Neues aus der Forschung: Passwörter leicht zu merken und kaum zu knacken
Wer sich ein neues Passwort ausdenken muss, kennt das Problem: entweder man nimmt eines, das leicht zu merken ist (weibliche Vornamen sind da sehr beliebt), dann aber kann der Kollege es leicht erraten. Wer aber auf Sicherheit bedacht eines mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wählt, so dass niemand jemals darauf kommen kann, hat es bald auch selber vergessen. Microsofts Forschungsabteilung hat sich mit diesem Problem beschäftigt und ist zu einer Lösung gekommen, mit der sichere und einfach zu merkende Passwörter möglich werden sollen.
Um es sofort zu sagen: die Lösung besteht darin, dass jeweils nur eine geringe Anzahl von Usern eines Dienstes oder einer Firma dasselbe Passwort haben dürfen. Wenn ein Account mit einem Wort aus der Alltagssprache geschützt ist, können Hacker sich mit einem simplen Wörterbuch-Angriff Zugang verschaffen. Dabei wird einfach jedes Wort aus einem Lexikon automatisch durchprobiert, bis das Passwort gefunden wurde.
Indem das System nach einer geringen Anzahl von wiederholten Fehlversuchen den Zugang zunächst komplett sperrt, kann ein solcher Angriff relativ einfach verhindert werden. Deshalb probieren gewiefte Hacker nun nicht mehr tausende mögliche Passwörter an einem Account aus, sondern testen nur zwei bis drei Wörter, dafür aber bei tausenden verschiedenen Nutzern, was auf ungefähr dieselbe Anzahl gekaperter Zugänge hinausläuft. Wenn nun aber das Sicherheitssystem nur fünf Nutzern das Passwort „Heidi“ erlaubt, sinkt die Erfolgschance der Hacker rapide. Und der sechste User muss dann eben „Almöhi“ wählen.
Die Forscher betonen allerdings, dass Microsoft zur Zeit nicht plant, diese Idee in ihren Produkten umzusetzen. Dann nämlich müssten vermutlich tausende Hotmail-Nutzer ihr Passwort “123456” ändern. Mich allerdings betrifft das alles sowieso nicht, denn mein Passwort ist schon seit Jahren “*********”.
(Nils Baer / Foto: Flickr – Fotograf: Freddy The Boy)
|
|
Tweet |
|
3. Artikelstatistik:
· read: 8749 · today: 2 · last: 26. May 2012
In kleineren Foren wäre das schlecht
„Der Benutzer xy verwendet dieses Passwort bereits, bitte wählen Sie ein anderes“.
Wenn alle Menschen wirklich konsequent sichere Passwörter mit einer Mindestlänge von 20 zufälligen Zeichen aus dem ganzen ASCII-Raum verwenden würden wäre das kein Problem. Außerdem sollte man kein Passwort für mehrere Accounts verwenden.
Ich denke, sichere Passwörter sind und bleiben die langen Zeichenketten mit allen möglichen Kombinationen aus Buchstaben, Zahlen und Zeichen. Und wenn man sich sowas nicht merken kann, dann benutzt man eben nen Passwort Manager oder geht das Risiko ein, ein geknacktes E-Mail Konto zu haben.
“Wenn alle Menschen wirklich konsequent sichere Passwörter mit einer Mindestlänge von 20 zufälligen Zeichen aus dem ganzen ASCII-Raum verwenden würden wäre das kein Problem. Außerdem sollte man kein Passwort für mehrere Accounts verwenden.”
D.h. 20 Zeichen langes Passwort, “sicher” mit Groß- und Kleinbuchstaben, Zahlen und am besten noch Sonderzeichen. Und dann für jeden deiner 10 bis 20+ Internetaccounts ein Anderes – und das soll sich einer merken? Gut dass da neben dir noch Microsoft dran arbeitet. ;-)
Ein Tipp:
Jeder kennt irgendwelche Geschichten und Märchen. Da könnte man aus den Anfangsbuchstaben der Wörter eines Satzes + Sonderzeichen/Zahlen davor und danach, recht sichere Passwörter kreieren.
