Ein sicheres Passwort ist das wichtigste Mittel gegen Gefahren im Internet.
Dein Passwort oder Kennwort ist der wichtigste Schutz gegen Kriminelle im Internet. In dieser Folge schauen wir uns die “3 goldene Regeln sicherer Passwörter” an. Damit kannst du am Ende die Frage beantworten “Wie sicher ist mein Passwort wirklich?”. Und du weisst, wie du dir ein sicheres Passwort erstellst.
Sei gespannt: Ich erzähle dir auch die nicht wirklich ruhmreiche Geschichte meines super-sicheren Passworts… Eine (leider) wahre Story 🙂
Die 3 goldene Regeln sicherer Passwörter
- Nie ein Passwort doppelt verwenden
- Zufällige Passwörter, keine Systeme
- Passwörter müssen lang sein. Mindestens 24 Zeichen.
Wenn Du diese drei Regeln befolgst kannst Du die Frage „Wie sicher ist mein Passwort“ definitiv mit „Sehr sicher“ beantworten.
UPDATE: Um auf die Frage nach „der richtigen Länge“ einzugehen habe ich zu Regel Nummer 3 ich unten mehr Details hinzugefügt.
Diese Regeln sind auch praktisch, wenn Du wirklich sichere Antworten auf Sicherheitsfragen erstellen möchtest.
Tipp
Ein Passwortmanager kann Euch helfen ein sicheres Passwort zu erzeugen. Ich stelle meine Empfehlung KeePass [1] in der nächsten Folge des Podcasts vor.
Links
[ 1 ] Passwortmanager KeePassAuch praktisch zum Erzeugen zufälliger Passwörter. [ 2 ] Email-Adressen als Benutzerkennung [ 3 ] Have I been pwned
Zum Test, ob Eure EMail und das Passwort von einem Anbieter gestohlen wurden. Ihr könnt gefahrlos den Email-Test verwenden. AUF KEINEN FALL verwendet den Passwort-Test auf der Seite mit echten Passwörtern. Man kann nie ausschliessen, dass Eure Eingaben in falsche Hände fallen. [ 4 ] Passwörter allgemein [ 5 ] Entropie von Passwörtern (Uni Weimar, gut aber sehr theoretisch)
im Wortlaut: die komplette Folge zum Nachlesen
Wie sicher ist mein Passwort?
Hallo und herzlich willkommen zu einer neuen Folge der Datenwache. Ich bin Mitch und heute schauen wir uns die 3 goldenen Regeln sicherer Passwörter an. Am Ende der Folge solltest Du Dir auch die Frage “Wie sicher ist mein Passwort” beantworten können.
Dies ist dann auch der Auftakt einer Miniserie rundum den Schutz eurer Anmeldeinformationen. Ihr lernt also in dieser und in den nächsten 2 Folgen, wie ihr eure Zugänge zu Diensten wie zum Beispiel Google oder Ebay gut absichert.
Aber zunächst schauen wir uns mal an, was sind eigentlich
- die Gefahren schlechter Passwörter und
- wie kommen Kriminelle an eure Passwörter heran
und natürlich schließen wir wie immer mit Tipps rundum, wie man sich sichere Passwörter generiert und was sichere Passwörter eigentlich ausmacht.
Warum brauchst Du ein gutes Passwort?
Die 1. Frage, die man sich stellen kann, ist, warum braucht es überhaupt ein sicheres Passwort? Wenn Du Dich fragst, „Wie sicher ist mein Passwort“, dann bist Du ja schon auf den richtigen Weg.
Wenn man sich jetzt mal anschaut, wie man sich in ein Benutzerkonto, wie zum Beispiel bei Google einloggt, dann ist das typischerweise eine Kombination aus
- einer Benutzerkennung wie zum Beispiel der E-Mail-Adresse oder einem Benutzernamen und
- einem Passwort.
