Regeln für starke Passwörter: Unterschied zwischen den Versionen

Aus Userwiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
 
+
[[Kategorie:Allgemeines]]
 
Passwörter wollen sorgfältig gewählt sein. Zum einen sollten sie nicht einfach zu erraten sein, zum anderen muss man sich einige davon merken können.
 
Passwörter wollen sorgfältig gewählt sein. Zum einen sollten sie nicht einfach zu erraten sein, zum anderen muss man sich einige davon merken können.
  

Version vom 4. Oktober 2013, 10:20 Uhr

Passwörter wollen sorgfältig gewählt sein. Zum einen sollten sie nicht einfach zu erraten sein, zum anderen muss man sich einige davon merken können.

Warum sind starke Passwörter wichtig?

"Ich habe keine Geheimnisse" ist ein oft gehörter Einwand von AnwenderInnen zu Sicherheitsmaßnahmen. Das Problem an Netzwerksicherheit ist, dass sie auf der Sicherung von Grenzen beruht (sog. "perimeter security"). Lokale Benutzer geniessen Vertrauen, unbekannte Fremde dagegen nicht. Wird nun jemandes Passwort geknackt, erringt ein Angreifer dieses Vertrauen. Denken Sie an ein Mehrfamilien-Wohnhaus mit einer starken Haustür und schwachen Wohnungstüren. Das beste Haustürschloss nützt Ihnen nichts, wenn ihr Nachbar im Erdgeschoss seine Terrassentür offenstehen oder jemand fremde Personen in den Hausflur läßt.

D.h.: Sie haben vielleicht keine Geheimnisse, Ihr Kollege aber durchaus. Die Sicherheit seiner Daten ist nur gewährleistet, wenn Sie gute Passwörter verwenden. Also tun sie's!

Wogegen muss man sich schützen?

Es gibt zwei Angriffsszenarien: die gezielte Attacke auf eine Einzelperson, oder der "Weg des geringsten Widerstands".

Gezielte Angriffe

Ein gezielter Angriff auf Ihre Daten ist denkbar, um z.B. an prüfungsrelevante Informationen oder unveröffentlichte Forschungsergebnisse zu gelangen. In diesem Fall wird der Angreifer versuchen, einige Informationen über Sie zu sammeln, und als Passwort den Namen ihres Partners, ihrer Kinder, Haustiere etc., deren Geburtsdaten usw. ausprobieren. Dies lässt sich maschinell machen, so dass auch wilde Kombinationen sehr einfach ausprobiert werden können.

Vermeiden Sie daher Passwörter, die auf solchen persönlichen Informationen beruhen.

Der "Weg des geringsten Widerstands"

Diese Variante kommt zum Tragen, wenn der Angreifer kein Interesse an bestimmten Daten, sondern lediglich an einer unberechtigten Nutzung des Systems hat. D.h. er wird versuchen, eine Liste aller Benutzerkonten zu bekommen (was nicht weiter schwierig ist), und dann einfach nacheinander viele Passwörter ausprobieren. Meist bedient sich ein Angreifer dazu eines oder mehrerer Wörterbücher, und variiert die Einträge. Auf normalen Wörtern basierende Passwörter sind unsicher!

Sie sehen: ein schwaches Passwort genügt, und der Angreifer ist im Netz!

Starke Passwörter

Ein gutes Passwort...

  • ist mindestens 8 Zeichen lang, gern auch länger;
  • besteht aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen;
  • beruht nicht (auch nicht teilweise) auf einem existierenden Wort;
  • beruht nicht auf persönlichen Daten
  • sollte trotzdem merkbar sein.
Wenn Sie jetzt glauben, sich mit Fremdsprachen um Regel 3 herummogeln zu können, befragen Sie mal einen HRZ-Mitarbeiter zu "Spaß mit Türkischwörterbüchern". :-D
Einfaches Ersetzen von Buchstaben durch Zahlen, z.B. "411e me1ne Entchen" wird routinemäßig von jedem Passwortknackprogramm versucht.

Merkhilfen

Eine Möglichkeit ist, die Anfangsbuchstaben von Sätzen zu nehmen, und diese wo sinnvoll durch Sonderzeichen zu würzen. Zum Beispiel:

"Hei-ho, hei-ho, wir sind vergnügt und froh!" => 4xh,wsv+f! ("viermal 'h'")

"Gallia est omnis divisa in partes tres, quarum unam incolunt Belgae..." => G=o:ip3,q1iB" ("est" wird '=', "divisa" wird ':')

Diese beiden wunderbaren Passwörter sind damit leider für alle Zeiten tabu, aber das Prinzip ist beliebig erweiterbar.