Passwortsicherheit und wie ihr Hacking Angriffe vorbeugen könnt
Timmis Alptraum
Moin. Das ist Timmi (9). Timmi ist unwissend und gibt sich bei der Vergabe seine Passwörter keine Mühe. Deswegen, und weil er aus hochseriösen Quellen erfuhr, dass es sich hierbei um das offiziell sicherste Passwort der Welt handelt, entscheidet er sich für das Kennwort “Mb2.r5oHf-0t”. Eines Tages wird Timmi erschreckenderweise gehackt und sein Inventar im Wert von 15 Fantastillionen DM ist Geschichte. Schade.
Damit DIR das nicht passiert, denn du, der du mithilfe dieses Beitrags zu den Wissenden gehörst, hat Timmi hier einige nützliche Tipps hinterlassen.
Überblick
Die wichtigsten Regeln im kurzen Überblick:
- Passwörter sollten mindestens 10 Zeichen lang sein, lieber 12. Für besonders sensible Accounts (Bank, Paypal, Email, etc) ist 16 die bessere Wahl
- Sensible Konten sollten generell stärker geschützt werden
- Jedes Nutzerkonto sollte ein eigenes, einzigartiges Passwort haben.
- Passwörter sollten nie, nie, nie aus realen Wörtern bestehen.
- 2-Faktor-Authentifikation nutzen soweit dies möglich ist
- Passwort-Manager nutzen, damit man sich keine Fantastilliarden von kryptischen Passwörtern merken muss
- Dashlane
- Keepass
- EnPass
- Last Pass
- 1Password
- Passwort-Depot
- https://www.datenschutz.org/passwort-manager-vergleich/
- Die Infektion des Rechners mit Viren, Trojaner & Co. vermeiden
- Antiviren Programm für Laien
- Noscript-Plugin für Technik-affine
- Windows Update regelmäßig durchführen
- Überprüfen, ob dein E-Mail Konto oder deine genutzten Passwörter bereits geleakt wurden
- Passwörter niemals weitergeben
- Wenn es doch notwendig war, hinterher Passwort ändern. Selbst wenn der Person zu trauen ist, ist der Übertragungsweg oder der Speicherort ggf. nicht sicher
Timmis Fehler analysiert
Aber nun weiter ins Detail.
Häufig verwendete Passwörter
Der größte Fehler, den Timmi begangen hat, ist, dass er sich für ein Passwort entschieden hat, das weltweit exakt so schon ein oder zwei Mal - man weiß es nicht - genutzt wurde und vor allem: Es wurde möglicherweise in einem oder mehreren Datenlecks geleakt. Das heißt mit Pech findet es sich in den sehr sehr großen Datenbanken des Darknets wieder, möglicherweise auch mit dem MD5-Algorithmus (Message-Digest Algorithm 5) verschlüsselt. Dieser Algorithmus verschlüsselt einen Text jedes Mal genau gleich, sodass die Hacker nur alle bekannten Passwörter selber verschlüsseln müssen und ZACK haben sie möglicherweise eine Übereinstimmung und Zugriff zu einem fremden Konto.
Als Kleine Demonstration versucht doch bitte mal das Passwort, das zu diesem Hash-Wert gehört herauszufinden.
Hash-Wert: e10adc3949ba59abbe56e057f20f883e
MD5-Generator: https://www.md5-generator.de/
Gleiches Passwort für alles
Ein weiterer Fehler: Timmi hat das gleiche Passwort für alle seine Benutzerkonten gewählt und hat somit quasi die Leitplanke auf der Bowlingbahn hochgeklappt. Für den gemeinen Hacker ein Festmahl zum Sparpreis. Lecker. Das Problem für Timmi: Der Hacker kann sich so ohne große Müh in seinem E-Mail Konto anmelden und die Passwörter aller anderen Plattformen, die er ebenfalls gehackt hat, ändern, sodass Timmi keinen Zugriff mehr auf irgendein Account hat. Außerdem kann er über Paypal oder andere Umwege das Bankkonto leersaugen. So wird der Luxus des schnell eingegebenen Passwortes ganz schnell zum Spontanurlaub in Lucifers Hinterhof.
