it-security:passwords

Sichere Passwörter

Version 3.1

In der heutigen Zeit werden Passwörter immer wichtiger. Online Banking, FTP Zugänge und Webseiten Accounts zwingen uns, immer mehr Passwörter zu besitzen. Sicherlich kann man alles mit einem Passwort verwalten, aber ob das im Sinne der Sicherheit liegt das wage ich zu bezweifeln. In diesem Tutorial werde ich darauf eingehen wie ein Passwort aussehen sollte und was man beim Verwalten beachten sollte.

Fangen wir an und klären zunächst zwei Dinge: Der falsche und der richtige Umgang mit Passwörtern, sowie den nicht realisierbaren Idealzustand.

Der ideale Umgang mit Passwörtern sähe wie folgt aus: Integriert in unserem Gehirn wäre eine MySQL Datenbank, welche unendlich Informationen aufnehmen könnte und diese jederzeit abrufen könnte. Dann wären wir in der Lage, jedes Passwort zu behalten. Dies ist natürlich vollkommen utopisch. Zumindest beim heutigen Stand der Technik. Was wir aber nicht können, kann ein Computer für uns erledigen. Aber dazu später mehr.

Gehen wir auf ein paar Dinge ein, die grundlegend falsch in Sachen Passwort Verwaltung sind:

  1. Passwörter sollten niemals aufgeschrieben werden
  2. Passwörter in einer Textdatei auf dem Rechner verwalten ist auch nicht sicher
  3. Unter die Tastatur kleben ist auch nicht gerade ideal

Passwörter sollten überlegt gehandhabt werden. Es gibt soviele verschiedene Methoden wie Passwörter angreifbar sind, dass wir nicht einfach unüberlegt handeln dürfen. Es gibt mehrere Methoden wie man die Verwaltung gut und sicher handhaben kann:

  1. Passwort Matrizen
  2. Spezielle Hardware
  3. Kartenunterstützte Passwort Verwaltungssysteme
  4. Passwort Programme

Ich werde im weiteren Verlauf näher auf die Passwort Programme eingehen, da diese für den Privatanwender am sinnvollsten sind.

Passwort Programme sind meistens Datenbanken, welche den Datenbestand übersichtlich speichert. Was muss ein solches Programm können?

  1. Es sollte ein Passwort Generator integriert sein
  2. Die Datenbank muss durch ein Master Passwort geschützt sein
  3. Einstellbare Länge
  4. Kombination von Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen
  5. Die Datenbank darf nicht im Klartext gespeichert sein

Ein solches Programm ist hier zu haben.

Ein sicheres Passwort muss bestimmte Voraussetzungen erfüllen. Auf diese werden wir nun näher eingehen.

flowchart TD A[Sicheres Passwort] B[Buchstaben] C[Zahlen] D[Sonderzeichen] E[Länge] B1[A-Z] B2[a-z] C1[0-9] D1[+-!?_-] E1[12] A-->B A-->C A-->D A-->E B-->B1 B-->B2 C-->C1 D-->D1 E--mindestens-->E1

So nicht:

  • „qwrt“ und ähnliche Tastaturkombinationen
  • Reine Zahlen
  • Reine Buchstaben
  • Einfache Wörter wie sex, gott etc.
  • Keine persönlichen Daten wie Name der Schwester oder Geburtsjahr

Ein gutes Passwort sollte min. 12 Zeichen besitzen. Hinzu kommt, dass es eine Kombination aus Zahlen, Groß-, Kleinbuchstaben und Sonderzeichen sein sollte. Beispiele für gute und sichere Passwörter sind: ZfA5ZWc~$w8A j?7!!G54ks54 @ZT§$&3&?D7€ ?1~3€G1EN2!! Da wir sicherlich Probleme hätten, solche Passworte zu behalten bin ich zuvor auf die Programme eingegangen, welche diese verwalten können.

Wenn kein Passwort mit einem Programm erstellt werden soll, gibt es eine recht einfache Methodik, um sich selber sichere Passwort auszudenken. Wir bilden einen Satz:

Ich bilde einen Satz mit Groß- & Kleinbuchstaben und den Zahlen 0 und 9

Wir nehmen jeweils die Anfangsbuchstaben des Satzes, das Sonderzeichen und die Zahlen und bilden daraus das Passwort:

IbeSmG&KudZ0u9

So kann man recht schnell und einfach ein Passwort erstellen, welches auch im Gedächtnis bleibt.

Um im Internet eine gewisse Grundsicherheit seiner Daten zu gewährleisten, ist es wichtig einige Dinge zu beachten:

  • Passwörter sollten immer über eine SSL Verbindung geschickt werden
  • Für jede Seite ein anderes Passwort benutzen
  • Die Grundlagen Windows Sicherheitstipps beachten
  • Passwörter niemals weitergeben

Wo immer es geht, sollten MFAs (Multifaktorauthentisierung) genutzt werden (z.B. über eine Authenticator-App oder ein Hardware-Token).

Die Zeiten sind vorbei, in denen wir sorglos mit Zugangsdaten hantieren konnten. Phishing Strategien und Hacker Angriffe nehmen immer mehr zu und man muss sich dem Trend anpassen, um dagegen wirken zu können. Natürlich gibt es nie eine 100% Garantie auf Sicherheit aber man kann zumindest gute Vorsorge treffen, um nicht Opfer von Datenklau zu werden.

Ein praktisches Tool zum generieren von Passwörtern gibt es hier im Wiki.

  • it-security/passwords.txt
  • Zuletzt geändert: 2024/01/18 23:18
  • von psycore