**Diese Anleitung wurde im April 2014 überarbeitet.**
Inspiriert von einem dichten Text im Guardian einige Gedanke zur Sicherheit von Passwörtern. Eigentlich wäre es ganz einfach – man könnte den Tipps von Google folgen:
- Ein anderes Passwort für jeden Account.
- Lange Passwörter.
- Verschiedene Zeichen benutzen, nicht nur Buchstaben.
- Erinnerungen an Passwörter an einem sicheren Ort lagern.
- Zusatzoptionen wie Google 2-step-verification, Facebooks Anmelde-Benachrichtigungen und Passwort-Recovery nutzen.
Gerade der letzte Punkt kann im Notfall entscheidend sein: Man kann so Konten retten, wenn man den Verdacht hat, sie seien kompromittiert worden. Die meisten Dienste verschicken Erinnerungsemails, sobald ein Passwort geändert wird etc.
Welche Tipps nichts taugen, zeigt dieser Beitrag sehr schön auf. Das Fazit dort: Passwörter müssen sehr, sehr lang sein!
Im Guardian wird die Frage aufgeworfen, mit welchem Bedrohungsszenario man bei der Wahl von Passwörtern rechnet. Die meisten Menschen werden von Systemen unter Druck gesetzt, komplizierte Passwörter mit Zahlen, Sonderzeichen und Buchstaben zu wählen. Das führt dazu, dass sie sich ein kompliziertes Passwort ausdenken, das sehr sicher ist – aber für alle Konten gleich eingesetzt wird. Dafür schreiben sie es, wie sie das gelernt haben, nicht auf – damit es niemand findet.
Die Frage ist nun: Vertraut man seiner Familie oder dem Arbeitsumfeld mehr als russischen Hackerinnen und Hackern, die folgendermassen vorgehen:
- Sie hacken einen Betreiber eines Online-Dienstes.
- Sie stehlen die Login-Informationen, die meist verschlüsselt sind.
- Sie versuchen, die Verschlüsselung zu knacken – ohne Tricks, mit roher Gewalt.
- Haben sie ein Passwort, versuchen sie darüber Zugriff zu anderen zu erlangen.
- Resultat: Im schlimmsten Fall: Alle Konten weg, alle Geräte komplett gelöscht, Geld weg.
Die »rohe Gewalt« führt einfacher zum Ziel, wenn Passwörter kurz sind. Es ist völlig egal, wie viele Sonderzeichen sie enthalten: Ein Computer probiert die alle durch. Faustregel: Ein Passwort mit 5 zufälligen Zeichen kann in drei Stunden geknackt werden, eines mit 20 nie (das ist nur leicht übertrieben).
Die Lösung wäre folgende:
- Für jeden Account ein anderes Passwort.
- Passwörter in folgender Form verwenden: Buchstabe+Buchstabe+Buchstabe+Buchstabe+… ohne je ganze Wörter zu verwenden. Idealerweise bildet man einen Satz: Zürich ist die schönste Stadt der Welt und verwendet z.B. von Nomen die ersten beiden, von allen anderen Wörter den ersten Buchstaben: ZueidsStdWe. Ums noch ein bisschen besser zu machen, nummerieren wir die Nomen zuästzlich: 1Zueids2Std3We. Leicht zu merken, aber lang und komplex genug, um kaum knackbar zu sein.
- Passwörter im Notfall aufschreiben.
Wörter sollten unbedingt vermieden werden, weil Hacker gezielt nach häufigen Wörtern in Passwörtern suchen. Profis können aus verschlüsselten Passwortlisten innert Stunden 60 bis 90% der Passwörter ermitteln.
Wer damit Probleme hat, sollte einen Dienst wie 1Password verwenden – wie das geht, habe ich hier notiert. Dort werden Passwörter automatisch verschlüsselt notiert – und zwar auf jedem Gerät, das man verwendet.
(Die Illustration zeigt die Passwort-Daten, die vom Disclosure Projekt gesammelt werden – eine Seite, auf der alle veröffentlichen Passwörter publiziert werden, damit man nachsehen kann, ob man Opfer von Hacker-Angriffen geworden ist.)
Die Methode von XKCD, bei der Wörter kombiniert werden, funktioniert nicht mehr, weil Hacker diese Methode bereit kennen, wie Bruce Schneier ausführt:
Schule Social Media 
models. In case you visit a wholesaler, you’ll have these types of shoes or boots at the considerable Sichere Passwörter | Schule und Social Media reduce アグ 1873 正規品 http://www.clinton-family-dentistry.com/img/ugg-1873.html greater part and you simply wouldn’t normally acknowledge in order to carapace a large amount of money. Retail price stores claims overall appropriate initial ante and you simply would probably conclusion.
Das XKCD-Beispiel erscheint mir nicht empfehlenswert zu sein, denn diese Art von Passwörtern – auf Englisch gibt’s den passenderen Begriff «passphrase» – ist mit Wörterbüchern angreifbar. Der Angriff ist zwar nicht so einfach wie bei simplen Wörtern, aber mit einem Vorgehen nach wort1-wort2-wort3-wort4 weit weniger aufwendig als die Passwort-Länge suggeriert. Je nach Ausgangslage ist ein solches Passwort eine Verbesserung, aber wer sowieso eine Passwort-Verwaltung à la 1Password nutzt, kann gleich ein langes Zufallspasswort verwenden.
Dem letzten Satz stimme ich zu – ausser, man will sich ab und zu auf anderen Geräten einloggen: 20 Zufallszeichen vom Smartphone abzutippen ist mühsam.
Der entscheidende Schritt, so der Guardian, ist die Verschlüsselung von gestohlenen Datenbanken. Wenn alle PW-Strings 20 Zeichen umfassten, wäre das „brute force“ nicht zu machen – auch wenn es sich um die „blödesten“ PW aller Zeiten handelte. (Es geht nicht ums Erraten eines Einzelpasswortes.)
Verschlüsselte und «gesalzene» Passwort-Datenbanken sollten ohne Zweifel Standard sein. Ich bin immer wieder unangenehm überrascht, wenn mir ein Anbieter mein Passwort per E-Mail im Klartext zukommen lässt.
Good day KathiThanks for the info. However, my recent puahrcse gave me a bit of pain and worry. This is my 2nd time getting stuff from Gmarket. The 1st was so smooth within 4 days reached me here in Singapore. Unfortunately, my 2nd time takes me 6 days and it is still under shipping preparation mode. I wrote them message and it took them 3 days to reply and telling me that Seller is going to ship out to the warehouse on 15 Jan (that’s today) But I didn’t see any update on my shipping page at all. Do you come across any weired case like that? It’s like every single items is already shipped at the warehouse. Now there is only one item take forever no reply and no sign of shipping aiyooooooooooo. I dun no how to deal with Gmarket hummmmm sad sad sad
Full of salient points. Don’t stop believing or writing!