:
arstechnica.com/security/2012/08/passwords-under-assault/
Dieser Computer kostet recht moderate 12,000$ und kann beliebige 8-Stellen Passwörter innerhalb von 12h knacken.
Sie verwendet dazu parallelgeschaltete Grafikkarten, da diese mehr Rechenpower haben als herkömmliche CPUs.
Doch fangen wir von vorne an:
Wie werden Passwörter eigentlich geknackt?
Wenn eine Webseite gut programmiert ist sind die Passwörter niemals im Klartext gespeichert sondern verschlüsselt.
Als Standartverschlüsselung gilt heute MD5 - das ist nach wie vor unknackbar.
Das schützt aber nicht davor, dass Passwörter geknackt werden.
Wenn wir zum Beispiel das Passwort "Hallo" nehmen läuft das ganze wie folgt ab:
Ich registriere mich bei einer Webseite und gebe das Passwort "Hallo" an.
Die Webseite verschlüsselt das Passwort mit dem MD5-Verfahren und speichert den sogenannten Hash ab.
Dieser lautet: d1bf93299de1b68e6d382c893bf1215f
Wenn ich mich nun anmelden möchte gebe ich wieder das Passwort ein, die Webseite verschlüsselt das eingegebene Passwort und vergleicht es mit dem abgespeicherten Hash - ist der Wert identisch wird mir der Zugang gewährt.
Nun kann jemand - in der Regel über ein Programm - natürlich die Webseite mit verschiedenen Passwörtern füttern, solange bis das richtige Passwort gefunden ist.
Bei so einem einfachen Passwort wie "Hallo" ist das eine Sache von Sekunden - auch wenn hier Webseiten häufig vorbeugen und nach x-Versuchen das weitere Ausprobieren für eine gewisse Zeit unterbinden.
In solchen Fällen suchen Hacker meist nach Sicherheitslücken im System und laden sich die gesamte Datenbank herunter - dann haben sie die Hashes vor sich liegen und können solange rumprobieren bis sie ihr Ziel erreicht haben.
Eine schnellere Alternative stellen Dictionary Attacks oder Rainbowtables dar.
Dictionary Attacks benutzen - wie der Name schon sagt - Wörterbücher um ein Passwort zu erraten.
Dort werden dann Wortpasswörter wie "Hallo", zusammengesetzte Passwörter wie "Hallo123" oder "Hallo123Welt" extrem schnell geknackt.
Rainbowtables sind Tabellen, die im Laufe der letzten 8 Jahren von Hackern angelegt wurden.
Dort werden bereits gecrackte MD5 Hashes abgelegt - ich habe jüngst ein Angebot gefunden mit ca. 3TB Rainbowtables - die Vertreiber versprechen 96.8%ige Trefferwahrscheinlichkeit bei ASCII Passwörtern (also Groß/Kleinschreibung, Zahlen, Sonderzeichen) bis 8 Stellen und bei Alphanumerischen Passwörtern bis 10 Stellen - Tendenz steigend.
Wie sieht also ein sicheres Passwort aus?
Ein sicheres Passwort sollte deutlich mehr wie 10 Stellen haben und aus Groß-&Kleinschreibung, Zahlen und Sonderzeichen bestehen.
Je länger desto besser.
Das Passwort sollte in keinem Wörterbuch vorkommen und sollte möglichst nur bei einem Account verwendet werden.
Wie kann ich mir solche Passwörter merken?
Ein einfacher Trick:
Bildet einen skurillen Satz - je skuriller und unsinniger desto besser, denn desto größer ist die Wahrscheinlichkeit das ihr ihn euch merken könnt.
z.b.:
Jeden Sonntag fahre ich mit Schwiegermutter zum Eisessen in die Arktis
Diesen Satz solltet ihr nun verfremden. Dafür eignet sich z.b. Leetspeak.
Damit kann man aus dem Satz oben z.b. folgendes Passwort zaubern:
J3d3nS0nnt@gf@hr31chm1tSchw13g3r/\/\utt3rzum31s3ss3n1nd13@rkt1s
Das ist sicherlich etwas umständlich aber einprägsam und hat alle Charakteristika eines sicheren Passworts.
Wenn man es sich etwas einfacher machen möchte merkt man sich ein langes Passwort und sichert damit z.b. einen Passwort Container wie:
Password Safe.
Dann kann man auch zufällig generierte Passwörter nehmen.
100%ige Sicherheit gibt es nie - spätestens wenn man dann noch auf Keylogger und Trojaner eingeht...
Daher haltet eure PCs sauber und bleibt sicher im Netz!
WARNUNG: Beiträge dieses Benutzers können Spuren von Ironie, Sarkasmus, Uran, purer Boshaftigkeit, Fachwissen und Erdnüssen enthalten!
![:]](https://www.seatemotion.de/wcf/images/smilies/pleased.gif)
