1.4 Passwörter – sicher gewählt, einfach zu merken

Der
Gebrauch von Passwörtern ist praktisch Teil jeder Dokumentation
zum Thema Datensicherheit. Daher werde ich an dieser Stelle nur kurz
darauf eingehen. Dass Namen von Personen und Orten oder einfache
Begriffe nicht als Passwort verwendet werden dürfen, sollte
jedem klar sein. Versionen wie etwa
"g3b4u1" ("gebaut") mögen originell sein –
wirklichen Schutz bieten sie jedoch auch nicht.

Ein
sicheres Passwort
ist mindestens achtstellig, besteht aus einer
Kombination von Groß- und Kleinschreibung, Umlauten sowie
Zahlen und Sonderzeichen. In manchen Fällen sind keine Umlaute
oder Sonderzeichen erlaubt – die übrigen Regeln behalten jedoch
weiterhin ihre Gültigkeit.

Wie kann
man sich sichere Passwörter merken? Eine der einfachsten und
zugleich sichersten Methoden ist die Bildung von Sätzen und
deren Abkürzung. Das sind dann etwa wie folgt aus:

"zwei
ganz enge Freunde werden fünf bösen Kerlen übel eins
verpassen"
-> 2geFw5böKü1v

So ist
es auch möglich sich längere Passwörter einfach zu
merken. (Durch Verwendung als Beispiel ist dieses Passwort
natürlich als kompromittiert anzusehen)

Ein
solches Passwort ist relativ sicher vor so genannten
"Brute-Force-Angriffen", bei denen mit elektronischen
Wörterbüchern alle möglichen Begriffe ausprobiert
werden, um so das Passwort zu "erraten".

Für
einige Gelegenheiten benötigt man stattdessen eine Passphrase
(auch Mantra genannt). Dabei handelt es sich um einen längeren
Satz, der genau wie ein Passwort verwendet wird. Für eine
Passphrase empfiehlt es sich, keine kurzen Redensarten wie "Eile
mit Weile" zu benutzen – ein längerer Satz ist hierbei
quasi Pflicht (sonst könnte man auch gleich nur ein Passwort
nehmen). Die Verwendung ungewöhnlicher Worte, etwa aus einer
(erdachten) Mundart, sichern das Mantra zusätzlich ab:

"Wo
die Buba no machen weylt nur selten o Gascht im Haim"
– auch
"Schraibvehler" können sinnvoll sein und das bloße
erraten erschweren.

Soviel
zur Erstellung sicherer Passwörter – ebenso wichtig wie die
sichere Erstellung ist jedoch auch der sichere Gebrauch von
Passwörtern. Auch wenn es praktisch und bequem ist, kann von der
gängigen Praxis Passwörter zu speichern (etwa zum
automatischen Start von Messengern) nur abgeraten werden.

Das
Risiko durch einen Keylogger (Schadprogramm das Tastatureingaben
protokolliert um so an sensible Daten wie etwa Kennwörter für
Online-Banking) unbeabsichtigt Passwörter preiszugeben ist
geringer, als sie durch Speicherung für Programme zu gefährden.

Ein
letzter Punkt zum Thema Passwörter allgemein ist das Thema
Social Engineering/Social Hacking.

Die
Gefahr eines Passwortdiebstahls beginnt nicht erst im Netz. Dennoch
wird die Gefährlichkeit dieser Art des Angriffs meist völlig
unterschätzt. In der Regel sind vor allem Unternehmen betroffen,
es ist aber auch von Vorteil für den Privatanwender dieses
Risiko zu kennen.

Social
Engineering bedeutet, dass jemand durch Vorgabe falscher
Informationen und Position (er gibt sich etwa als Mitarbeiter der
Telekom aus) und geschickte Gesprächstechnik den Gegenüber
manipuliert und dazu verleitet, sensible Daten (hauptsächlich
Passwörter) zu verraten. Diese Methode an Passwörter zu
gelangen hat sich gegenüber den oben genannten
"Wörterbuch-Angriffen" als weitaus erfolgreicher
erwiesen. Ein wahrer Meister in dieser Kunst war David Mitnick, ein
Ex-Hacker, der nun eine Firma für Sicherheitsberatungen
führt und Bücher zu diesem Thema geschrieben hat.

Beste
Methode zur Abwehr solcher Angriffe, ist die Devise "Trust
noone" (Vertraue niemandem). Keinesfalls sollten Passwörter
per Mail oder Telefon an angebliche Mitarbeiter irgendeines
Unternehmens weitergegeben werden.

Zum
Abschluss des ersten Kapitels möchte ich noch auf eine besonders
effektive Sicherheitsmaßnahme hinweisen:

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.