Definition

Was ist ein sicheres Passwort?

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Passwörter sind essentiell im IT-Alltag.
Passwörter sind essentiell im IT-Alltag. (Bild: pixabay / CC0)

Kennwörter sind essentiell für den Alltag im IT-Umfeld. Damit sind sie auch ständig im Fokus von Angreifern. Der Lexikoneintrag zeigt die Grundlagen zu Attacken, Passwortstärken und Schutzfunktionen.

Passwörter sind wie Hausschlüssel: Ein notwendiges Übel, weil es keine bessere oder leichter zu nutzende Lösung gibt. Daher sichern Kennwörter noch immer den Zugriff auf Web-Anwendungen, Nutzerkonten und IT-Systeme.

Was macht ein sicheres Passwort aus?

Die Sicherheit eines Kennworts lässt sich am einfachsten über die Entropie definieren. Die Wikipedia erklärt es ziemlich gut: Ein Kennwort mit einer Entropie von 42 Bits benötigt 2 hoch 42 Versuche, um alle Möglichkeiten durchzuspielen. Die Entropie hängt neben der Länge mit den verwendeten Zeichen zusammen. Eine gute Richtlinie ist: Mindestens acht Zeichen lang, große und kleine Buchstaben, ein paar Sonderzeichen. Das amerikanische NIST schlägt zudem vor, dass künftig nicht mehr nur das englische Alphabet, sondern alle druckbaren ASCII-Zeichen in Kennwörtern erlaubt sind. Eine gute Alternative ist ein Passwort-Manager.

NIST definiert neue Passwort-Regeln

Passwort-Sicherheit

NIST definiert neue Passwort-Regeln

05.12.16 - Das Passwort ist nicht totzukriegen. Die amerikanische Standardbehörde NIST arbeitet an neuen Vorgaben für den Einsatz von Kennwörtern. Die gute Nachricht: Für Nutzer soll es einfacher werden, starke Passwörter zu verwenden. Rechtlich sind die Ansätze nicht bindend, für Entwickler sind sie aber eine solide Richtlinie. lesen

Wie werden Passwörter geknackt?

Stark vereinfacht gesagt gibt es zwei Wege, um ein Kennwort zu knacken: Kriminelle können entweder ein bekanntes Passwort übergeben oder ein Unbekanntes knacken. Der Weg Nummer eins ist für Angreifer deutlich schneller, hat aber einen Nachteil: Sie müssen sich irgendwo das zum Nutzernamen passende Kennwort besorgen. Deswegen wird diese Technik oft in Zusammenhang mit großen Datenzwischenfällen angewandt, bei dem Nutzernamen und Passwörter (idealerweise im Klartext) gestohlen wurden. Ein Klassiker hier ist die RockYou-Liste. Dem Unternehmen wurde 2009 die Datenbank mit 32 Millionen Nutzerdaten gestohlen, die Passwörter waren dabei im Klartext abgespeichert. Spezielle Tools können solche Listen einlesen und anschließend automatisiert gegen bekannte Nutzerkonten ausprobieren. Bei einem Treffer erhalten die Angreifer Zugriff auf das jeweilige Konto oder System.

Eine leichte Abwandlung ist die Pass-the-Hash-Attacke. Dabei verschaffen sich Angreifer Zugriff auf Systeme, indem sie statt dem Klartextpasswort den NTLM oder LanMan-Hash des Kennworts übergeben. Dieser ist oftmals deutlich einfacher zu erhalten. Die Attacke ist nicht neu und immer noch überraschend erfolgreich, sie kam etwa bei einem Angriff auf Yahoo in 2016 zum Einsatz.

Wenn keine passenden Kennwörter verfügbar sind, dann hilft nur noch die Brachialmethode. Per Brute Force werden Passwörter erraten, indem spezialisierte Systeme Kennwörter Zeichen für Zeichen ausprobieren. Die dafür notwendigen Systeme sind meist auf diese Aufgabe spezialisiert und schaffen teilweise beeindruckende Zahlen. In 2012 wurde ein System bekannt, dessen aus 25 AMD-Grafikkarten bestehender Cluster bis zu 350 Milliarden Kennwörter pro Sekunde ausprobieren konnte.

Beliebte Passwort-Manager im Überblick

Kennwortverwaltung

Beliebte Passwort-Manager im Überblick

01.02.17 - Programme zur Kennwortverwaltung sind praktisch und nehmen dem Anwender das Merken langer Zeichenkombinationen ab. Passwort-Manager gehören inzwischen ins Arsenal von IT-Profis. In diesem Artikel stellen wir mehrere Lösungen vor. Neben Cloud-basierten Applikationen und lokal installierten Managern zeigen wir drei Lösungen, die Kennwörter nicht speichern sondern bei Bedarf berechnen. lesen

Wie schütze ich Systeme?

Wenn Nutzer sichere Kennwörter haben, müssen nur noch Anbieter ihre Systeme schützen. Alle gespeicherten Zugangsdaten sollten gehasht und mit einem Salt gespeichert werden. Zudem schadet es nicht, die hundert bekanntesten Passwörter direkt zu verbieten, entsprechende Listen finden sich im Netz. Wenn der Nutzer ein starkes Passwort mit hoher Entropie gewählt hat, macht es wenig Sinn, ihn ohne Grund zu einem Wechsel zu überreden. Wo immer möglich sollte man also auf automatische Ablaufdaten verzichten.

