Definition

Was ist ein sicheres Passwort?

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Passwörter sind essentiell im IT-Alltag.
Passwörter sind essentiell im IT-Alltag. (Bild: pixabay / CC0)

Kennwörter sind essentiell für den Alltag im IT-Umfeld. Damit sind sie auch ständig im Fokus von Angreifern. Der Lexikoneintrag zeigt die Grundlagen zu Attacken, Passwortstärken und Schutzfunktionen.

Passwörter sind wie Hausschlüssel: Ein notwendiges Übel, weil es keine bessere oder leichter zu nutzende Lösung gibt. Daher sichern Kennwörter noch immer den Zugriff auf Web-Anwendungen, Nutzerkonten und IT-Systeme.

Was macht ein sicheres Passwort aus?

Die Sicherheit eines Kennworts lässt sich am einfachsten über die Entropie definieren. Die Wikipedia erklärt es ziemlich gut: Ein Kennwort mit einer Entropie von 42 Bits benötigt 2 hoch 42 Versuche, um alle Möglichkeiten durchzuspielen. Die Entropie hängt neben der Länge mit den verwendeten Zeichen zusammen. Eine gute Richtlinie ist: Mindestens acht Zeichen lang, große und kleine Buchstaben, ein paar Sonderzeichen. Das amerikanische NIST schlägt zudem vor, dass künftig nicht mehr nur das englische Alphabet, sondern alle druckbaren ASCII-Zeichen in Kennwörtern erlaubt sind. Eine gute Alternative ist ein Passwort-Manager.

NIST definiert neue Passwort-Regeln

Passwort-Sicherheit

NIST definiert neue Passwort-Regeln

05.12.16 - Das Passwort ist nicht totzukriegen. Die amerikanische Standardbehörde NIST arbeitet an neuen Vorgaben für den Einsatz von Kennwörtern. Die gute Nachricht: Für Nutzer soll es einfacher werden, starke Passwörter zu verwenden. Rechtlich sind die Ansätze nicht bindend, für Entwickler sind sie aber eine solide Richtlinie. lesen

Wie werden Passwörter geknackt?

Stark vereinfacht gesagt gibt es zwei Wege, um ein Kennwort zu knacken: Kriminelle können entweder ein bekanntes Passwort übergeben oder ein Unbekanntes knacken. Der Weg Nummer eins ist für Angreifer deutlich schneller, hat aber einen Nachteil: Sie müssen sich irgendwo das zum Nutzernamen passende Kennwort besorgen. Deswegen wird diese Technik oft in Zusammenhang mit großen Datenzwischenfällen angewandt, bei dem Nutzernamen und Passwörter (idealerweise im Klartext) gestohlen wurden. Ein Klassiker hier ist die RockYou-Liste. Dem Unternehmen wurde 2009 die Datenbank mit 32 Millionen Nutzerdaten gestohlen, die Passwörter waren dabei im Klartext abgespeichert. Spezielle Tools können solche Listen einlesen und anschließend automatisiert gegen bekannte Nutzerkonten ausprobieren. Bei einem Treffer erhalten die Angreifer Zugriff auf das jeweilige Konto oder System.

Eine leichte Abwandlung ist die Pass-the-Hash-Attacke. Dabei verschaffen sich Angreifer Zugriff auf Systeme, indem sie statt dem Klartextpasswort den NTLM oder LanMan-Hash des Kennworts übergeben. Dieser ist oftmals deutlich einfacher zu erhalten. Die Attacke ist nicht neu und immer noch überraschend erfolgreich, sie kam etwa bei einem Angriff auf Yahoo in 2016 zum Einsatz.

Wenn keine passenden Kennwörter verfügbar sind, dann hilft nur noch die Brachialmethode. Per Brute Force werden Passwörter erraten, indem spezialisierte Systeme Kennwörter Zeichen für Zeichen ausprobieren. Die dafür notwendigen Systeme sind meist auf diese Aufgabe spezialisiert und schaffen teilweise beeindruckende Zahlen. In 2012 wurde ein System bekannt, dessen aus 25 AMD-Grafikkarten bestehender Cluster bis zu 350 Milliarden Kennwörter pro Sekunde ausprobieren konnte.

Beliebte Passwort-Manager im Überblick

Kennwortverwaltung

Beliebte Passwort-Manager im Überblick

01.02.17 - Programme zur Kennwortverwaltung sind praktisch und nehmen dem Anwender das Merken langer Zeichenkombinationen ab. Passwort-Manager gehören inzwischen ins Arsenal von IT-Profis. In diesem Artikel stellen wir mehrere Lösungen vor. Neben Cloud-basierten Applikationen und lokal installierten Managern zeigen wir drei Lösungen, die Kennwörter nicht speichern sondern bei Bedarf berechnen. lesen

Wie schütze ich Systeme?