Dazu stand in der c´t eine interessante Strategie:
Man erstellt sich ein einziges möglichst kompliziertes Passwort. Um es sich besser merken zu können, wählt man zB. die Anfangsbuchstaben eines Satzes. Z.B.:
„Zum Frühstück mag ich am liebsten Brötchen mit Erdbeermarmelade“
Diesen spickt man mit ein paar Zahlen und Sonderzeichen, dann kommt so etwas dabei heraus:
5ZF$mialBmE.
Um jetzt nicht überall das Selbe PW zu nutzen, hängt man den Einsatzzweck noch hinten dran. Z.B. GMXMail, oder GMX etc. für einen GMX-Account: 5ZF$mialBmE.GMX-Mail
Leicht zu merken und dennoch praktisch nicht zu erraten.
Es ist durchaus möglich, sich solche Langen Passwörter zu merken. Ein etwa 15-Zeichen langer „Salt“, an den wiederum je nach Dienst eine 7 Zeichen lange Zeichenkette gehängt wird. Dann hat man ein 22 Zeichen langes Passwort, muss sich pro Dienst jedoch bloß 7 Zeichen merken. So hat @#8 das auch schon beschrieben.
Ich habe das eine Zeit lang genutzt, allerdings verwende ich inzwischen KeePass(X) um meine Passwörter zu verwalten. Nur die wichtigsten Sachen merke ich mir jetzt noch. Das hat auch seine Vorteile. Wenn man sein eigenes Passwort nicht kennt, kann man es auch nicht verraten.^^
Allerdings sollte man auch nicht zu paranoid werden :P Doch er starke Sicherheitsgewinn ohne Mehraufwand, da ein Passwortverwaltungs-Programm sowieso verwendet wird ist durchaus zu rechtfertigen.
Ich ärgere mich viel mehr über gewisse Dienste, die eine maximal Länge angeben. Es ist einfach unnötig, das Passwort auf 12 Zeichen o. ä. zu begrenzen, da dieses sowieso gehasht werden sollte.
Mir erscheint diese Lösung eher unpraktikabel: Aus Admin-Sicht mag das Sinn ergeben, aber kaum ein User wird mit Verständnis reagieren, wenn er ein Passwort nicht wählen kann, weil es schon (ein paar Mal) verwendet wird.
Und mal ganz allgemein: Passwörter sind einfach ein Krampf im Arsch. Es ist aufwändig, sich an alle Regeln für Passwörter zu halten (komplex, häufig ändern, unterschiedliche Passwörter für unterschiedliche Dienste), und auch ein Passwort-Safe ist nur bedingt eine Lösung.
Und das nennt Microsoft eine Lösung?!
Wenn ich also irgendwo einen Account erstelle und mir gesagt wird, dass dieses Passwort schon vergeben ist, dann werde ich doch wohl nur misstrauisch. Denn das würde ja heißen, alle Passwörter werden einmal durchgegangen und ausgelesen wenn jemand neues hinzukommt…
Hört sich doch nach einer neuen angreifbaren Stelle an.
PS. meine 14 Zeichen langen, unsinnigen Passwörter schreibe ich mir auf ein Postit und klebe es an den Monitor, nach ca 3 Wochen weiß ich es automatisch auswendig.
Die Größe des Datenträgers mit der Einheit, dazu eine für mich schlüssige Bezeichnung des Datenträgers, eine einfache Zahlen/Sonderzeichenkombination, die Bezeichnung des Datenträgers mit logisch vertauschten Buchstaben und noch ein paar Sonderzeichen und Ziffern, die sich als Gleichung aus der Quersumme der Größe des Datenträgers mit einer unbekannten ergeben.
