Viren, Spyware, Datenschutz 11.211 Themen, 94.124 Beiträge

Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!

Olaf19 / 71 Antworten / Flachansicht Nickles

Hallo zusammen!

Wir leben in einer Passwort-Welt. Für bald jeden Atemzug im digitalen Dasein muss man sich registrieren, einloggen, authentifizieren. Mittlerweile gibt es schon Software, um die Sintflut an Passwörtern zu verwalten, denn immerhin sollen wir ja

  • jedes Passwort nur 1x verwenden, also für einen Zweck,
  • Passwörter regelmäßig umstellen, für den Fall, dass es jemand geknackt hat,
  • Passwörter möglichst lang und kryptisch gestalten

Für mich ergeben sich in diesem Zusammenhang zwei Fragestellungen, in die die Sicherheitsexperten unter euch vielleicht ein wenig Licht bringen können.

Erste Frage: Es gibt bei mir zwei Passwörter, die die oben benannten strengen Kriterien nicht erfüllen. Das ist zum einen mein Benutzerkennwort für Mac OS X, zum anderen das Zugangskennwort für die Benutzung meiner Fritz!Box. Diese Passwörter sind kurz und einfach und ich ändere sie nie. Warum?

Nun, diese Passwörter unterscheiden sich von allen anderen in einem wesentlichen Punkt: sie sind "nur zuhause" nutzbar. Es hat wenig Sinn, in einem Internetcafé, "fritz.box" einzugeben - ich erreiche meine Fritz!Box damit nicht. Wenn überhaupt, dann vielleicht eine andere. Auch zuhause erreiche ich die Fritz!Box meines Nachbarn nicht, da ich ja über mein eigenes WLAN surfe und nicht über seins.

Bei Mac OS X verhält es sich im Prinzip genau so. Okay - mein MacBook nehme ich oft mit, wenn ich unterwegs bin. Würde es mir gestohlen, so könnte der Neubesitzer dort Software installieren, die nicht von Apple autorisiert ist - dafür, besser dagegen, ist das Passwort da. Nur, wenn das Book weg ist, könnte mir das auch egal sein. Dann hätte ich andere Sorgen.

Die Frage lautet also: welchen Sinn hätte es, für mein Mac OS X-Benutzerkonto oder die Fritz!Box kryptische Passwörter zu vergeben? Was habe ich da möglicherweise übersehen?

Zweite Frage: Gegen die Passwörter-Administrationsprogramme habe ich eine instinktive Abneigung. Ich möchte lieber zu einer eigenen, quasi "handgemachten" Lösung kommen. Folgende Idee möchte ich euch vorstellen und hätte dann gern eine Einschätzung, ob die Idee gut ist.

Beispiel ebay: Ich konstruiere zunächst eine "Passwort-Basis", zusammengebastelt aus Verwendungszweck, Datum und einigen Fantasiezeichen, die es darauf zu kryptifizieren gilt. Diese Basis könnte etwa so lauten:

ebay15nove14(§&)

Durch diverse Metamorphosen entsteht daraus:

y1%anObVee!4(§&)

Der Verwendungszweck (fett hervorgehoben) wird also rückwärts und in festen Abständen auf das Passwort verstreut, das Datum wird durch Einzelbuchstaben des Zwecks unterbrochen, die Zahlen bleiben teilweise stehen, teilweise werden sie durch das auf der gleichen Zifferntaste platzierte Sonderzeichen ersetzt. Die Buchstaben aus dem Datum erscheinen teils groß, teils klein. Nur den Stringmüll am Ende der "Basis" habe ich unverändert gelassen.

Ich weiß - meine Methode hat einen großen Nachteil: man muss das Prinzip der Verschlüsselung schon tief in Fleisch und Blut verinnerlicht haben, ansonsten sind Tippfehler bei der Eingabe quasi unvermeidlich.

Der große Vorteil ist aber die Wartungsfreundlichkeit. Habe ich mich einmal an meine Methode gewöhnt, so kann ich in 5 Wochen nach dem gleichen Schema beginnen mit:

ebay19deze14(§&)

und ende schließlich bei:

y1)adEbZee!4(§&)

Man könnte es natürlich noch raffinierter machen, aber dann wird es um so schwieriger, sich das Kryptifizierungsprinzip zu merken, nachdem die Passwort-Basis zum echten Passwort manupuliert wird.

Bin wie immer gespannt auf eure Anmerkungen, Rückfragen und Ideen zu beiden Fragestellungen.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
subvision1 Olaf19 „Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“
Optionen

huhu nickelsianer.

laßt mich mal erzählen, was mir ende 2012 passiert ist:

september 2012 war ich mehrere wochen im urlaub. ich kam nach hause und hatte damals windows 7 64 bit laufen. nach dem erfolgreichen login fragte meine comodo firewall, wo ich wäre (zuhause, internet cafe, flughafen). nichtsahnend klickte ich auf "zu hause". danach lief das system wieder normal. einige tage später ließ sich mein avast free antivirus nicht mehr updaten, ich bekam eine meldung im wartungscenter, daß die visthauth.dll oder so ähnlich keine updates erlaube. mir kam in den sinn, ich hätte mein system infiziert, aber die tragweite sollte mir erst später klar werden. mit xp-antispy deaktivierte ich den windows scripting host und danach gingen die updates wieder. dafür bekam ich einen bluescreen mit der meldung: "system code has been changed". sicher, einen trojaner zu haben, machte ich windows platt und installierte mir linux mint 12 64-bit. auch das war kurz darauf gehackt. ich fragte mich, wieso und konnte mir keinen reim darauf machen. mit dariks boot and nuke machte ich meine festplatte komplett platt. danach funktionierten die meisten passwörter meiner accounts nicht mehr (email, skype, steam, facebook u.a.). das war die rache des hackers, daß ich das tdl4 rootkit gelöscht habe, was von einer eigenen partition heraus operierte. da die partition bei systemstart als erstes gestartet wurde, war jeder virenkiller machtlos zu der zeit, denn rootkits auf eigenen partitionen, das gabs bis dahin nicht. außerdem war die rootkit partition mit gängigen partitionsprogrammen, wie etwa gparted, nicht zu sehen. einzig ein tool auf der ultimate boot cd 5 war im stande, die rootkit partition zu sehen. zusätzlich zu der rechnerinfizierung war auch mein router mit ner custom firmware gehackt, um den netzwerkverkehr und voip gespräche abfangen zu können. das gilt zwar nicht als sicher geschehen, ich gehe jedoch davon aus, daß es so war. ein flashen der fritzbox mit nem aktuellen routerimage machte dem spuk ein ende. die meldung der comodo firewall, wo ich wäre, (zu hause, inetcafe, flughafen) war der custom firmware auf meinem router geschuldet, so daß meine firewall die sache so behandelte, als wäre ein neuer router angeschlossen worden. mit viel mühe ist es mir dann gelungen, meine webaccounts nach und nach wiederzubekommen, bis auf den skype account.

was ich euch damit sagen möchte, ist, daß die paßwörter sicher sind, solange man keine malware, wie ein rootkit auf dem system hat. faktisch war jemand (ich weiß, wer, hab aber keinen beweis. es ging ums geld) in meine wohnung eingebrochen und hat den rechner infiziert.

Wenn Du Dich verhältst, wie immer, bekommst Du auch das, wie immer...
bei Antwort benachrichtigen