Deine Benutzerkennung ist kein Geheimnis
Jetzt ist das Problem einfach, diese Benutzerkennung kann relativ offen sein, kann relativ bekannt sein. Eure E-Mail-Adresse zum Beispiel, wenn ihr jetzt nicht für jeden Dienst eine eigene zufällige E-Mail-Adresse verwendet, ist höchstwahrscheinlich vielen Leuten bekannt. Die benutzt ihr irgendwo öffentlich, gegebenenfalls postet ihr die auch irgendwo, die kennt man, die kann man erraten.
Dein Passwort ist Dein bester Schutz
Dann ist also der einzige Schutz wirklich nur noch ein Passwort, das möglich nicht zu erraten sein sollte.
Wenn jetzt dieses Passwort wegkommt, dann hat der Dieb zumindest mal Zugriff auf diesen einen Account.
Das heißt, wenn ihr jetzt ein Benutzerkennung bei Ebay habt, eure E-Mail-Adresse ist vielleicht eine Sache, die man in irgendeiner Form von euch erfahren kann oder jemanden kennt, der die kennt und dann die von dem bekommen kann, dann ist das Passwort der einzige Schutz. Ist das Passwort weg, dann ist euer Zugang zu Ebay weg.
Wenn ihr jetzt zum Beispiel bei mehreren Diensten dasselbe Passwort verwendet, dann habt ihr natürlich das Problem, dass unter Umständen mit einem Passwort alle eure Dienste auf einmal weg sind.
REGEL 1: Für jeden Dienst ein eigenes Passwort
Damit kommen wir auch direkt zu der 1. goldenen Regel, ihr braucht wirklich pro Dienst ein eigenes Passwort und das muss komplett unterschiedlich sein. „Wie sicher ist mein Passwort“ mit „Sehr sicher“ zu beantworten erfordert auf jeden Fall unterschiedliche Passwörter für jedes Benutzerkonto.
Wir gehen gleich drauf ein, was komplett unterschiedlich bedeutet und warum das wichtig ist, aber das ist die 1. goldene Regel, für jeden Dienst ein eigenes Passwort.
Deine Zugangsdaten sind Geld wert
Denn ihr müsst euch darüber im Klaren sein, solche Kombinationen aus gültigen Benutzerkennungen und Passwörtern, die sind richtig Geld wert.
Da geht es jetzt nicht nur da drum, dass vielleicht euer Ex-Freund eure E-Mail mitlesen kann oder auch bei Facebook irgendwie gucken kann, was ihr denn da treibt oder beim Messenger schreibt, sondern da geht es zum Teil um richtig Geld. Wenn man zum Beispiel einen PayPal-Account mit Guthaben hat oder wo eine Kreditkarte hinterlegt ist, dann sind diese Benutzerkennungen richtig Geld wert und da gibt es große Börsen im Netz, wo solche gültigen Accounts verkauft werden.
Seid euch also darüber im Klaren, das ist wirklich wichtig, dass ihr eure Benutzerkonten richtig absichert.
Die Statistiken zeigen leider, viel zuviele Passwörter werden noch mehrfach verwendet:
Stell dir mal den Worst-Case vor: alle Accounts gesperrt
Ihr müsst euch nur mal vorstellen, was es bedeuten würde, wenn ihr euch zu keinem eurer Konten mehr einloggen könnt, weder zu Facebook noch zu Google noch zu eurer Postbank, zu irgendwelchen Sachen, was das für dramatische Auswirkungen hat.
Also Benutzerkonten gehören abgesichert und sichere Passwörter sind die absolute Basis. Jetzt wissen wir also Benutzerkennung und Passwörter sind im Internet richtig Geld wert, jetzt ist natürlich die Frage, wie kommen Kriminelle überhaupt an die Passwörter?
Wie kommen Kriminelle an Passwörter?
Wir lassen jetzt mal so den Fall außen vor, dass ihr euer Passwort mit einem Post-it an den Monitor hängt und irgendjemand das Passwort dann sieht und sich entsprechend notiert.
