de:guide:passwords

Passwörter

  • Zwei-Faktor-Authentifizierung nutzen, falls möglich
  • mindestens 12 Zeichen, besser noch >16
    leistungsfähige Computer knacken <12 Zeichen in wenigen Minuten bis Tagen
  • Groß-/Kleinschreibung, eine eingestreute Zahl oder ein Sonderzeichen erschwert es Angreifern
  • einfach zu merken: ein Satz, beispielsweise WasFür1PferdStapeltBatterien?
  • Bei vielen Passwörtern: zufallsgeneriertes Passwort >20 Zeichen erzeugen und im Passwortmanager speichern
    • Sicheres Masterpasswort verwenden!

Mit dem Tool zxcvbn kann man auf sehr schnelle und einfache Weise grob die Stärke von Passwörtern schätzen.

Nahezu jede Internetseite benutzt eine Datenbank, in der Login-Passwörter zusammen mit dem Usernamen gespeichert werden. Wenn ein Dienst angegriffen und die Datenbank entwendet wird, ist auch das Passwort als kompromittiert anzusehen, da man nicht von einer sicheren Speicherung (bspw. durch gesalzene Einweg-Hashfunktion) ausgehen kann.

Sobald ein Passwort gefunden wurde, landet es in Passwortlisten und wird für Angriffe auf weitere Dienste genutzt. Man muss bei verschiedenen Diensten also unterschiedliche Passwörter und idealerweise unterschiedliche eMail-Adressen verwenden.

Sicherheit der Speicherung

Es gibt mehrere Methoden, Passwörter zu speichern. Je nach Komplexität des digitalen Fingerabdrucks einer Datei variiert die Dauer, in der man das Klartextpasswort findet.

Methode der Speicherung Aufwand zum Finden einer Kollision
Klartext sofort
geknackte Hashfunktion wenige Minuten
gesalzene geknackte Hashfunktion mehrere Tage
sichere Hashfunktion mehrere Jahre bis Jahrzehnte

Ausnutzen von Sicherheitslücken in der Umsetzung der Verschlüsselung durch das Programm. Kein direktes Angreifen des Passwortstrings, sondern Sammeln von genügend Informationen über das Passwort, um es berechnen zu können. Sicherheitslücken wurden beispielsweise bereits in den Funktionen zur Generierung von Zufallszahlen gefunden. Nutzbar insbesondere beim Knacken von Verschlüsselungen mit vielen Daten, bspw. Transportverschlüsselung.

Ausprobieren einer Liste von Passwörtern.

Vorberechnung von Kollisionen bei Passwort-Hashing-Algorithmen.

Ausprobieren aller Passwörter nach den vorher festgelegten Regeln zur Passwortsicherheit.

Software Plattform(en) Besonderheiten
Keepass Windows, Linux, macOS Plugin-System
KeePassXC Windows, Linux, macOS Aussprechbare Passwörter, SSH-Agent, mehrere Datenbanken gleichzeitig, Passwörter teilen
Strongbox iOS eingebaute Synchronisation

* Passwortmanager im Test (Heise+)

Name des Programms verschlüsselt…
VeraCrypt Dateien
PGP eMails, Klartext, Dateien
AES alles
TLS Transportverschlüsselung
Name des Programms Hashfunktion / Verschlüsselung Methode
Aircrack / Airsnort WEP Mitschnitt von Initialisierungsvektoren
WPA Mitschnitt von Paketen und Wörterbuchattacke
Hashcat 200 verschiedene Hashing-Algorithmen
darunter MD5, SHA1, PBKDEF2
brute force, wordlist
  • Zuletzt geändert: 2020-02-03 08:55