Sicherheit – schwache PasswörterPasswörter absichern
Schwache Passwörter sind entweder zu kurz oder leicht zu erraten. Trotzdem wählen sie die meisten Nutzer in der Praxis ? PC Professionell hat in der letzten Untersuchung rund 95 Prozent untauglicher Passwörter ermittelt. Dabei ist es nicht schwer, starke Passwörter zu finden. Man muss nur einige Sicherheitskriterien beachten, die auf den ersten Blick selbstverständlich erscheinen, in der Praxis aber oft nicht beachtet werden.
Verraten Sie niemals Ihr Passwort und teilen Sie sich keinen Benutzer- Account mit jemand anderem. Außerdem sollte ein Kennwort lang genug sein, so dass es nicht in Sekunden von Knack-Programmen wie John the Ripper ermittelt werden kann. Ausreichend sind mindestens acht Zeichen. Damit diese Anforderungen dem Praxistest standhalten, sollten Sie sich leicht an das Passwort erinnern und es einfach und ohne Fehler eintippen können.
Sichere Passwörter finden
Zweifellos ist »kR_3Uih7§pX9%@e« ein starkes Passwort. Es ist lang genug, enthält Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern. Außerdem ist es nach einem Zufallsprinzip erzeugt worden und ergibt keinen Sinn. Erraten ist unmöglich, und ein Passwort-Knacker wird sich zu Tode rechnen; im Testlabor versucht sich das Knack- Tool John schon einige Tage vergeblich daran. Der Haken dabei: Nur Gedächtnisweltmeister können sich das Passwort merken.
Einfache Passwörter absichern
Ein guter Trick ist, einen bekannten Begriff so weit abzuändern, dass er nicht mehr durch Social Engineering oder schlichtes Erraten herausgefunden werden kann. Ein Beispiel: Im letzten Kuba-Urlaub haben Sie vor allem Havanna Club Rum getrunken. Daraus ergibt sich zunächst einmal das schwache Passwort »HavannaClubRum«. Siemüssen also noch ein paar Extras einbauen um es abzusichern. Ihr Urlaubstrunk hatte 40 Prozent Alkoholanteil, also wird das Passwort zu »HavannaClubRum40%« erweitert. Jetzt ersetzen Sie noch die Vokale durch zusätzliche Sonderzeichen, etwa a durch@ und u durch _; daraus entsteht dann »H@v@nn@Cl_bR_m40%«, ein schon recht sicheres Passwort.
Doch Vorsicht: Einige Passwort- Knacker führen solche Standardersetzungen auch durch. Alternativ ersetzen Sie nur immer den ersten Buchstaben oder Sie ersetzen nur, wenn es eine gerade Anzahl von Buchstaben ist. Je unkonventioneller die Methode, desto wirksamer der Schutz. Ein Passwort darf deswegen nicht zu kurz sein, weil schon ein normaler Heim-PC sehr leistungsfähig ist und eine Brute-Force- Attacke ausführen kann.
Angenommen, ein Passwort besteht aus fünf Kleinbuchstaben. Es gibt 26 Buchstaben im Alphabet, so dass es für jeden Buchstaben 26 Möglichkeiten gibt. Das sind dann 26 x 26 x 26 x 26 x 26 =11881 376 mögliche Kombinationen. Fast zwölf Millionen mögliche Passwörter hört sich nach sehr vielen Kombinationen an. Auf der Webseite www.orange.co.jp/~masaki/ rc572/fratee.php finden Sie eine Liste von typischen Rechnern mit der Anzahl von Schlüsseln, die sie pro Sekunde generieren können ? 10 000 pro Sekunde sind ein realistischer Wert, den ein aktueller Heim-PC heute erbringt, Leistungstendenz mit Multicore-PCs stark ansteigend.
Zwölf Millionen Passwörter testen
Der Rechner braucht im schlimmsten Fall also nur 20 Minuten, um das obige Passwort zu knacken. Bei einem Wort mit acht Buchstaben erhöht sich der Wert auf 241 Tage. Durch die Verwendung von Groß- und Kleinbuchstaben wird jede Stelle durch 52 mögliche Buchstaben belegt. Obige Berechnung mit 10000 Schlüsseln proSekunde liefert bei einem achtstelligen Passwort eine Brute-Force-Knackdauer von etwa 170 Jahren.