Dann gibt es noch 2 andere Szenarien.
Passwörter können abgehört werden
Entweder kann euer Passwort in irgendeiner Form abgehört werden oder es wird gestohlen.
Abgehört, da gibt es eigentlich so 2 Möglichkeiten.
- Zum einen könnt ihr, wenn ihr zum Beispiel in einem unsicheren Netzwerk wie in einem nicht verschlüsselten Restaurant-WLAN unterwegs seid, kann es sein, dass wenn ihr eine nicht verschlüsselte Verbindung habt oder wenn der Dieb entsprechend technischen Aufwand treibt, dass eure Passwörter mitgelesen werden.
- Genauso könnt ihr euch eine Schadsoftware, irgendeinen Trojaner auf dem Rechner einfangen und der kann mitlesen, was ihr da tippt.
Da hilft auch die Qualität des Passworts nichts mehr, das ist ein anderes Problem, das kann ein gutes oder ein schlechtes Passwort sein, wenn jemand es mitlesen kann, dann weiß er das Passwort, da ist die Qualität egal.
Passwörter können bei einem Anbieter gestohlen werden
Was wir uns jetzt hier anschauen, ist, wenn Passwörter gestohlen werden, und zwar wenn Passwörter bei Anbietern gestohlen werden wie zum Beispiel so E-Mail-Anbietern wie Yahoo.
Das heißt Diebe brechen auf den Systemen ein und klauen dort die Listen von Passwörtern.
Wie werden Passwörter beim Anbieter gespeichert?
Jetzt kann man sich natürlich die Frage stellen, warum sind denn die Passwörter überhaupt beim Anbieter gespeichert, wenn die da geklaut werden können? Naja, wenn ihr euch einloggen wollt bei Yahoo, dann muss ja irgendwie Yahoo feststellen, ob ihr es wirklich seid. Ihr habt am Anfang dann halt einmal ein Passwort festgelegt und zusammen mit der E-Mail, die ihr angegeben habt, müsst ihr dieselbe E-Mail und dasselbe Passwort wieder eingeben, damit ihr euch dann einloggen könnt und Zugriff bekommt.
Hoffentlich nicht im Klartext: Passwörter werden verschlüsselt gespeichert
Jetzt sind die Gott sei Dank alle auch soweit oder die meisten zumindest soweit, dass diese Passwörter nicht im Klartext in irgendwelchen Listen gespeichert werden.
Das heißt, wenn da jemand einbricht und die Liste klaut, dann sieht er nicht gleich, dass der Michael bei Yahoo das Passwort 123 hat, sondern die werden verschlüsselt gespeichert.
Und zwar werden die so verschlüsselt gespeichert, dass ein Code generiert wird, das heißt ihr tippt euer Passwort ein, dahinter passiert ein bisschen Mathematik und dann wird ein Code in diese Liste geschrieben und aus diesem Code kann keiner mehr sagen, wie eigentlich mein Passwort war.
Jetzt könnte man sich fragen, was macht das denn für einen Sinn? Aber die Idee ist jetzt, wenn ich mich wieder einlogge, dann tippe ich wieder mein Passwort ein, dann wird wieder dieselbe Mathematik drauf angewandt und dann kommt wieder ein Code raus und wenn der Code, der da rauskommt, derselbe Code ist, der neben meiner E-Mail-Adresse in der Liste steht, dann habe ich offensichtlich das richtige Passwort eingegeben und darf dann entsprechend den Dienst benutzen.
Das Ganze wird gemacht schlicht und ergreifend aus dem Grund, kommt die Liste weg, hat nicht jemand alle Passwörter im Klartext, sondern er hat diese Codes und die Mathematik soll so kompliziert sein, dass man aus diesen Codes nicht die Passwörter berechnen kann.
Was machen Kriminelle mit den verschlüsselten Passwörtern?
