Permalink

3

Erinnerung! – Passwörter…

Passwörter aus Anwendersicht

Standard-Passwörter sind sehr leicht erraten und sollten deshalb nicht benutzt werden. Auch solltest du dich dagegen wehren, das Passwort „elvis“ zu verwenden, nur weil du ein Elvis-Fan bist und du dir denkst: „You were always on my mind“. Ein Passwort sollte nicht mehrfach verwendet werden, da sich sonst ein Dritter mit genau diesem Passwort natürlich ebenfalls auch bei den anderen Diensten anmelden kann.

Aber sich wirklich für jede Webseite, jede E-Mail Adresse, etc. ein eigenes, sicheres Passwort zu merken, ist de facto nicht möglich. Deshalb unterteile deine Login-Daten in zwei Lager. Für eher unwichtige Anmeldungen benutzt du fast das gleiche Passwort, änderst es aber jedes Mal etwas ab. Gehen wir mal davon aus, das du dir das Passwort „&z5E2$kO“ überlegt hast. Dann kannst du z.B. für Facebook „&z5fEb2$kO“ nutzen, für Twitter „&z5tEw2$kO“ und für GMail „&z5gEm2$kO“ benutzen. Die Passwörter sind dadurch eindeutig und es ist eher unwahrscheinlich, das jemand, der im Besitz eines der Passwörter ist, auch die anderen Passwörter erraten kann. Den Algorithmus kannst und solltest du entsprechend abwandeln und erweitern. Für wichtige Passwörter (z.B. Serverzugangsdaten, etc.) sollten dann tatsächlich vollkommen eigenständige Passwörter verwendet werden. Entweder merkt man sich diese weniger Passwörter oder man nutzt, wie ich auch, ein Passwort-Verwaltungsprogramm (z.B. LastPass oder KeePass). In beiden Fällen ist es ratsam, Passwörter in regelmäßigen Abständen zu ändern.

  1. Nutz keine Standard-Passwörter wie Password, 123456 oder qwertz.
  2. Verwende ein Passwort nur ein einziges Mal. Ernsthaft.
  3. Passwort-Verwaltungsprogramme wie LastPass und KeePass dürfen benutzt werden.

Der Umgang mit Passwörter als Entwickler

Mit aktueller Hardware und Tools wie John the Ripper oder Hashcat sind selbst Passwörter und Hashes, die vor wenigen Jahre noch als sehr sicher galten, binnen kürzester Zeit geknackt. Ein gespeichertes Passwort kann, das hat die Vergangenheit (z.B. bei LinkedIn und Evernote) gezeigt, immer mal in die falsche Hände gelangen. Wenn das Passwort allerdings vorbildlich gespeichert wurde, sollte das Knacken des Passwortes mindestens die nächsten Jahrzehnte andauern. Danach hat der Anwender das Passwort hoffentlich bereits mehrfach geändert oder kein Interesse mehr an dem Account.

  1. Passwörter gehören gesalzen und gehasht
  2. Eigenen Algorithmus auf die Passwörter anwenden
  3. Nutze etwas besseres als MD5, SHA-1, etc. zum Hashen.
  4. Limitiere die Versuche der Passworteingabe

Passwörter zu hashen ist schon ein ganz guter Ansatz. Allerdings können die Passwörter so 1:1 in so genannten Rainbow-Tables wiedergefunden werden. Du kannst dafür deine Suchmaschine einfach mal nach „5f4dcc3b5aa765d61d8327deb882cf99“ suchen lassen.

Um das Passwort sicherer zu speichern, kommt zusätzlich etwas Salz dazu. Hiervon spricht man, wenn eine zusätzliche Zeichenkette dem Passwort beigefügt wird. Dies kann beispielsweise die Id oder das Anmeldedatum des Anwenders sein. Um aus einem solchen Hash das Passwort zu ermitteln, können dann keine Rainbow-Tables mehr benutzt werden. Vielmehr müssen alle erdenklichen Kombinationen, zusammen mit dem Salz, erneut gehasht und mit dem gespeicherten Hash verglichen werden.

Als eigener Algorithmus könnte beispielsweise das Umdrehen des Original-Passwortes verwendet werden. Auch dies muss der Passwort-Cracker vor dem erfolgreichen Cracken in Erfahrung bringen. Um die Zeit des Hash-Brute-Force-Vorgangs zu verlängern, sollte statt MD5, SHA-1, etc. z.B. Bcrypt verwendet werden. Hash-Algorithmen wie MD5 und SHA1 sind auf Schnelligkeit optimiert, weil mit ihnen die Integrität von Daten überprüft werden soll. Bcrypt hingegen benötigt mehr Zeit für einen Hash-Vorgang. Ein Anwender merkt den Unterschied zu MD5, etc. nicht, aber der Cracker ärgert sich über die, um ein vielfaches, längere Dauer der Hash-Vorgänge.

Generell kann mit diesen Methoden nur die Zeit zwischen dem „Klau“ der Passwort-Hashes und dem Cracken des tatsächlichen Passwortes verlängert werden. Die Anwender müssen natürlich trotzdem, direkt nach der Entdeckung eines Einbruchs, dazu gezwungen werden ihre Passwörter zu ändern.

Hast du noch andere Vorschläge, Verbesserungen, etc.? Wie merkst du dir deine Passwörter? Wie speicherst du sie ab? Immer her mit den Hinweisen, ich werden die Artikel entsprechend erweitern.

3 Kommentare

  1. Ich arbeite in der Tat mit einem „Grundpasswort“, welches ich immer wieder abwandle. Gilt überwiegend für soziale Netzwerke usw. Ansonsten bin ich da – nicht immer, zugegeben – recht kreativ.

  2. Ich kann Keepass nur empfehlen!

    Ein kryptisches Masterpasswort merken und alles andere durch generierte Passwörter abdecken. Dank AutoFillIn auch ziemlich komfortabel zu benutzen.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.