Passwortlänge
Aber hat Timmi denn trotzdem was richtig gemacht? Ja, wenn auch nicht selber. Denn die Verfasser des hoch renommierten Artikels haben bei der Forschung des sichersten Passwortes der Welt darauf geachtet, dass es auch WIRKLICH sicher ist. So besteht es aus keinen realen Wörtern, hat keine Zeichenkettenfolgen, die an der Tastatur direkt aneinander liegen (asdfghj) - es ist quasi kryptisch. Erster Pluspunkt. Außerdem hat es 12 Zeichen an der Zahl. Mit unseren aktuellen Rechnern, selbst mithilfe von Bot-Netzwerken oder Bitcoin-Minern ist das ziemlich schwierig zu knacken.
Kurz zur Veranschaulichung:
Hier sind alle Zeichen, die in Passwörtern standardmäßig genutzt werden können:
A-Z: 26
a-z: 26
0-9: 10
Oft erlaubte Sonderzeichen ( ! * # , ; ? + - _ . = ~ ^ % ( ) { } [ ] | : " / ) : 24
Umlaute sind oft nicht erlaubt.
Zusammen sind es also 86 verschiedene Zeichen. Das war einfach. Jetzt wird es aber ein wenig schwieriger, denn nun wird potenziert. Für jedes Zeichen in deinem Passwort, wird die Anzahl der möglichen Zeichen (ich nenne es hier x) ein Mal mit sich selbst multipliziert.
Also mathematisch ausgedrückt: Anzahl der möglichen Passwortkombinationen = x^n.
Wenn du nun ein Passwort mit n=12 Zeichen hast, ergibt das die Zahl 163.674.647.745.587.512.938.496, also gerundet 163,7 Trilliarden Möglichkeiten an verschiedenen Zeichenfolgen. Das ist für moderne Computer schon nicht ganz so einfach zu knacken. Genauer gesagt wären sie vermutlich viele, viele Jahre und bei steigender Passwortlänge sogar Jahrtausende oder -millionen damit beschäftigt. Das ist auch der Grund, weshalb Passwörter über 20 Stellen zumindest noch nicht notwendig sind.
Kryptische Passwörter
Aber damit noch nicht genug. Gibt es denn Dinge, die Timmi noch hätte falsch machen können? Ja, allerdings!
Zum Beispiel hätte er, um es sich besser merken zu können, seinen Namen in Kombination mit seinem Geburtstag nehmen können. Das wäre dann “TimmiStrupkopp29022012”. Laien könnten nun denken “nun, es hat 22 Zeichen, damit ist es also bestimmt sicher!”, aber halt stopp! Der Schein trügt, denn Hacker können z.B. mithilfe von Botnetzwerken sogenannte Brute-Force Angriffe durchführen. Das bedeutet, sie probieren alle denkensmögliche Kombinationen von Zahlen und Wörtern aus, die sich in Wörterbüchern oder Namensdatenbanken befinden. So wird ein selbst sehr langes Passwort, das aber aus handelsüblichen Wörtern besteht, meist schneller geknackt als ein ausreichend kürzeres Kennwort, das dafür aber kryptisch ist.
2-Faktor-Authentifikation
Hätte der liebe Timmi bei Steam zusätzlich zu seinem Passwort eine 2-Faktor-Authentifikation genutzt, die bei Steam über die Steam-App läuft und per Pushup-Benachrichtigung auf den Sperrbildschirm poppt - sehr praktisch und schnell - , wäre sein Konto vermutlich nie geknackt worden und er hätte seine AWP Dragon Lore behalten können. Autsch. Auch andere Plattformen wie Amazon oder Paypal bieten eine solche Authentifikation an. Wer auf Nummer sicher gehen will, der sollte zusätzlich zum sicheren Passwort soweit es verfügbar ist, die 2-Faktor-Authentifikation nutzen.
