Wie merkt man sich Passwörter?


Die besten Sicherheitsmaßnahmen sind nutzlos, wenn schwache Zugangsdaten gewählt werden. Damit stellen sich zwei wesentliche Fragen, welche ich nachfolgend erläutern möchte.

Was ist eigentlich ein schlechtes Passwort?
Wie kann ich sichere Passwörter erstellen und mir merken?

Es gibt zwei wesentliche Angriffsmöglichkeiten, in Zugangsdaten zu erraten.

  1. BruteForce
    Alle Kombinationen werden durchprobiert. Abhängig von der Zeichenwahl und Länge des Passwortes gibt es eine endliche Anzahl an Kombinationen.(formal, Leistung Laptop, Beispiel

    Z = Zeichen-Pool

    L = Passwort-Länge

    X = Anzahl Kombinationen

    ZL = X

    Erläuterung Zeichen-Pool:

    Alphabet (a-z): 26 Zeichen

    Groß und Kleinschreibung (a-Z): 2 mal Alphabet

    Zahlen 8 (0-9): 10 Zeichen

    Sonderzeichen (#!…): 10 Zeichen

    Zusätzlich kommt es natürlich auf die Hardware-Ausstattung des Angreifers an. Nachfolgend ein Beispiel, um dies zu verdeutlichen.

    Alphabet (a-z): 26 ZeichenGroß und Kleinschreibung (a-Z): 2 mal AlphabetZahlen 8 (0-9): 10 ZeichenSonderzeichen (#!…): 10 Zeichen

    Z (a-Z) = 52

    L = 8

    528 = 53 * 1012

    Gaming-Laptop:
    Kombinationen pro Sekunde = 350 * 106
    Benötigte Zeit: 6 Tage

    GPU-RechenCluster:
    Kombinationen pro Sekunde = 180 * 109
    Benötigte Zeit: 5 Sekunden

    Hier noch der zusätzliche Hinweis, dass statisch gesehen, das Passwort nach der halben Zeit erraten wird.

  2. Wörterbuch
    Liste aus möglichen Passwörtern (öffentliche Listen, Eigene Liste, Default Credentials, Company, Facebook und Co) oder mutieren (+Jahr oder Sonderzeichen)

Danach wären Passwörter schlecht, welche

  • kurz sind
  • in Passwort-Listen stehen
  • unveränderte Wörter enthalten
  • alt sind
  • Mehrfach verwendet werden

Letzteris ermöglicht kein direkten Angriff, hat jedoch dennoch wesentlichen Einfluss, wenn bei mehreren Diensten das gleiche Passwort verwendet wird. Nur weil Amazon die Zugangsdaten der Kunden recht gut schützt, gilt dies nicht zwangsläufig für das „InSecure-HerzHund-forum.de“ oder die „vertrauenswürdige“ Fitness App aus Paraguay, die ständig meine Kamera aktiviert.

Es gibt zwei Lösungsmöglichkeiten für dieses Dilemma

  • Ein Passwort-Manager (Beitrag folgt)
  • Kreativität

Letzteres möchte ich kurz erläutern. Gehen wir davon aus, dass Ihr Euch ein Passwort für eBay benötigt. Überlegt euch einen Satz im Zusammenhang mit eBay.

Ich bin der Auktionator

Ändert die Leerzeichen in ein beliebiges Sonderzeichen und fügt eine Zahl an einer beliebigen Stelle hinzu.

Ich&bin&der7&Auktionator

Damit habt Ihr ein Passwort erstellt, welches

  • Lang ist
  • Nicht in einer Passwort-Liste steht
  • Nicht aus einem unverändertem Wort besteht
  • nicht mehrfach verwendet wurde
  • Und einfach zu merken ist

Somit bleibt lediglich der Faktor PasswortAlter, welcher von Euch beeinflusst wird. Es wird empfohlen Passwörter alle 90 Tage zu ändern. Das halte ich für Privatpersonen und bei derartig erstellten Passwörtern für übertrieben. Hier würde ich einmal im Jahr den Passwort-Wechsel erledigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.