Varonis Tipps zur Passwort-Erstellung
Der beste Passwortgenerator? Sie selbst!
Von Andy Green, Varonis
Mal ehrlich: Wenn es darum geht, neue Passwörter zu erfinden, sind wir alles andere als kreativ. Sie sind zu kurz, zu offensichtlich, und Hacker sind geübt darin, sie zu entschlüsseln – entweder durch schlichtes Raten oder mithilfe von Passwort-Hashes aus umfangreichen, vorberechneten Tabellen.
Wie schlecht sind unsere kollektiv vorhandenen Erfindungskünste in Sachen Passwörter wirklich? Lesen Sie selbst. Bei einem riesigen Datendiebstahl bei RockYou im Jahr 2009 wurden 32 Millionen unverschlüsselte – ja, das hat mich auch schockiert – Passwörter gestohlen und ins Internet gestellt.
Wir haben nun eine relativ klare Vorstellung davon, wie einfallslos die Allgemeinheit an dieser Stelle sein kann.
Riskante Bequemlichkeit
Es ist wenig überraschend, dass „123456“ das beliebteste Kennwort war, das fast 300.000 Nutzer ausgewählt hatten, gefolgt von den üblichen Verdächtigen: „password“, „iloveyou“ und „rockyou“, der Name des Online-Gaming-Dienstes selbst.
Das Motiv dahinter durchaus verständlich: Bequemlichkeit. Nachdem ich die RockYou-Dateien durchgesehen habe, kann ich sagen, dass die folgende Formel alles andere als originell ist: <Ihr Name> + „boy“ oder „girl“ + <beliebige zweistellige Zahl>.
Hacker profitieren von unserem Wunsch nach Bequemlichkeit und stellen auf dieser Grundlage fundierte Mutmaßungen mit hoher Trefferwahrscheinlichkeit an.
Es wird nur wenig komplizierter, wenn sie eine Liste mit Passwort-Hashes in die Finger bekommen, wie es bei dem berühmt-berüchtigten Sicherheitsvorfall bei LinkedIn der Fall war. Mithilfe bestehender Passwortlisten und Wörterbücher mit häufig verwendeten Wörtern lassen sich riesige Tabellen vorberechnen und Passwörter mit Hashwerten verknüpfen. Nach einem kurzen Reverse-Lookup ist die verschlüsselte Hash-Sequenz dann geknackt.
Ja, das Hinzufügen so genannter „Salts“ hilft. Doch angesichts der enormen Rechenleistung, die dem Durchschnittshacker zur Verfügung steht sind inzwischen Offline-Brute-Force-Attacken möglich.
Je länger, desto besser
Eine offensichtliche Möglichkeit, Hackern das Leben zu erschweren ist es, schlicht längere Passwörter zu verwenden. Informationstheoretisch gesprochen geht es darum die Informationsentropie zu erhöhen.
Warum machen ein paar Zeichen mehr in einem Passwort einen so großen Unterschied? Das hat mit der Kraft des exponentiellen Wachstums zu tun.
Sagen wir, für die Wahl Ihres Passworts stehen Ihnen Groß- und Kleinbuchstaben (52 Möglichkeiten), Zahlen (10) und die sämtliche Interpunktionszeichen sowie sonstige alphanumerische Symbole (etwa 13) zur Verfügung. Durch ein zusätzliches Zeichen in Ihrem Passwort ergeben sich in Summe also 75 neue Möglichkeiten.
Bei einem sechsstelligen Kennwort gibt es 75 hoch sechs Möglichkeiten, also über 200 Milliarden. Im Zeitalter von Big Data ist das keine wahnsinnig große Zahl. Mit zwei Zeichen mehr stehen die Hacker vor einer Billiarde Möglichkeiten – das sind tausend Billionen.
Mit längeren Kennwörtern – ab etwa acht bis zehn Zeichen – sind Attacken, die auf dem Erraten von Passwörtern basieren von vornherein zum Scheitern verurteilt. Und Hacker, die eine Datei mit Passwort-Hashes ergattert haben, stünden vor einem ernsthaften Rechnerproblem.
Einfache, lange Passwörter
Wir Menschen sind tatsächlich in der Lage, uns lange Kennwörter auszudenken. Die Technik, die ich nun vorstelle, basiert auf einer altmodischen Gedächtnisstütze: der Eselsbrücke.
Die Idee dahinter ist, eine Geschichte zu erfinden und daraus Buchstaben und Symbole zu generieren. Ich weiß, dass ich samstags bestimmte Besorgungen machen muss. Ich verwende also die folgende Geschichte: Jeden Samstag um 10 Uhr gehe ich zur Reinigung und hole meine 2 Hemden ab.
Aus diesem Satz nehme ich den ersten Buchstaben jedes Worts, um mein langes, nicht zu entschlüsselndes Kennwort zu generieren: JSu10UgizRuhm2Ha. Dieses Passwort könnte ich mir normalerweise niemals merken. Doch dank der kleinen Geschichte kann ich es in Sekundenschnelle rekonstruieren.
Sie können Ihrer Kreativität freien Lauf lassen.
Ihre Aufgabe ist nun also der gute Vorsatz fürs neue Jahr:
Im Januar 2015 alle Passwörter ändern.