Das heißt der Dieb hat jetzt eine Liste geklaut, da stehen E-Mail-Adressen drin und da steht Codes drin, aber aus den Codes kann er die richtigen Passwörter nicht mehr zurückrechnen und mit dem Code alleine kann er sich woanders nicht einloggen, dafür braucht er das wirkliche Passwort.
Kriminelle raten Passwörter
Jetzt ist natürlich die Frage, was tun, sprach Zeus, wie kommt er damit jetzt vorwärts?
Der Trick dafür ist eigentlich relativ einfach. Der Dieb macht jetzt genau dasselbe wie der Anbieter wie Yahoo zum Beispiel auch, er probiert es einfach aus. Das heißt man weiß mit welchen mathematischen Verfahren diese Codes berechnet werden.
Der Dieb nimmt sich jetzt dann einfach irgendein Passwort berechnet den Code und geht in die Liste und guckt, ob irgendeine E-Mail-Adresse diesen Code als Passwort-Code gespeichert hat. Wenn er dann feststellt, dass dieses Kauderwelsch, dass er gerade ausgerechnet hat, bei einer E-Mail-Adresse steht, dann weiß er, das, was ich als Versuch eingegeben habe, woraufhin ich dann mit Mathematik den Code berechnet habe, den Code finde ich in der Liste, also weiß ich das ursprüngliche Passwort.
So kann man das dann ausprobieren für viele, viele, viele Passwörter oder viele, viele Versuche und findet dann immer mehr Passwörter aus dieser Liste.
Es gibt Listen mit Milliarden von geknackten Passwörtern
Es gibt Listen im Internet, die haben Milliarden von geknackten Passwörtern schon mit ihren entsprechenden Codes dastehen, das heißt da geht man einfach mit der Liste, die man geklaut hat, hin und guckt mal, welche Passwörter man findet. Wenn das nicht fruchtet oder nicht alles fruchtet, also viele findet man damit schon, weil Passwörter oft auch gleich sind, also viele werden Passwort 123 auch irgendwo verwenden, dann werden Wörterbücher benutzt oder Kombinationen von Wörtern ausprobiert und Buchstaben drangehängt.
Grafikkarten knacken Passwörter extrem schnell
Wenn man zum Beispiel sich vor Augen führt, dass eine Grafikkarte in der Lage ist, eine moderne, Milliarden von Kombinationen auf Passwörtern in kurzer Zeit auszuprobieren, dann ist eine Regel ganz wichtig, und zwar ist das goldene Regel Nummer 2, ihr dürft auf keinen Fall vorhersagbare Passwörter verwenden, die irgendwo in Listen auftauchen könnten oder Kombinationen davon. Um die Frage „Wie sicher ist mein Passwort“ positiv beantworten zu können gilt also
REGEL 2: Passwörter müssen zufällig sein
Das heißt euer Passwort muss zufällig sein und da werde ich euch am Ende bei den Tipps auch erklären, woher ihr sowas bekommt.
Mein super-geheimes Passwort: Eine (leider) wahre Geschichte
Da kann ich euch eine kleine Geschichte zu erzählen, und zwar war es zu Beginn meiner Diplomarbeit, ich bekam Zugang auf das Rechencluster des Lehrstuhls und entsprechend mit meiner Benutzerkennung durfte ich mir auch ein Passwort auswählen.
Da hielt ich mich ja für einen relativ schlauen Hund und habe mir gedacht, dann nehme ich meinen Vornamen, hänge hinten meine Matrikelnummer dran, die kann ich mir merken und da kommt ja im Leben kein Mensch drauf, weil wer soll das schon erraten?
Naja, es dauerte nicht wirklich lang, da bekam ich vom Administrator unseres Computerclusters eine Mail, die vor Häme strotzte, wo er mich fragte, was michael5 denn bitteschön für ein Passwort sein soll?