Das System ist immer gleich, deswegen sind alle diese Passwörter für mich leicht zu merken, absolut sicher, da komplett unterschiedlich und mittlerweile hab ich diese Passwörter mit 40+ Zeichen in 4 Sekunden eingegeben…
Also wer will, kann sich auch sichere Passwörter merkbar machen, ohne sie unter die Tastatur zu kleben…
Das mit den Passwörter für wenige User ist doch voll nervig.
Ich dreh schon durch wenn ich mich wo anmelde und 10 Mal irgendwelche Nutzernamen ausdenken muss – wenn da jetzt noch ein unique Passwort dazukommt ( dann am besten noch min. 5 und max 8 zeichen -.- ) hängt man ewig bei anmeldungen rum und bekommt die geduld auf die probe gestellt -> Absolut Nutzerunfreundlich imho.
das ist absoluter Schwachsinn – und hast es einfach nicht verstanden.
Wenn man ein solches System umsetzen würde, müsste ein Hacker einfach nur herausfinden, welches Passwort schon (beispielsweise) 5 mal vorhanden ist und dieses dann bei allen Usern per Script ausprobieren. Nach wenigen Minuten hätte der Hacker schon 5 gehackte Accounts.
Wörterbuchattacke? Lächerlich. Hacker gehen doch nicht mit einer Wörterbuchattacke vor. Schau dir mal einschlägige Foren an, da findest du Listen mit 500.000 “beliebten” Passwörtern – mit ordentlichen Scripten kann man damit weit mehr Accounts hacken.
Wer also sicher im Internet unterwegs sein will, sollte folgendes beachten:
1. Passwörter mit mindestens 8 Zeichen (Buchstaben, Sonderzeichen, Leerzeichen, Zahlen, etc.)
2. Man sollte einen sicheren Mail-Anbieter haben, mit einem sicheren Passwort.
3. Bei jedem Anbieter ein neues Passwort wählen.
4. Keepass benutzen (Verwalten von Passwörtern)
********
Probiert es mal aus!
Ich denke so etwas sollte in den meisten Fällen völlig ausreichen.
Weg von Kennwörtern, hin zur Authentisierung über SmartCard und PIN.
Ja klar, weg von Passwörtern und zur Smartcard und PIN. Schön und gut, aber was ist, wenn ich z.B. einen Mail-/Twitter-/{Dienst einfügen}-Account machen will, der mit anderen Accounts in keinster Weise in Verbindung stehen soll?
Mit diese “Internet-ID”, respektive Smartcard, die du meinst, wäre das nicht möglich. Das wäre das Ende des halbwegs anonymen Internets.
Irgendwann wirds so kommen, keine Frage…. Aber diese Sche**e soll sich ruhig Zeit lassen.
Wörterbuchattacke? Lächerlich. Hacker gehen doch nicht mit einer Wörterbuchattacke vor. Schau dir mal einschlägige Foren an, da findest du Listen mit 500.000 “beliebten” Passwörtern – mit ordentlichen Scripten kann man damit weit mehr Accounts hacken.
Definition (Wikipedia):
Als einen Wörterbuchangriff (engl. dictionary attack, frz. attaque par dictionnaire) bezeichnet man die Methode der Kryptoanalyse, ein unbekanntes Passwort (oder Benutzernamen) mit Hilfe einer Passwörterliste (oft auch wordlist oder dictionary genannt) zu entschlüsseln.
Erst informieren (oder nachdenken), dann meckern!
Das ist so, als ob man einen Schlüssel im Treppenhaus findet und nur noch nicht weiß, zu welcher Wohnung er passt.
Ich klebe mir meine Passwörter zwar nicht unter die Tastatur, aber dort sind sie absolut sicher vor Hackern. Insofern ist das wirklich nicht die schlechteste Lösung, gerade im Vergleich zu dem, wie die meisten Menschen mit Passwörtern umgehen.