In vielen Bereichen im Internet werden Passwörter gebraucht. Sei es beim Onlinebanking, dem Mailaccount, Forenbeteiligung, Browserspiele, Internetshops, die Liste kann beliebig fortgeführt werden. Es werden also sehr sehr viele Passwörter gebraucht und man muss sie sich alle merken können, deshalb neigen viele Nutzer dazu sehr einfache Passwörter zu vergeben. Zu letzt haben wir das ja bei dem Admin-Account der FDP Hille gesehen. Ich möchte Euch heute zeigen, welche Methoden angewandt werden, um Passwörter zu knacken. Außerdem gibt es ein paar einfach Grundregeln und Tipps, wie man ein sicheres Passwort erstellen kann, das man sich auch merken kann und die Vorstellung eines kleinen Helferleins - MyPasswordSave.

Es werden verschiedene Methoden der Passwortgenerierung zum Erraten eines Accountpasswortes unterschieden - der Wörterbuchangriff (engl.: dictionary attack), die Brute-Force-Methode und die Hybrid-Methode. Beim Wörterbuchangriff wird mit Hilfe eines umfangreichen Wörterbuches, dass auch die häufigsten Passwörter enthält, eine bis dato unbekanntes Passwort ermittelt. Die Brute-Force-Methode generiert eine zufällige Zeichenfolge und versucht auf diesem Wege ein unbekanntes Passwort zu entschlüsseln. Hierbei gilt je länger die Zeichenfolge ist, desto mehr Versuche werden gebraucht, um das Passwort zu knacken. Die Hybrid-Methode ist eine Kombination aus den beiden vorangegangenden Methoden. Es werden Wörter aus einem Wörterbuch mit zufälligen Zeichenabfolgen kombiniert.

Hier mal die 5 häufigsten Bereiche aus denen User Passwörter entnehmen - das Hobby, der Lieblingsurlaubsort, Name des Partners, Mädchenname der Mutter und Platz 1 belegt der Name des Haustieres. (Vgl. Sueddeutsche.de) Zwei der beliebtesten Passwörter sind im übrigen 'passwort' und die Zahlen '12345'.

Nun ist hoffentlich bewußt geworden, wie man kein Passwort vergeben sollte, aber es bleibt die Frage nach einem sicheren Passwort, dass sich auch merken läßt. Ich möchte zwei unterschiedliche Methoden vorstellen, wie man sichere Passwörter erstellen kann und welche Tipps und Tricks es hierbei noch so gibt. Bisher wird der Standpunkt vertreten das Passwörter aus 8 Zeichen ausreichend sicher sind. Da die Technick sich in den letzten Jahren weiterentwickelt hat, würde ich euch ein Passwort aus mindestens 10 Zeichen empfehlen, in denen sich Groß- und Kleinschreibung, Sonderzeichen und Zahlen abwechseln.

Eine der einfachsten und wie ich finde auch besten Methoden der Generierung eines sicheren Passwortes ist das Umwandeln eine Spruches, Zitates oder einer Strophe eines Liedtextes oder eines zufälligen Satzes. Wichtig ist, dass die genutzen Hilfen nicht zu bekannt sind, sonst sind auch diese in den Wörterbüchern der Angreifer vorhanden. Hier ein Beispiele:

• 'Lehr, o lehre mich,daß nicht mein Leben einst sei gefloh'n und verschwunden wie das verschwundene Jahr!' -> L,olm,dnmLesguvwdvJ! - besonders sicher ist dieses Passwort noch nicht, dass es keine Abwandlung erfahren hat, also fügen wir das nun noch ein -> _L,ol1,dn1Lesg&v4dvJ!

Das Passwort habe ich testen lassen. Es wird als starkes Passwort beim Passwort-Check des Datenschutzbeauftragten des Kanton Zürich eingestuft. Der Schwellwert liegt bei 80 und es würde geschätzte 1'301'945'545'698'358'009'472'439'871'096 Jahre dauern, dass Passwort zu knacken. Wenn man nun sein eigenes Passwort über diese Seite testen lassen möchtet, dann verwendet man bitte nur eine dem Passwort ähnelnde Phrase und nicht das exakte Passwort.

