Viren, Spyware, Datenschutz 11.211 Themen, 94.124 Beiträge

Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!

Olaf19 / 71 Antworten / Flachansicht Nickles

Hallo zusammen!

Wir leben in einer Passwort-Welt. Für bald jeden Atemzug im digitalen Dasein muss man sich registrieren, einloggen, authentifizieren. Mittlerweile gibt es schon Software, um die Sintflut an Passwörtern zu verwalten, denn immerhin sollen wir ja

  • jedes Passwort nur 1x verwenden, also für einen Zweck,
  • Passwörter regelmäßig umstellen, für den Fall, dass es jemand geknackt hat,
  • Passwörter möglichst lang und kryptisch gestalten

Für mich ergeben sich in diesem Zusammenhang zwei Fragestellungen, in die die Sicherheitsexperten unter euch vielleicht ein wenig Licht bringen können.

Erste Frage: Es gibt bei mir zwei Passwörter, die die oben benannten strengen Kriterien nicht erfüllen. Das ist zum einen mein Benutzerkennwort für Mac OS X, zum anderen das Zugangskennwort für die Benutzung meiner Fritz!Box. Diese Passwörter sind kurz und einfach und ich ändere sie nie. Warum?

Nun, diese Passwörter unterscheiden sich von allen anderen in einem wesentlichen Punkt: sie sind "nur zuhause" nutzbar. Es hat wenig Sinn, in einem Internetcafé, "fritz.box" einzugeben - ich erreiche meine Fritz!Box damit nicht. Wenn überhaupt, dann vielleicht eine andere. Auch zuhause erreiche ich die Fritz!Box meines Nachbarn nicht, da ich ja über mein eigenes WLAN surfe und nicht über seins.

Bei Mac OS X verhält es sich im Prinzip genau so. Okay - mein MacBook nehme ich oft mit, wenn ich unterwegs bin. Würde es mir gestohlen, so könnte der Neubesitzer dort Software installieren, die nicht von Apple autorisiert ist - dafür, besser dagegen, ist das Passwort da. Nur, wenn das Book weg ist, könnte mir das auch egal sein. Dann hätte ich andere Sorgen.

Die Frage lautet also: welchen Sinn hätte es, für mein Mac OS X-Benutzerkonto oder die Fritz!Box kryptische Passwörter zu vergeben? Was habe ich da möglicherweise übersehen?

Zweite Frage: Gegen die Passwörter-Administrationsprogramme habe ich eine instinktive Abneigung. Ich möchte lieber zu einer eigenen, quasi "handgemachten" Lösung kommen. Folgende Idee möchte ich euch vorstellen und hätte dann gern eine Einschätzung, ob die Idee gut ist.

Beispiel ebay: Ich konstruiere zunächst eine "Passwort-Basis", zusammengebastelt aus Verwendungszweck, Datum und einigen Fantasiezeichen, die es darauf zu kryptifizieren gilt. Diese Basis könnte etwa so lauten:

ebay15nove14(§&)

Durch diverse Metamorphosen entsteht daraus:

y1%anObVee!4(§&)

Der Verwendungszweck (fett hervorgehoben) wird also rückwärts und in festen Abständen auf das Passwort verstreut, das Datum wird durch Einzelbuchstaben des Zwecks unterbrochen, die Zahlen bleiben teilweise stehen, teilweise werden sie durch das auf der gleichen Zifferntaste platzierte Sonderzeichen ersetzt. Die Buchstaben aus dem Datum erscheinen teils groß, teils klein. Nur den Stringmüll am Ende der "Basis" habe ich unverändert gelassen.

Ich weiß - meine Methode hat einen großen Nachteil: man muss das Prinzip der Verschlüsselung schon tief in Fleisch und Blut verinnerlicht haben, ansonsten sind Tippfehler bei der Eingabe quasi unvermeidlich.