Gegen Brute-Force-Attacken hilft eine Limitierung bei der Eingabe der Kennwörter. Echte Nutzer sollten ihr Passwort in drei Versuchen eigentlich richtig eingeben. Danach sollten Systeme eine Pause vor der nächsten Eingabe erzwingen. Diese kann zunächst wenige Sekunden betragen, sollte aber immer länger werden. Nach einer unrealistischen Zahl von Logins sollte der Account gesperrt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Der kriminelle Untergrund im Dark Web

Was Sie über das Dark Web wissen müssen

Der kriminelle Untergrund im Dark Web

Den Begriff Dark Web hat jeder schon einmal gehört. Die meisten verstehen darunter eine düstere Unterwelt für Cyber-Kriminelle, die von den meisten Internetbenutzern möglichst gemieden wird. Doch was genau ist das Dark Web, wie wird es genutzt und welche Auswirkungen hat es auf die Cyber-Sicherheit? Sophos Sicherheitsexperte Chet Wisniewski bringt etwas Licht ins dunkle Netz. lesen

Stiftung Warentest testet Passwort Manager

Passwortmanager unter der Lupe

Stiftung Warentest testet Passwort Manager

Die Stiftung Warentest hat sich Programme zur Speicherung und Verwaltung von Kennwörtern angesehen. Neun Programme waren im Test, neben Cloud-Diensten wie Dashlane und LastPass haben die Tester auch lokale Programme wie F-Secure Key und Kaspersky Passwort Manager überprüft. lesen

Sicherheitsrisiken des Smart Home und Gegenstrategien

Konzepte zur IoT-Sicherheit

Sicherheitsrisiken des Smart Home und Gegenstrategien

Das Internet of Things (IoT) verhilft auch dem Konzept des Smart Home durch immer mehr vernetzte Geräte zu stärkerer Verbreitung. Smart-Home-Netzwerke verfügen aber über mindestens eine Verbindungsschnittstelle, über die Angreifer potentiell eindringen können. Um dies zu verhindern braucht es ein erprobtes Hardware-Sicherheitskonzept. lesen

Sichere Authentifizierung mit Azure Active Directory

Video-Tipp: Azure Active Directory

Sichere Authentifizierung mit Azure Active Directory

Immer mehr Unternehmen setzen auf Cloud-Dienste. Azure Active Directory ermöglicht Unternehmen den Aufbau einer zentralen, Cloudfähigen Single-Sign-on (SSO)-Infrastruktur, damit sich Anwender an Cloud-Diensten sicher authentifizieren können. Benutzer lassen sich sogar zwischen AAD und lokalen AD-Gesamtstrukturen synchronisieren. lesen

USA bringen Gesetz für mehr IoT-Sicherheit auf den Weg

IoT Cybersecurity Act 2017

USA bringen Gesetz für mehr IoT-Sicherheit auf den Weg

Mehr Sicherheitsstandards für das Internet der Dinge – was viele Security-Experten längst fordern, soll in den USA nun im IoT Cybersecurity Act umgesetzt werden. Denn der neue Gesetzesvorschlag legt für IoT-Geräte, die im Regierungsumfeld eingesetzt werden, strenge Sicherheitsrichtlinien fest. lesen

5 Herausforderungen in hybriden Active Directory-Umgebungen

Identity & Access Management in AD und AAD

5 Herausforderungen in hybriden Active Directory-Umgebungen

Fast 90 Prozent aller Unternehmen weltweit setzen Active Directory als On-Premises-Variante ein. In der Welt des Identity und Access Managements (IAM) ist AD heute so allgegenwärtig wie notwendig und Azure Active Directory, der Cloud-basierte Bruder, gewinnt zunehmend an Bedeutung. lesen

Einheitlicher Zugang zu Online-Diensten

Verimi plant digitalen Generalschlüssel

Einheitlicher Zugang zu Online-Diensten

Anfang 2018 startet mit Verimi eine Datenplattform als deutsche Antwort auf das Universal Login á la Facebook. Das System fungiert als digitaler Generalschlüssel per Single-Sign-On und soll den Zugang zu Internet-Diensten sicherer und einfacher machen. lesen

Sicherheitslücken bei vernetzten Überwachungskameras

Stiftung Warentest

Sicherheitslücken bei vernetzten Überwachungskameras

Sie sollen für Sicherheit sorgen, sind aber selbst zum Teil sehr unsicher. Die Stiftung Warentest findet bei Überwachungskameras mit Internetverbindung viele Mängel. Was sind die Probleme? lesen

Zero-Day-Lücke im neuen macOS High Sierra

Keychain lässt sich stehlen

Zero-Day-Lücke im neuen macOS High Sierra

Das neue macOS High Sierra lässt sich bereits herunterladen. Allerdings liefert Apple es scheinbar mit einer massiven Sicherheitslücke aus. Wie ein Sicherheitsforscher zeigt, können Angreifer über manipulierte Apps die Passwort-Informationen der Keychain auslesen. Ein Patch steht noch aus. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44456262 / Definitionen)