Der Passwort-Manager
Nun denkt ihr bestimmt “Aber wer soll sich denn bitte ‘nhB4QGz9jM?K’ merken können?!?!!11!?” Damit habt ihr natürlich recht, das können wohl nur sehr wenige. Die relativ einfache Lösung: Passwort-Manager. Diese speichern deine Passwörter mit einer sicheren Verschlüsselungs-Methode (Z.B. SHA256), sodass der Zugriff auf diese nur mit einem Master-Passwort oder z.B. in Kombination mit 2-Faktor-Identifikation möglich ist. Zusätzlich sind die gespeicherten Passwörter quasi unknackbar. Heißt: Ein am besten 16-stelliges Passwort merken, dass die oben genannten Kriterien erfüllt und in dieser Software alle anderen Passwörter speichern lassen. Übrigens gibt es für einige dieser Programme auch Autofill-Optionen, die deine Kennwörter automatisch in Anmeldeformulare einfügen!
Den PC Virenfrei halten
Für den durchschnittlichen Nutzer eines PCs kann die Nutzung eines Antiviren-Programms plus regelmäßige Testdurchläufe ausreichend sein. Wer sich aber mit Technik ein bisschen auskennt und keine Mühen und Aufwand scheut, dem lege ich noscript oder vergleichbare Plugins ans Herz.
noscript verbietet allen Webseiten die Nutzung von jeglichen Javascript-Skripten. Klingt erstmal doof, und das ist es auch. Denn ohne die eigene Mühe, jedes Script, das man als vertrauenswürdig einstuft, manuell in eine Liste hinzuzufügen, ist dann das Internetz erstmal kaputt.
Wem das zu viel ist, der kann dieses Plugin auch einfach nicht nutzen. Aber für diejenigen, die gerne auf dubiosen Seiten unterwegs sind oder einfach keinen Bock auf Pop-Ups oder sogar unseriöse Werbung haben, die bekommen hiermit die Möglichkeit, diese komplett zu blockieren und damit sicherer durch die Weiten des unsicheren Internetzes zu wandern.
Des Weiteren gibt es in Windows Hintertüren oder einfach nur Bugs, durch die bestimmte Viren oder Würmer reinspazieren können, als wären sie schon zuhause. Diese werden von Microsoft aber regelmäßig gestopft und durch Sicherheitsupdates der Öffentlichkeit zugänglich gemacht. Wenn aber der Nutzer sein Betriebssystem nicht auf Sicherheitsupdates aktualisiert, dann kann das passieren, was 2017 Millionen von Menschen, Unternehmen, Banken, Regierungen und Behörden passiert ist: WannaCry. Einer der schlimmsten Würmer unserer Zeit. Zum Zeitpunkt der Attacke war die Sicherheitslücke in Windows bereits gefixt und das Update war draußen - aber keiner updatet seinen Computer. Also wurde Millionen von Computern komplett unbrauchbar gemacht, indem die Festplatten verschlüsselt wurden. Wen es interessiert, hier ein sehr, sehr gutes Video von Simplicissimus
Bereits geleakte Konten oder Passwörter unbedingt meiden
Da Timmi nun doch noch alle seine Konten durch Tagelange Arbeit und viele viele Telefonate mit Supportstellen der Plattformen zurückbekommen hat, fragt er sich, wie unsicher seine bisher gewählten Passwörter und E-Mail Konten wirklich waren. Dazu gibt er bei z.B. https://haveibeenpwned.com seine E-Mail Adresse “[email protected]” ein (bitte nachmachen). Erschüttert stellt er fest, dass sie in unzähligen Datenlecks geleakt worden ist. Hätte er das vorher gewusst, hätte er den ganzen Schlamassel verhindern können.
Fazit und eigene Meinung
(weiter unten in den Kommentaren, zu wenig Platz hier...)