Was hatte der gemacht? Der hatte ganz automatisch jede Nacht, um schlechte Passwörter, was das ja wohl wirklich wahr, zu identifizieren, so ein Programm laufen lassen, genauso wie es solche Passwortdiebe, Kriminelle auch verwenden.
Der hat sich diese Datenbank genommen, da stand meine Benutzerkennung drin und dieser Code, dieses Kauderwelsch. Dann hat er einfach dieses Programm raten lassen und ausprobieren, was das denn für ein Passwort wohl sein könnte.
Da hat er solche Sachen genommen wie Vorname, Nachname, irgendwelche Kombination von Zahlen, naja, für michael5 musste der nicht lange raten. Jetzt könnt ihr euch fragen, 5 wird ja wohl nicht die Matrikelnummer gewesen sein, das war ja wohl nicht 5. Student an der Universität. Na, da war dann tatsächlich auch noch das Problem, muss man halt wissen, dass Unix zu der Zeit nur 8 Zeichen lange Passwörter erlaubte. michael hat 7 Zeichen und dann hat das alles abgeschnitten, was nach dem 8. Zeichen kam, das heißt meine Matrikelnummer fing mit 5 an, so hatte ich michael5 als Passwort.
Ist Gott sei Dank rausgefiltert worden, heute zeigen euch Passwort-Dialoge ja auch gerne mal an, wenn euer Passwort zu einfach ist. Solltet ihr ernstnehmen. Die Frage „Wie sicher ist mein Passwort?“ stelle ich in dem Zusammenhang mal besser nicht …
Systematisches Ausprobieren oder Brute-Force
Wenn ihr jetzt ein Passwort habt, wo ihr sagt, Mensch, ist ja richtig schön zufällig, taucht in keiner Datenbank auf, kann kein Mensch erraten und es kann wirklich keiner erraten, nicht nur weil ihr das meint, sondern wirklich, weil das eine gute Sache, eine gute zufällige Sache ist, dann gehen solche Passwortdiebe typischerweise da dran und sagen, dann wird sowas halt, wenn wir es nicht mit Datenbanken rausfinden, mit roher Gewalt, also Brute-Force einfach ausprobiert.
Dann fängt man, man probiert den Code für a aus, man probiert den Code für b aus, wenn man mit abc durch ist, probiert man die Codes für aa, ab, ac aus und macht lustig so weiter. Das heißt, wenn ihr jetzt eine komplett zufällige Zahl habt von 5 Ziffern, dann könnt ihr, wir haben ja eben gelernt, eine moderne Grafikkarte schafft Milliarden von Kombinationen in kürzester Zeit, wenn ihr so eine 5-ziffrige Zahl als Passwort habt, total zufällig, könnt ihr davon ausgehen, die hält keine Sekunde, dann ist das Thema damit durch.
Das heißt ihr könnt so ein zufälliges Passwort haben wie ihr wollt, ihr könnt auch unterschiedliche Passwörter haben wie ihr wollt, die müssen auch noch lang sein, damit jemand nicht durch Zufall ein Passwort erraten kann.
Das sind leider keine zufälligen Passwörter:
Amazon | MeinGeheimesAmazPassw |
MeinGeheimesFacePassw |
Selbsterdachte Systeme solltest Du vermeiden.
REGEL 3: Passwörter müssen lang sein
Damit kommen wir auch zu Regel Nummer 3. Regel Nummer 3 ist, Passwörter müssen lang sein, Passwörter müssen mindestens 24 Zeichen oder mehr haben. Damit haben wir eigentlich jetzt auch die Grundlagen zusammen und haben die 3 Regeln erarbeitet. „Wie sicher ist mein Passwort“ könnt ihr umso positiver beantworten, je länger Euer Passwort ist.
Speziell die „richtige“ Länge von Passwörtern ist immer Gegenstand von Fragen und Diskussionen. Und die Frage „welche Länge ist ausreichend“ kann ich leider nur mit einem „es kommt drauf an“ beantworten.