Der große Vorteil ist aber die Wartungsfreundlichkeit. Habe ich mich einmal an meine Methode gewöhnt, so kann ich in 5 Wochen nach dem gleichen Schema beginnen mit:

ebay19deze14(§&)

und ende schließlich bei:

y1)adEbZee!4(§&)

Man könnte es natürlich noch raffinierter machen, aber dann wird es um so schwieriger, sich das Kryptifizierungsprinzip zu merken, nachdem die Passwort-Basis zum echten Passwort manupuliert wird.

Bin wie immer gespannt auf eure Anmerkungen, Rückfragen und Ideen zu beiden Fragestellungen.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
gelöscht_84526 Olaf19 „Zu Brute Force habe ich eine ganz grundsätzliche Frage ...“
Optionen
Wenn ich das aber bei meiner Bank mache, dann ist der Zugang nach dem 3. Fehlversuch gesperrt.

Genau deswegen sehe ich diese ganzen Diskussionen um "sichere" und vermeintlich (!) unsichere Passwörter nicht so ganz eng.

Passwörter werden in der Regel nicht "geknackt", sondern gestohlen! Will man ein Passwort "knacken", dann kommt es in den allermeisten Fällen (also nicht nur bei der Bank) zu dem von dir beschriebenen Verhalten: Nach dem 3. oder 4. oder meinetwegen auch 5. Versuch, ein falsches Passwort einzusetzen, ist ganz einfach "Ende im Gelände"!

Klaut jedoch jemand ein Passwort und er hat es dann vor sich liegen und gibt es sofort richtig bei der entsprechenden Stelle ein, dann hat er natürlich Zugang. Deshalb ist es viel wichtiger, ein Passwort sicher aufzuheben, als ein "Monsterpasswort" mit 20 Stellen incl. Sonderzeichen und sonstigem Müll zu verwenden.

In den meisten Fällen, wo irgendwelche Daten oder sonstwas geklaut wurden, wurde ein Passwort in der Art von "123456" oder "qwertz" oder auch "asdfg" verwendet, sicher hast du das auch mal verfolgt, wenn mal wieder irgendwo über einen Datenklau berichtet wurde. Diese Passwörter werden von "Datendieben" natürlich zuerst ausprobiert, da hat man keine Mühe, nach zwei oder drei Versuchen an die "Objekte der Begierde" zu kommen. Mit einem Passwort, welches erst mittels Brute Force errechnet werden muss und an einem Rechner "ausprobiert" werden muss, ist die Chance, dass der Datenklau oder die Kontoplünderung klappt, so gut wie gar nicht gegeben - egal, ob du ein fünfstelliges oder ein fünfundzwanzigstelliges Passwort benutzt.......

Aus diesem Grunde hast du ja auch bei deiner Bankkarte "nur" eine vierstellige (!) PIN, welche zudem auch noch "nur" aus Zahlen besteht, weil diese einfach sicher genug ist. Immerhin bestehen da 10.000 Kombinationsmöglichkeiten. Wenn du mit einer fremden Bankkarte also irgendwo Geld abheben willst und willst erst die PIN erraten oder durch "Try&Error" (wie es bei Brute Force der Fall ist) versuchen, das Konto zu "knacken", dann hast du logischerweise schlechte Karten, weil der Bankautomat eben schon nach 3 falschen Versuchen "zu macht" und die Karte einzieht!

Wenn da irgendwo mal der Fall aufgetreten ist, dass mit einer fremden Bankkarte das Konto geplündert wurde, dann hat entweder die PIN auf dieser Karte gestanden (mit einem Edding draufgeschrieben) oder der Besitzer der Karte hat diese Karte zusammen mit der PIN in seiner Geldbörse aufbewahrt oder jemand hat ihm beim Abheben von Geld am Bankautomaten über die Schulter geschaut, als er die PIN dort eingegeben hat und die Karte wurde ihm anschließend von "Taschendieben" incl. Geldbörse geklaut. Ist so und bleibt so.....

Gruß

K.-H.

bei Antwort benachrichtigen