Auf die vorgestellte Weise kann man für jeden Account ein eigenes Passwort erstellen, dass sich relativ leicht merken läßt. Man braucht ein wenig Übung, aber wenn man sein eigenes System entwickelt hat, dann merkt man sich solche Passwöter auch relativ schnell. Zu beachten ist das keine Umlaute verwendet werden, da man ja auch auf ausländischen Tastaturen sein Passwort eingeben können möchte.

Eine andere Methode ist eine Kombination der eben vorgestellten Weise eine Passwort zu erstellen und jeweils nur eine Abwandlung pro Account dieses einen Passwortes zu benutzen. Am besten etwas das in Verbindung zum Account steht. Beispielsweise _L,ol1,dn1Lesg&v4dvJ!_mail für einen Mailaccount. Das Grundpasswort ist immer noch sehr schwer zu knacken und der zweite Teil ist alleine nicht nutzbar für einen möglichen Angreifer.

Ein weiterer Vorschlag zur Passworterstellung wäre einen Zettel mit zufälligen Buchstaben zu haben, so etwas wie Suche die Begriffe in diesem Textfeld, aber eben ohne Begriffe. Hierbei merkt man sich nur den Weg durch den Zettel zur Passworterstellung. Ein Beispiel:

Dieses Textfeld sollte natürlich auch Sonder- und Satzzeichen sowie Groß- und Kleinschreibung enthalten. Außerdem sollte es weitaus größer sein und der Weg sollte zehn Schritte umfassen, um auf ein 10 Zeichen langes Passwort zu gelangen.

Es wird häufig angeraten, dass man sein Passwort nicht auf Zettel schreiben und diese in der Nähe des Rechners haben sollte. Ich würde unterscheiden, um was für einen Rechner es sich handelt. Ist es mein privater Rechner, den ich alleine gebrauche, würde ich eine Passwortliste durchaus als empfehlenswert erachten, um zu einfach gewählte Passwörter zu vermeiden. Nagtürlich sollte auch hierbei der Zettel nicht allzu auffällig in der Gegend rumliegen. Ist es allerdings der Rechner an meinem Arbeitsplatz, würde ich von solch einer Liste dringend abraten. Gerne werden die Zugangspasswörter auf einem Klebezettel unter der Tastatur vermeindlich versteckt oder aber irgendwo im Umfeld des Rechners. Dies wissen auch die Menschen, die sich unrechtmässig Zugang zu einem Rechner verschaffen wollen und werden den Klebezettel finden.

Nun zu dem kleinen Helferlein bei der Passworterstellung als auch beim Merken von Passwörtern - MyPasswordSave. MyPasswordSave ist ein systemunabhängiges Programm, dass sich auch auf Disketen oder USB-Sticks betreiben läßt. Das Programm speichert Passwörter in einer verschlüsselten Datei auf dem Rechner. Es läßt sich nur über das Masterpasswort zum Programm öffnen, das dementsprechend stark gewählt werden muss. Sonst nützt das Ganze nichts. Der Vorteil des Programmes liegt auf der Hand - es muss sich nur noch ein Passwort gemerkt werden und es ist möglich, das Programm die ganze Zeit dabei zu haben. MyPasswordSave kann aber mehr als nur das Speichern von Passöwrtern. Es kann auch sichere Passwörter generieren, dabei ist die Zeichenlänge über die Einstellungen variabel.

An dieser Stelle beende ich den Artikel zur Passwortsicherheit. Es gibt noch unendlich viel zum Thema zu schreiben. Die vorgestellten Methoden sind umstritten, wie bei allem gibt es immer zwei oder mehrere Seiten einer Sache. Ich denke aber das es mir gelungen ist einen EInblick in das Thema Passwortsicherheit zu vermitteln und Tipss dazu mit auf den Weg zu geben. Eines möchte ich aber noch vorstellen, nämlich Keepass. Keepass ist ein ähnliches Programm wie MyPasswordSafe. Allerdings nutze ich es nicht, so dass ich es leider (noch) nicht vorstellen kann. Jetzt bin ich auf eure Meinungen zum Thema gespannt - vielleicht nutz ja einer von Euch Keepass und kann etwas dazu sagen.

Nachtrag: Das Programm heißt MyPasswordSafe und nicht MyPasswordSave. Der Fehler ergab sich leider, da das Programm bei mir unter falschen Namen abgelegt wurde.