Und zwar kommt es auf die Zufälligkeit (Entropie) [ 5 ] des Passworts an.
Die Zufälligkeit eines 12 Zeichen langen Passworts, das zufällig aus
- Groß- und
- Kleinbuchstaben,
- Ziffern und
- Sonderzeichen
besteht, ist besser als die eines 24 Zeichen langen Passworts eines Bibelzitats in Kleinbuchstaben.
Der Hintergrund meiner Empfehlung ist der, dass ein 24 Zeichen langes, nicht komplett triviales Passwort, sicher genug sein sollte. Selbst wenn es nicht perfekt zufällig ist.
Trotzdem ganz klar die Empfehlung: geht keine Kompromisse ein.
Erzeugt und verwaltet Eure Passwörter mit einem Passwortmanager und Ihr seid auf der sicheren Seite.
Die 3 goldene Regeln sicherer Passwörter
Fassen wir die nochmal zusammen.
- Regel Nummer 1: Nie ein Passwort doppelt verwenden, immer unterschiedliche Passwörter.
Warum? Wenn ein Pass fällt, ist ein Account weg und nicht, wenn ihr überall dasselbe Passwort verwendet, dass ihr auf einmal eure komplette digitale Identität verliert.
- Regel Nummer 2: Zufällige Passwörter, keine Systeme
Egal wie clever ihr seid, Systeme sind nichts.
Benutzt es wirklich so, dass ihr für jeden Diensten ein eigenes Passwort verwendet und diese Passwörter müssen komplett zufällig sein.
Wir werden nochmal eine Folge darüber machen, wie man zufällige Passwörter, die man sich auch gut merken kann, erzeugen kann.
Für den Anfang ist es so, zufällige Passwörter kann euer Computer euch generieren, es gibt dafür Passwort-Manager.
Ich werde in der nächsten Folge darauf eingehen und in den Shownotes euch aber auch schon mal welche verlinken, damit ihr sehen könnt, das sind Tools, die helfen euch die Passwörter aufzubewahren, aber sie helfen euch auch diese Passwörter zu erzeugen. Sowas müsst ihr verwenden, weil da kommen zufällige Passwörter raus. Was ihr euch ausdenkt, ist typischerweise, der Mensch ist nicht geeignet für Zufall.
- Regel Nummer 3: Passwörter müssen lang sein.
Mindestens 24 Zeichen, sonst kann eine Grafikkarte oder viele, viele Grafikkarten zusammen können diese Passwörter sonst erraten. Also so lang wie möglich, so lang wie erlaubt. Ihr müsst sie euch ja nicht merken, ihr sollt sie ja abspeichern. Erkläre ich euch in der nächsten Folge. Damit haben wir jetzt auch schön die Grundlagen für gute Passwörter uns angeschaut. Wir haben gelernt, nie ein Passwort doppelt verwenden, immer zufällige Passwörter verwenden und mindestens 24 Zeichen lange Passwörter verwenden.
Wie sicher ist mein Passwort?
Um die Frage zu beantworten check Dein Passwort gegen die drei Regeln. Und generiert einfach mal neue, sichere Passwörter. Ein Passwortmanager, wie ich ihn in der nächsten Folge vorstelle, hilft Euch dabei.
Ausblick
In der nächsten Folge schauen wir uns Passwort-Manager an, mit denen ihr gute Passwörter erzeugen könnt und diese Passwörter auch sicher aufbewahren könnt.
Dann habe ich noch eine Bitte an euch. Geht doch auf iTunes und hinterlasst einen Kommentar wie euch der Podcast gefallen hat. Das hilft mir und das hilft auch anderen diesen Podcast zu finden.
Würde mich sehr freuen und ansonsten freue ich mich darauf euch in 2 Wochen wieder was erzählen zu können, dann über Passwort-Manager.
Bis dahin alles Gute!
Euer Mitch.