Tipps und Tricks: Anmerkungen zur Passwortsicherheit

Von: Kristian Piller und Dr. Christoph Capellaro, Ernst & Young IT-Security

Eine effiziente Möglichkeit, Passwörter zu erraten, stellt die "Dictionary-Attacke" dar. Die meisten Benutzer wählen ein Passwort mit einer Bedeutung, zum Beispiel Namen, personenbezogene Wörter und so weiter. Diesen Umstand kann der Hacker ausnutzen. Mit einem umfangreich gebauten Wörterbuch oder einer Art Liste mit häufig benutzten Wörtern kann man hohe Trefferquoten erreichen. Bei diesem Angriff wird jedes Wort aus dem Wörterbuch als Passwort für den Entschlüsselungsvorgang eingesetzt, bis das verwendete Passwort gefunden wird. Solche Wörterbücher kann man im Internet für unterschiedliche Themengebiete und in vielen Sprachen finden (zum Beispiel Wörterbücher mit Filmtiteln und Schauspielernamen).

Wenn man mit der Dictionary-Attacke nicht weiter kommt, dann ist Brachialgewalt angesagt (englisch "brute force"). Bei diesem Angriff probiert man so lange alle möglichen Zeichen- und Buchstabenkombinationen aus, bis man das richtige Passwort findet.

Bei langen Passwörtern sind solche Verfahren natürlich sehr ressourcen- und zeitaufwändig. Deshalb setzen Hacker schlaue Brute-Force-Methoden ein, um den Prozess der Passwortfindung zu beschleunigen. In erster Linie wird das mit dem so genannten "Hybrid-Angriff" möglich. Dazu wird auf der Basis eines Wortes aus einem Wörterbuch eine Brute-Force-Attacke durchgeführt, indem am Anfang und am Ende des Wortes bis zu drei (manchmal auch mehr) beliebige Zeichen angefügt werden. Auf diese Weise findet man Passwörter wie "passwort123" ganz einfach.

Beim sicherheitsbewussten Benutzer, der Kennwörter ohne Sinn benutzt, helfen jedoch auch solche Methoden nicht. Dort ist wirklich nur das Ausprobieren von allen Möglichkeiten hilfreich. Es gibt zwar noch weitere kleine Tricks und Algorithmen beim Brute-Force-Angriff – zum Beispiel das Ausprobieren häufig vorkommender Buchstaben oder das Ausschließen sprach-untypischer Buchstabenkombinationen – deren Beschleunigungseffekt ist jedoch eher gering.

Folgende Punkte helfen bei der Wahl eines Passworts, das gegen die genannten Angriffe resistent ist:

Wählen Sie ein Passwort, das mindestens acht Stellen lang ist. Achten Sie darauf, dass Ihr Passwort Zahlen, Satz- oder Sonderzeichen wie @ oder # enthält. Außerdem sollten Buchstaben in Groß- und Kleinschreibung vorkommen. Noch sicherer ist es, wenn Sie auch ASCII-Zeichen mit einem ASCII-Code über 127 oder Steuerzeichen (ASCII-Code unter 32) verwenden. Solche Zeichen können Sie mit der Tastatur eingeben, indem Sie die ALT-Taste drücken und zugleich den ASCII-Code für das Zeichen auf dem Nummernblock eingeben (zum Beispiel ALT und 180). Das Passwort sollte keine Bedeutung haben. Sie können sich durch folgenden Trick helfen: Verwenden Sie die Anfangsbuchstaben der Wörter eines leicht zu merkenden Satzes. Zum Beispiel ergibt "Als Passwort habe ich mir ein ungeheuer schweres Wort ausgedacht" das Passwort "@Phim1usWa". Wenn Sie sich Passwörter ohne Bedeutung nicht merken können, kombinieren Sie zumindest mehrere Wörter, wie "2SchwerFürM1ch" (zu schwer für mich). Schwer knackbar und einigermaßen leicht zu merken sind miteinander verwürfelte Wörter und Zahlen wie zum Beispiel "s3c0hOw9e2r000" (gebildet aus schwer und dem Datum 30.09.2000, das nicht Ihr Geburtstag sein sollte). Vermeiden Sie generell bekannte Namen. Also keine Film- oder Romanhelden, Kosenamen, Betriebssysteme, Ortsnamen, Autos, den Namen der Freundin und natürlich Ihren eigenen Namen. Ungünstig sind auch Reihen mit kombinierten Zahlen am Anfang oder Ende wie zum Beispiel "Jan3" oder "3Jan". Als Zahlen sind zu vermeiden: Geburtstage, Telefonnummern, Autokennzeichen, bekannte Zahlen wie Pi und triviale Ziffernfolgen wie "12345". Vermeiden Sie Tastaturmuster wie "jklö" oder "asdf". (jo)