Guter Schutz nur durch durch gute Passwörter

Beachten Sie unbedingt die verbindlichen Regeln für gute Passwörter aus der Passwort-Richtlinie.

Ein Handvoll einfacher Regeln:

  1.  Niemals ein Passwort verwenden, das bekannt ist oder wo man diesen Verdacht hegt. In diesem Fall: SOFORT ÄNDERN!
  2. Für jeden Zugang ein eigenes Passwort, damit im Falle von 1. nicht viele Accounts ungeschützt sind
  3. Keine Passwörter aus Wörterbüchern, selbst mit leichten Veränderungen verwenden.
  4. Komplexes Passwort mit mindestens 12 Zeichen für normale Benutzer und mindestens 16 Zeichen für Nutzer mit Admin-Rechten oder anderen erweiterten Rechten.
  5. Passwörter niemals ungeschützt "herumliegen" lassen. Am besten verwenden Sie einen Passwortsafe wie KeePassXC

Angriffe auf Passwörter

Passwörter sind nach wie vor das gängigste Instrument zur Sicherung eines Zugangs. Kaum jemand kommt ohne Passwörter aus. Und nach wie vor verwenden die meisten Benutzer zu kurze, zu schwache und zu gleichartige Passwörter, was einen Angriff mit der Brechstange (durch Probieren), den sogenannten Brute-Force-Angriff, in kurzer Zeit erfolgreich werden lässt.

Dazu kommt der Irrglaube, dass geringe Ersetzungen wie „@“ statt „a“, „1“ statt „l“, eine geänderte „9“ statt „4“ o.dgl. Passwörter viel sicherer machen. Angriffe testen diese Dinge sofort mit aus. 

Wie belastbar sind Ihre Passwörter? Es gibt eine Menge Hilfsmittel, wie Testseiten um die Güte der eigenen Passwörter zu prüfen, z.B.  https://checkdeinpasswort.de/ oder https://haveibeenpwned.com/Passwords.

Doch auch hier gilt: Achtung bei der Verwendung solcher Tools! Prüfen Sie nicht das eigene, sondern nur ein ähnliches Passwort, sonst kann es vorkommen, dass Ihr Passwort direkt den Weg in eine sogenannte „Rainbow-Table“ oder andere Hacker-Werkzeuge findet.

Passwort Richtlinie der Universität Augsburg

Wichtige Grundlagen

Bei der Eingabe Ihres Passworts z.B. bei der Anmeldung an Windows, wird dieses mit einem gespeicherten sogenannten Hash-Wert Ihres Passworts verglichen. Der Hash-Wert hat zwei große Vorteile:

  1. Er ist wie eine Einbahnstraße: Gleiche Passwörter generieren den gleichen Hash-Wert, aber aus dem Hash kann nicht auf das Passwort zurückgeschlossen werden.
  2. Einfach zu rechnen und schwer zu raten: Das Hashen geht sehr schnell und einfach, zudem liefern sehr ähnliche Passwörter komplett andere Hashes (siehe „Ausflug HASH).

Klar ist, was guten Schutz ausmacht:

  1. Das Passwort sehr lang bzw. komplex zu machen.
  2. Das Passwort anderen NICHT verraten und gut schützen.
  3. Den Hash schützen.
  4. Sichere Hash-Algorithmen verwenden, am besten mit „Salt“ und „Pepper“

Die Punkte 1 und 2 obliegen Ihrer Verantwortung. Die Punkte 3 und 4 betreffen nur Entwickler. Weiter unten im Text ("Ausflug Hash") sehen Sie verschiedene Hashes

Wie knacken Cracker das Passwort?

Es gibt eine Vielzahl an Hardware und Software-Werkzeugen. Die meisten sind frei verfügbar und können leicht benutzt werden.

Diese Werkzeuge wollen die Ratezeit stark verkürzen, indem sie z.B.

