Da ich in der IT-Branche tätig bin, stoße ich immer wieder auf sehr, sehr unsichere Passwörter. In der Regel gibt man täglich mehrmals seine Passwörter bei den verschiedenen Diensten ein, um auf seine Daten zuzugreifen. Vergisst man sein Passwort, müssen mehrere Schritte eingeleitet werden, um das Passwort zurückzusetzten. Dies ist besonders ärgerlich, und so werden einfache Passwörter verwendet, welche man sich besonders leicht merkt.
Der eigene Name, der Name der Freundin, Mutter, Vater, Katze, Hund sind nur ein paar Paradebeispiele. Da die meisten Passwortrichtlinien zusätzlich Zahlen erfordern, wird einfach noch das Geburtsjahr hinzugefügt, und schon glaubt man, ein recht sicheres und gleichzeitig einfaches Passwort erstellt zu haben. Dies ist jedoch ein Irrglaube, und ich werde auch beweisen, warum dies so ist.
Viele Betroffene sind sich der Gefahr jedoch nicht bewusst, meinen, sie können sich das Passwort sonst nicht merken, oder das beste Argument: „Ich hab eh nix zu verbergen!“
Diesen Spruch höre ich in 90% der Fällen, wenn ich jemanden auf sein unsicheres Passwort aufmerksam mache. Ist jedoch totaler Unsinn. Ich bin mir sicher in jedem Posteingang finde ich wichtige Mails, die mir Zugang zu eBay, Amazon usw. gewähren. Ist das E-Mail Konto einmal geknackt, hat man im Normalfall Zugriff auf unzählige Dienste und Daten.
Ebay, Amazon, Zalando, Paypal, eventuell sogar Online-Banking und viele andere Dienste erlauben es danach, dem Angreifer einen unglaublichen finanziellen Schaden zu erzeugen. Weiter geht es mit Social Networks. Viele Private Daten, Fotos, Videos, Chatverläufe, eventuell Wohnadressen, weitere Zugangsdaten die man schnell dem besten Freund weitergibt, damit er kurz irgendetwas ausprobieren kann. Im besten Fall sogar Kreditkartendaten samt PIN-Codes und vieles vieles mehr. Cloud Konten, mit weiteren privaten und sensiblen Daten, unzähligen Fotos, Videos und Dokumente. Viel mehr braucht man hier glaube ich nicht mehr dazu sagen. Denkt man wirklich einmal darüber nach, was man im Internet bereits an Daten angegeben hat, wird einem erst bewusst wie wichtig dieses Thema ist.
Ich bin mir sicher, dass 8 von 10 Personen, welche diesen Artikel lesen, ein Hauptpasswort verwenden, welches entweder einen Namen, ein Geburtsdatum bzw. Jahreszahl, oder eine Kombination daraus verwenden. Vor kurzem habe ich ein interessantes Script gefunden, welches Passwörter bezüglich Sicherheit bewertet. Anbei ein paar Beispiele:
| Passwort: qwert Crack Time (seconds): 0.018 | Passwort: Mimi Crack Time (seconds): 0.12 | Passwort: Mimi1999 Crack Time (seconds): 14.316 |
Wie in den Beispielen zu sehen, werden solche Passwörter in nur wenigen Millisekunden bzw. Sekunden geknackt. Der Grund hierfür ist folgender:
Bei einem Hacking-Versuch werden sogenannte Word-Lists benutzt, da so Standardpasswörter besonders schnell geknackt werden können. Diese Word-Lists enthalten in der Regel alle Wörter, die auch in einem normalen Wörterbuch zu finden sind, zusätzlich Listen von Namen, Eigennamen, Orten, Städten und Marken. Außerdem werden Diverse Zahlenkombinationen, welche sich aus Jahreszahlen oder einem bestimmten Datum zusammensetzen, durchprobiert.
Sichere Passwörter sollten heutzutage zumindest ein Sonderzeichen, eine Zahl und eine Kombination aus Groß- und Kleinbuchstaben sein. Viele werden nun Passwörter wie z.B. OkLI71n%Pq vor Augen haben. Keine Sorge, sichere Passwörter lassen sich sofort einfach merken. Als Beispiel nimmt man einen Songtitel oder ein Sprichwort oder reimt sich selbst einen Satz zusammen.
Als Beispiel nehme ich: Der dicke Manfred isst 20 Burger und ist nett
Daraus wird folgendes Passwort: DdM%i20Bu_in
| password: | DdM%i20Bu_in |
| entropy: | 63.829 |
| crack time (seconds): | 819324232641991 |
| crack time (display): | centuries |
| score from 0 to 4: | 4 |
Wie in der Tabelle zu erkennen, würde das Knacken 819324232641991 Sekunden benötigen – dies entspricht 25.962.818 Jahren, so lange gibt es noch nicht einmal die Erde.
Wichtig ist hier noch, dass man keine allzu bekannten Sprüche verwendet, da diese ebenfalls in den Word-Lists vorhanden sein könnten.
Das gleiche gilt für Leet-Speek. Hier wird ein E z.B. durch eine 3 dargestellt. Dies wird heutzutage ebenfalls berücksichtigt, wie folgendes Beispiel beweist:
| password: | P4$$w0Rd! |
| entropy: | 7.044 |
| crack time (seconds): | 0.007 |
| crack time (display): | instant |
| score from 0 to 4: | 0 |
| un-l33ted: | password |
Anbei noch eine lustige TOP 10 mit den beliebtesten Passwörtern des Jahres 2013. Alle Passwörter in dieser Liste fallen in die Kategorie “fahrlässig”.
| Rang | Password |
| 1 | 123456 |
| 2 | Password |
| 3 | 12345678 |
| 4 | qwerty |
| 5 | abc123 |
| 6 | 123456789 |
| 7 | 111111 |
| 8 | 1234567 |
| 9 | Iloveyou |
| 10 | adobe123 |