Anzeige
Smartes Cloud Hosting für anspruchsvolle Projekte.
↬ Jetzt testen
Rene Schmidt 23. Juni 2008

Ihr Kennwort ist unsicher

Kein Beitragsbild

Die kürzlich aufgedeckten Abhörskandale bei der Telekom, Lufthansa & Co. zeigen es: Alle verfügbaren Spionagemöglichkeiten werden auch genutzt – und das nicht nur von Unternehmen. Auch für den Privatmann ist Datenschutz ein eigentlich wichtiges Thema. Doch viele kümmern sich aus Unwissenheit nicht um den Schutz ihrer Daten und verwenden einfach zu knackende Passwörter. Dabei sind sichere Kennwörter kein Problem.

Solche Aussagen hört man oft::

  • „Ich habe nichts zu verbergen“ oder
  • „Wer interessiert sich schon für meine Daten?“

Die Aussage, man habe „nichts zu verbergen“, ist die klassische „Kopf-in-den-Sand“-Vermeidungsstrategie. Jeder hat etwas zu verbergen, nämlich seine Privatsphäre. Wer möchte schon seine Steuererklärungen, Befunde des Urologen/Gynäkologen frei zugänglich im Internet wiederfinden. Nicht selten schnüffeln sogar große Zeitungen wie die BILD einfach per Google oder in sozialen Netzwerken auf der Suche nach irgendwie verwertbaren Skandalhappen. Außerdem kann es ja gerade Sinn und Zweck der Spionage sein, herauszufinden, ob die Daten einer Person interessant sind oder nicht. Man kann davon ausgehen, dass mehr oder weniger alles und jeder ausgespäht und überwacht wird, auch wenn die Daten sich hinterher doch als uninteressant herausstellen könnten.

Wichtig ist daher, so wenig Informationen wie möglich und so viel wie nötig öffentlich zugänglich zu machen. Der Rest sollte mit einem Kennwort geschützt werden. Doch viele wählen simple Kennwörter wie „Haus“ oder „Blume“ – ein fataler Fehler.

Kennwörter aus Wörterbüchern
Alle Sicherheitsmaßnahmen sind nutzlos, wenn ein Kennwort unbedacht gewählt wird. Verwendet ein Nutzer ein Kennwort aus einem deutschen, englischen, französischen (usw.) Wörterbuch, könnte man die Passwortabfrage eigentlich auch weglassen. Wie schnell solche Kennwörter geknackt sind, zeigt ein kurzes Beispiel mit einer kennwortgeschützten ZIP-Datei, die mit dem Desktop-Programm „Ultimate ZIP Cracker“ bearbeitet wird. Das Programm ist im Internet für ein paar US-Dollar ohne Probleme zu erwerben. Es bietet zahlreiche Methoden an, mit denen das Kennwort ermittelt werden kann. Zwei davon sind „Brute Force attack“ und „Dictionary search“. Die erste Methode probiert einfach alle möglichen Zahlen- und Buchstabenkombinationen aus, die zweite probiert Wörter aus Wortlisten aus.

Eigentlich wollte der Autor hier eine Tabelle einfügen. Sie sollte zeigen, wieviele Sekunden das Programm für die Ermittlung mit den beiden Methoden benötigt. Das Programm war aber so schnell fertig, dass keine Zeit blieb, den Messvorgang zu starten. Praktisch sofort nach dem Klick auf „Start“ war das Kennwort „blume“ schon ermittelt – egal ob „Brute Force attack“ oder „Dictionary search“ eingestellt war.

Screenshot
Die Freeware PicoZip-Recovery ist nicht ganz so schnell, aber ebenso wirkungsvoll wie Ultimate Zip Cracker

Zu kurze Kennwörter
Aber auch Kennwörter, die nicht in Wörterbüchern stehen, sind mit dem Programm schnell ermittelt. Ein Kennwort wie „a3.3_“ ist auf einem durchschnittlich schnellen Rechner innerhalb weniger Sekunden oder Minuten ermittelt. Auf dem Rechner des Autors (Windows XP in einer VirtualBox-Maschine auf einem AMD Turion64 X2, 1,9 GHz, 2 GB RAM mit Linux) schaffte das Programm während eines Brute-Force-Angriffs über 13 Millionen Kombinationen pro Sekunde.

Ein kurzer Vergleich: Angenommen, ein zwei Zeichen langes Kennwort besteht aus den Ziffern 0 bis 9 (also zehn verschiedenen). Es gibt bei diesem Kennwort maximal 102 (=100) verschiedene Kombinationen, 00 bis 99. Verwendet man ein fünf Zeichen langes Kennwort bestehend aus den 26 Kleinbuchstaben gibt es 265 verschiedene Kombinationen, also rund 11,8 Millionen. Das klingt nach viel. Im Vergleich zu den mindestens 13 Millionen Kombinationen, die Ultimate ZIP Cracker pro Sekunde schafft, ist das aber so gut wie nichts.

Die gezeigten Beispiele und Erkenntnisse mit dem ZIP-Cracker lassen sich im Wesentlichen auf das Internet übertragen, auch wenn es dort etwas schwieriger ist, die Kombinationen schnell durchzuprobieren. Das Prinzip bleibt gleich.

Was tun? Kurz gesagt:

  • Verwenden Sie lange Kennwörter mit mindestens acht Zeichen, die jeweils mindestens zwei Klein- und Großbuchstaben, Ziffern und Sonderzeichen enthalten. Je größer der Zeichenraum und je länger das Kennwort, desto größer die Anzahl verschiedener Zeichenkombinationen und desto schwieriger ist es, das Kennwort zu ermitteln. Der DrWeb-Kennwort-Generator hilft dabei, solche Kennwörter zu erzeugen.
  • Verwenden Sie keine Begriffe, die leicht zu erraten sind. Namen vorwärts oder rückwärts geschrieben oder Kalenderdaten sind keine gute Idee.
  • Speichern Sie die Kennwörter mit einem Passwortmanager, wie ihn jeder moderne Webbrowser bietet. Das Gute: So können Sie auch sehr lange und somit sicherere Kennwörter verwenden.
  • Notieren Sie sich das Kennwort und bewahren Sie es an einem sicheren Ort auf. Das birgt natürlich auch wieder Risiken. Allerdings ist es unwahrscheinlich, dass man sich an ein Kennwort wie „ubPFCwvgC19An!)7“ erinnert, sollte das Kennwort aus irgendeinem Grund nicht mehr im Browser gespeichert sein.
  • Geben Sie niemandem Ihr Kennwort, Stichwort Social Engineering.
  • Verwenden Sie nicht überall ein Standard-Kennwort, sondern variieren Sie es von Fall zu Fall.
  • Wechseln Sie Ihr Kennwort regelmäßig.

Mit diesen einfachen Regeln sind Ihre Daten relativ sicher. ™

Links zum Thema:

Erstveröffentlichung 23.06.2008

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.