Die Passwortvergabe kann mühselig sein: Oft müssen Nutzer nicht nur Groß- und Kleinbuchstaben verwenden, sondern ergänzend Zahlen und Sonderzeichen einbringen. Solche Passwörter sind nicht nur schwer zu merken, sondern längst nicht so sicher, wie vermutet. Wir erläutern, worauf es bei der Passwortsicherheit wirklich ankommt.
Warum Passwörter in den letzten Jahren komplexer geworden sind
Dass heute so strenge Anforderungen an Passwörter bestehen, hat einen ernsthaften Hintergrund. Das Ziel ist die Generierung komplexer / anspruchsvoller Passwörter. Andernfalls wären sie für Cyberkriminelle leicht zu knacken und damit ein Sicherheitsrisiko.
Unsichere Passwörter lassen sich in zwei Kategorien unterteilen:
- Einfache Begriffe: Noch immer gibt Nutzer, die unsichere Passwörter, wie „1234“ oder „passwort“ verwenden. Durch Ausprobieren sind sie leicht zu erraten, dasselbe gilt für Passwörter, die auf Namen (z.B. von den eigenen Kindern) oder Geburtsdaten basieren.
- Unzureichende Passwortlänge: Wie lange es dauert, bis Angreifer ein Passwort geknackt haben, hängt von der Methode des Angriffs ab. Kurze Passwörter mit einer Länge von 6 bis 8 Zeichen sind je nach Methode innerhalb von Minuten oder Stunden geknackt. Oft genügt es, wenn Angreifer den Hashwert des Passworts mit einem Rainbow Table abgleichen.
Auswirkung von Sonderzeichen auf die Passwortsicherheit
Dass Administratoren bei der Passwortvergabe vermehrt auf die Erzeugung komplexer Passwörter (Groß- und Kleinschreibung, Zahlen und Sonderzeichen) bestehen, überrascht nicht. Die Wahrscheinlichkeit, dass solche Begriffe per Wörterbuch / Dictionary Attack oder durch Aufspüren in einem Rainbow Table geknackt werden, ist deutlich geringer.
Aufgrund der Sonderzeichen wird die Anzahl an Möglichkeiten erhöht, was die Passwortsicherheit enorm steigert. So gesehen ist es vorteilhaft, komplexe Passwörter zu erzeugen. Allerdings gehen damit Nachteile einher, die gerne übersehen werden.
Komplexe Passwörter sind schwerer zu merken und daher bei Nutzern unbeliebt. Es besteht eine erhöhte Wahrscheinlichkeit, dass Nutzer solche Passwörter notieren. Dies kann z.B. auf Notizzetteln geschehen, die direkt am Monitor haften. Oder sie werden im Klartext auf einem Computer oder Smartphone gespeichert, um sie bei der Authentisierung beispielsweise via Copy and Paste einfügen zu können.
Solche Verhaltensweisen schmälern die Sicherheit. Hinzu kommt, dass Anwender solch komplexe Zugangsdaten / Begriffe auch eher vergessen. Entsprechend können sich Probleme beim Login zum Netzwerk oder System häufen, die wiederum die Produktivität verringern.
Was für eine hohe Passwortlänge spricht
Ob mittels Brute-Force-Angriff oder durch Berechnung von Rainbow Tables, das Herausfinden von Passwörtern abseits vom Social Engineering ist für Hacker eine technologische Angelegenheit. Im Grunde lässt sich jeder Hashwert knacken, letztlich ist Passwort-Hashing nur eine Frage der Zeit. Es geht um Rechenleistung und Speicherplatz.
Genau hier tun sich interessante Ansätze bei der Entwicklung eines Kennworts auf. Je größer der notwendige Aufwand, desto unwirtschaftlicher ist ein Angriff. Wenn es also nicht Stunden, sondern Jahrzehnte dauert, bis ein Hashwert entschlüsselt ist, wird ein Angreifer mit hoher Wahrscheinlichkeit aufgeben.
Ein immer noch beliebter Hash-Algorithmus ist MD5. Experten raten Entwicklern dazu, ihn nicht mehr einzusetzen und lieber Algorithmen wie SHA512 oder RIPE-MD 320 zu wählen. Denn selbst mit durchschnittlicher Hardware ist der MD5 Hashwert eines 10-stelligen Passworts innerhalb von Tagen berechnet. Erst ab einer Passwortlänge von 12 Zeichen wird ein akzeptabler Schutz geboten.
Die sinnvollste Maßnahme für eine hohe Passwortsicherheit besteht folglich darin, lange Passwörter zu verwenden. Zahlreiche Experten für IT-Security vertreten in diesem Zusammenhang die Ansicht, dass Komplexität von Länge geschlagen wird. D.h. ein 16-stelliges Passwort, das Sonderzeichen enthält, ist schneller geknackt als eines, das lediglich aus Kleinbuchstaben besteht aber 24 Zeichen lang ist.
Sicherheit durch Vergabe langer Passwörter
Je länger die Zeichenkette, desto schwieriger ist sie zu merken. Anwender fragen deshalb gelegentlich, wie lange Passwörter am besten gestaltet werden. Ein interessanter Ansatz besteht darin, mehrere gewöhnliche Wörter miteinander zu kombinieren. Wer zwei oder drei Wörter aneinanderreiht, erreicht eine hohe Passwortstärke und kann sich den Begriff meist gut merken. Hierdurch verringert sich das Risiko, dass ein Passwort notiert wird.
Außerdem bietet sich die Möglichkeit, ein langes Kennwort mittels Passwortmanager zu speichern. Dies ist zumindest Kennwörtern abseits vom System-Login möglich, beispielsweise zur Anmeldung bei Cloud Diensten. Solch eine Lösung stellt sicher, dass ein Nutzer seine Zugangsdaten zum Account nicht notiert. Im Passwortmanager sind solche Daten besser aufgehoben.
Verweis auf 2-Faktor-Authentisierung
Angreifer können über verschiedene Wege an Passwörter gelangen, z.B. über Social Engineering. Dann hilft auch die höchste Passwortstärke nicht weiter. Entsprechend sinnvoll ist es, Zugänge mittels 2-Faktor-Authentisierung abzusichern. Dieses Prinzip erschwert Angreifern den Zugriff und kann Unternehmen vor großen Schäden bewahren.
Fazit zur Sicherheit rund um Kennwörter
Einfache und kurze Passwörter sind nicht akzeptabel, am besten wird die Vergabe solcher Begriffe vom Administrator unterbunden. Nutzer sollten auf die Passwortlänge achten, 12 Zeichen und mehr sind empfehlenswert. Derartige Vorgaben helfen einen Account zu schützen und lassen sich gut in einer Passwortrichtlinie verankern.
Administratoren und Entwickler sollten für mehr Sicherheit nicht mehr auf MD5, sondern komplexere Algorithmen setzen. Die zusätzliche Integration kryptografischer Lösungen, wie SALT oder PEPPER, erschweren das Passwort-Hashing zusätzlich.
Bei Fragen zur Passwortsicherheit, insbesondere im Zusammenhang mit dem Datenschutz, helfen wir gerne weiter. Nutzen Sie unsere kostenlose Erstberatung.