  • in Tabellen mit Milliarden von gespeicherten HASH–PASSWORT-Paaren nachschlagen.
  • die Zeichen clever setzen. So kann man die maximal möglichen 256 ASCII Zeichen stark reduzieren, da wir in Deutschland wohl überwiegen 26 kleine und 26 große Buchstaben, 10 Ziffern und die 10 gängigen Sonderzeichen verwendet. Das macht dann in Summe 72 Zeichen statt 256. Das ist erheblich weniger, da die Anzahl der möglichen Passwort-Varianten exponentiell steigt.
  • bekannte, bereits geknackte Nutzer-Passwort-Kombinationen in anderen Services ausprobieren.
  • bekannte Infos nutzen, z.B. die Organisation verwendet Passwörter mit 8 Stellen und lässt nur diese 4 Sonderzeichen zu.
  • spezielle Hardware einsetzen, die viele Werte in kürzester Zeit ausprobieren, sehr gut eignen sich hierfür Grafikprozessoren.

Was heißt das nun im ungünstigsten Fall (für den Hacker)? Der Hacker benötigt mit einem heutigen PC zum Knacken (Daumenwerte):

  • Bei   6-stelligen Passwörtern: Sekunden
  • Bei   8-stelligen Passwörtern: Tage
  • Bei 10-stelligen Passwörtern: Jahre
  • Bei 12-stelligen Passwörtern: Jahrtausende

Nochmals unser Rat

  1. Wenn Sie sich bei der Güte Ihres Anmeldepassworts unsicher sind, ändern Sie dieses gleich unter https://www.uni-augsburg.de/passwort/.
  2. Finger weg von kurzen/keinen Passwörtern.
  3. Wenn Sie ein komplexes Passwort wie M4Wskw?100!N verwenden, sind 12 Stellen ein guter Kompromiss zwischen sehr guter Passwort-Sicherheit und Benutzerfreundlichkeit. Bei einer Administrator-Kennung muss das Passwort zumindest 16 Stellen aufweisen.
  4. Verwenden Sie unbedingt bei jedem Verfahren ein signifikant anderes Passwort. Es keine gute Idee nur eine Zahl zu erhöhen, wie MeInP@ssWORT12, MeInP@ssWORT13, …
  5. Testen Sie ab und zu, z.B. unter https://sec.hpi.de/ilc, ob Ihre Anmeldedaten bereits bekannt sind.
  6. Benutzen Sie am besten einen Passwort-Manager, der Ihnen gute Passwörter generiert, Sie bei Gleichheit warnt, oder auch, wenn das Pärchen Kennung/Passwort geleakt wurde bzw. das Passwort inzwischen unsicher ist.
  7. Prüfen Sie, ob Sie eine Zwei- bzw. Mehrfaktor-Authentifizierung (2FA/MFA) verwenden, soweit diese vom Verfahren angeboten wird. Dies gilt insbesondere bei erhöhten Sicherheitsanforderungen.
  8. Behandeln Sie Passwörter immer vertraulich, persönliche Passwörter sollten weder einsehbar sein, noch weitergegeben werden.

Passwörter wechseln?

Wie oft sollte ich meine Passwörter wechseln? Früher lautete die Antwort des BSI: mindestens alle 3 Monate. Das ist inzwischen revidiert. Auf alle Fälle immer komplexe Passwörter, die aber nicht ohne Grund gewechselt werden müssen.
Anders gefragt: Wenn Sie einen Passwort-Manager benutzen, was hindert, zumindest die wichtigsten Passwörter jährlich zu wechseln? Der Passwort-Manager erinnert Sie zudem daran.
UNBEDINGT BEACHTEN! Wann immer Sie Bedenken haben, dass Ihr Passwort bekannt geworden sein könnte (z.B. weil ein Shopsystem, das Sie benutzen, geknackt wurde), müssen Sie es UNBEDINGT SOFORT ändern.


Ausflug HASH - für Interessierte

Passwörter werden nicht im Klartext gespeichert sondern als Hash-Wert. Hash-Werte haben zwei wichtige Eigenschaften:  Erstens ist es einfach aus einem Passwort einen Hash zu erzeugen, aber nahezu unmöglich aus einem Hash das Passwort zu erhalten. Zweitens haben zwei ähnliche Passwörter total unterschiedliche Hash-Werte. 

