Sicherheitsanforderungen an Passwörter
(firmenpresse) - Das Knacken von Passwörtern beispielsweise mittels Brute-Force-Angriff ist heutzutage nicht mehr nur ein Hobby, sondern ein Milliardengeschäft. Der IT-Dienstleister Mahr EDV informiert zu Methoden der Passwortentschlüsselung und wie man sich effektiv gegen diese schützt:
Professionelle Gangster verschaffen sich nicht mehr nur Zugang zu Ebaykonten von Privatpersonen (vgl. Westdeutsche Zeitung vom 04.01.2016), auch Unternehmen werden routiniert ausspioniert, um Lösegelder zu erpressen (vgl. Heise online vom 13.05.2017).
Dabei wird die benötigte Rechenleistung schon lange nicht mehr von einem Menschen erbracht, sondern Maschinen überlassen. Während ein einzelner aktueller PC ein 8-stelliges alphanumerisches Passwort ohne Sonderzeichen binnen eines Tages knacken kann, benötigt ein Botnet dafür weniger als fünf Minuten. Selbst ein aktuelles Iphone würde diese Aufgabe binnen höchstens einer Woche erfolgreich abgeschlossen haben (vgl. Mahr EDV Tabelle).
Effektiver Schutz vor Brute-Force-Angriff und anderen Methoden
Zu den einfachsten Angriffsformen zum Erlangen fremder Passwörter gehört das Social Engineering, bei welchem der Angreifer Passwörter wie Namen oder Geburtstage von Freunden oder Familienmitgliedern ausprobiert. Ebenso simpel ist die Wörterbuchattacke, bei der bekannte Wörter, Namen von Stars, Fußballklubs etc. oder einfachste Buchstaben- oder Zahlenkombinationen zum Einsatz kommen (vgl. n-tv vom 22.12.2016).
Erschreckender Weise gehören zu den beliebtesten Passwörtern "123456", "hallo", "Passwort" und "hallo123". Nach wie vor ist der Brute-Force-Angriff beliebt, mit dem jedes Passwort durch systematisches Durchspielen aller erdenklichen Kombinationen geknackt werden kann - das ist nur eine Frage der Zeit. Ein aus 6 Kleinbuchstaben bestehendes Passwort bietet eine Varianz von aaaaaa bis zzzzzz, bei 26 Buchstaben also 266 (ca. 309 Mio.) Möglichkeiten, die auch ein handelsüblicher PC binnen weniger als einer Sekunde knacken kann.
Computer steigern ihre Rechengeschwindigkeit Jahr für Jahr. Ein handelsübliches iPhone 6s rechnet heutzutage schneller als der im Jahre 1993 schnellste Supercomputer der Welt, Intel Paragon XP/S 140, der in New Mexico, USA betrieben wurde.
Sichere Passwörter ausdenken und merken
Möglichst schwer zu knackende Passwörter sind also ein wichtiger Bestandteil der IT-Sicherheit. Eine gängige Empfehlung lautet, Passwörter mit Merksätzen zu erzeugen. Ein Beispiel:
Die Verwendung der Anfangsbuchstaben, Zahlen und Sonderzeichen aus dem Merksatz "Mein Hund heißt Otto. Er frisst für 15$ am Tag!" ergibt das sehr sichere 14-stellige Passwort "MHhO.Eff15$aT!".
Wichtige Passwortregeln
Für ein wirklich sicheres Passwort sollten folgende Regeln beachtet werden:
1. Mindestlänge ab 14 Zeichen für wichtige Anwendungen und mindestens 8 Zeichen für weniger wichtige Anwendungen
2. Verwendung von mindestens zwei Groß- und mindestens zwei Kleinbuchstaben sowie mindestens zwei Ziffern und Sonderzeichen (bspw.: !"#$%&'()*+,-./:;<=>?(at)[]_"{|}~)
3. Keine Verwendung von vier oder mehr Zeichen, die in dieser Reihenfolge in einem zumindest deutschen oder englischen Wörterbuch vorkommen
4. Die Verwendung von "Leetspeek" (Ersetzen von Buchstaben durch ähnlich aussehende Ziffern oder Sonderzeichen) erhöht die Sicherheit von Passwörtern nicht
5. Keine Verwendung von drei oder mehr Zeichen, die in dieser Reihenfolge im Namen, Firmen-, Marken-, oder Produktnamen, der Anschrift, Geburts-, Gründungsdaten, Namen von Kindern, Freunden, Partnern, Lieblingsmannschaften oder Berühmtheiten vorkommen
6. Keine Verwendung von zwei oder mehr gleichen Zeichen hintereinander
7. Verwendung von drei oder mehr gleichen Zeichen pro Passwort
8. Keine Verwendung von Mustern oder Tastaturmustern (bspw. "asdf" oder "1234")
9. Keine Verwendung von gleichen Passwörtern bei verschiedenen Anwendungen oder Mandanten
10. Regelmäßige Änderung von Passwörtern, allermindestens jährlich für sehr aufwändige Passwortwechsel, wenngleich ein monatlicher oder quartalsweiser Wechsel bspw. bei Benutzerkennwörtern zu empfehlen ist
11. Verwendung von Bildschirmschoner-Passwörtern
12. Passwörter nicht an fremden Computern eingeben oder danach schnell wechseln
13. Passwörter nicht weitergeben, sondern geheim halten und sichere Passwortmanager verwenden
14. Bei Verwendung von Umlauten oder Sonderzeichen sollte bedacht werden, dass diese bei Verwendung ausländischer Tastaturen ggf. schwerer einzugeben sind.
Mahr EDV ist der Computerspezialist für alle Belange rund um die IT-Struktur von Unternehmen ab fünf Rechnern: Wartung und Support, Consulting und Implementierung, Cloud-Dienste, Server Monitoring und vieles mehr - in Berlin, Potsdam, Düsseldorf und der jeweiligen Umgebung.
Mahr EDV GmbH
Thomas Maul
Kaiserin-Augusta-Allee 111
10553 Berlin
thomas.maul(at)mahr-edv.de
030-770192200
http://www.mahr-edv.de