Wenn Sie sich z.B. in Windows anmelden wird das eingegebene Passwort zu einem Hash umgerechnet und mit dem gespeicherten Hash verglichen. Falls jemand nun den Hash klaut, weiß er noch lange nicht das Passwort. Nun gibt es aber Tabellen mit Milliarden bereits gerechneter Passwort - Hash Paaren. Der Hacker versucht sich also den Hash zu schnappen und vergleicht ihn mit der Tabelle. Falls der Wert in der Tabelle gefunden wird, ist damit das zugehörige Passwort bekannt und ihr Account geknackt. Darum niemals bekannte Passwörter oder einfache Passwörter vewenden. 

Nachfolgend haben wir einige Hashwerte generiert. Die verhashten Passwörter lauten PasswörtersindKlasse (schwarze Schrift) sowie Passwörtersindklasse (fette Zeichen) und zeigen, wie unterschiedlich die Hashes selbst bei solch geringen Änderungen werden.

SHA512

c099191ea1b54ac3e764862d25dfc9f1de5fa84d82304a14e8ca3c0fa4c7814e 0a0965c11153f8606a7ff379df440d5419741fa557287e21d60c9bb46c27bf5e

8f1e292b7f12ef74001b08710ca0a9530e1d4ba4925392ce44d61861521fea12 729918d1fcd96779f2fe7bc42c77539f6428597cdfff84ab1b929b33fd1846b2

SHA 256

8a2cbd6e98d7b2bb2a6c48b9f168555e25640cbf9df3b12e14414e84f61787dd

09161f5f653d3364ab1f3c84b4b28157b92f042517d97d11822b0c5f656a5768

SHA1

5545513f345d8a74778ec97fa3de09ed53b9b175

a023ce8c854810c291de13bfce41beb14eec80d0

MD5

464f9008c4d88769810cb5c8ffc11b2c

63331163e864392dae7b250280b1d11c

RIPEMD-160

10d2474588a5a4c658d4988cd0ff139f2ae9aaff

b9f1938dca40192d0f8a245bbe54e9352cf69d6d

RIPEMD-320

836d692d3def5bbdd1080ac452c90efeed3a76fa bcbffc987eb7407639031a5dd2b67fae2fb1ea9a

1ccc453042bf7780d676351c3a14d319d1c01843 f55b343f16b38285da444589a11b71085a0989a0

Whirlpool

18a4584c05373285ea820633b0d5ec265825c5f73889ba6c79e6a7ee80eaf485 23f24a45f7103844ebc90131ebf9420819c7723caf0c358c59fb3cdb1cfd1170

5b9874721cf0228d2c657dd4c216ddeea8e802a67516093a475454bf1a1c36a6 5d02d5bc2d28d081ec99310834fb3d2a3e0324281d8279dfa120636cf3cab331

BCRYPT

$2y$10$qC0wvPrOOJXnAetUoze0V.INfzzu77rtzvj6dbePKacr9wSjT5npe

$2y$10$B05J7Jnj.1uJwGq1bBM5yuYNjjv/5Zj8DAjADvQ6pQ8MLnqlvBe1i


Die durchgestrichenen Algorithmen gelten als nicht mehr sicher und dürfen künftig nicht verwendet werden. Die SHA-Familie ist wohl die am besten abgesicherte Methode. Manchmal werden HASH-Algorithmen auch kombiniert. SHA-256+RIPEMD-160 wird bei Bitcoin verwendet, was kurze Endwerte (RIPEMD-160) mit hoher Sicherheit (vorangehender SHA-256 Hash) verbindet.        

Das Hashen geht übrigens auch mit Dateien. Mit einem Hashwert können Sie auf einfache Weise prüfen, ob Dateien verändert wurden.

Gute Generatoren mit vielen Algorithmen gibt es natürlich im Netz, z.B. https://md5calc.com/hash.


© Universität Augsburg

Icons provided by:
https://iconmonstr.com/license/
https://fontawesome.com/license/free