Wenn Nutzer sichere Kennwörter haben, müssen nur noch Anbieter ihre Systeme schützen. Alle gespeicherten Zugangsdaten sollten gehasht und mit einem Salt gespeichert werden. Zudem schadet es nicht, die hundert bekanntesten Passwörter direkt zu verbieten, entsprechende Listen finden sich im Netz. Wenn der Nutzer ein starkes Passwort mit hoher Entropie gewählt hat, macht es wenig Sinn, ihn ohne Grund zu einem Wechsel zu überreden. Wo immer möglich sollte man also auf automatische Ablaufdaten verzichten.

Gegen Brute-Force-Attacken hilft eine Limitierung bei der Eingabe der Kennwörter. Echte Nutzer sollten ihr Passwort in drei Versuchen eigentlich richtig eingeben. Danach sollten Systeme eine Pause vor der nächsten Eingabe erzwingen. Diese kann zunächst wenige Sekunden betragen, sollte aber immer länger werden. Nach einer unrealistischen Zahl von Logins sollte der Account gesperrt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Datei- und Ordnerberechtigungen zurücksetzen

Tool-Tipp: Reset NTFS File Permission

Datei- und Ordnerberechtigungen zurücksetzen

Mit dem kostenlosen Tool „Reset NTFS File Permission“ können Administratoren die Berechtigungen für Dateien und Verzeichnisse schnell und einfach sichern, wiederherstellen und zurücksetzen. Im Video zeigen das Tool im Praxiseinsatz auch zusammen mit Windows Server 2019. lesen

IT-Sicherheit für die Basis

Security-Startups im Blickpunkt: Perseus

IT-Sicherheit für die Basis

Viele kleine und mittelständische Unternehmen stehen Themen wie Digitalisierung 4.0, Cloud Computing, IT Security und der DSGVO recht hilflos gegenüber. Denn Experten sind rar und entsprechende Arbeitsplätze sind oft, aus den unterschiedlichsten Gründen, verwaist. Ein junges Berliner Startup-Unternehmen versucht KMU bei den Themen Datenschutz und Cybersicherheit Hilfestellung zu geben. lesen

Die größten Passwort-Sünder 2018

Worst Password Offenders 2018

Die größten Passwort-Sünder 2018

Das Unternehmen Dashlane hat eine Liste der "Worst Password Offenders" mit den schlimmsten Passwort-Sündern 2018 bekannt. Die Liste hebt berühmte Personen, Organisationen und Unternehmen hervor, die 2018 die größten Sicherheitsfehler im Zusammenhang mit Passwörtern begangen haben. lesen

7 Malware Trends die Unternehmen 2019 kennen müssen

Security-Trends 2019

7 Malware Trends die Unternehmen 2019 kennen müssen

Die Bedrohungslage steigt! Cyberkriminelle verwenden immer raffiniertere Angriffs­methoden und nutzen neue Sicherheitslücken schneller aus, um PCs und mobile Geräte zu infiltrieren. Im Jahr 2019 werden sich Malware-Angriffe weiter häufen, da die Cyberkriminellen bereits neue Angriffsmethoden geplant haben, um Nutzern Schaden zuzufügen. lesen

PSD2 treibt 2019 Veränderungen im Finanzbetrug an

Security-Trends 2019

PSD2 treibt 2019 Veränderungen im Finanzbetrug an

Das Jahr neigt sich dem Ende und es rückt wieder die Frage in den Vordergrund: Was wird das neue Jahr bringen? Wir zeigen, welche Entwicklungen durch PSD2 im Bereich des Finanzbetrugs zu erwarten sind und welche Betrugs-Trends ab Q3 2019 in den Vordergrund rücken könnten. lesen

Alle Zugriffswege abgesichert

Im Test: Pulse Connect Secure 9.0R1

Alle Zugriffswege abgesichert

Mit Pulse Connect Secure bietet PulseSecure eine VPN-Lösung der Enterprise-Klasse für mobile Geräte und Desktops unter Android, ChromeOS, iOS, Linux, MacOS und Windows, die einen einfachen und sicheren Zugriff von jedem Endpoint auf Anwendungen und Ressourcen im Unternehmen sicherstellen soll. Wir haben uns im Testlabor angesehen, wie die Arbeit mit diesem Produkt für den hybriden Secure Access abläuft. lesen

Die ganze IT-Security im Blick

Security-Startups im Blickpunkt: Cyberscan.io

Die ganze IT-Security im Blick

IT-Security ist, durchaus vergleichbar, mit einem Eisberg. Bei der Eismasse sind gut 85 Prozent unter Wasser verborgen und nur ein kleiner Rest ist über der Wasserlinie sichtbar. Bei der IT-Sicherheit verhält es sich ebenso, denn Malware-Scanner, die Zwei-Faktor-Authentifi­zierung oder der Bildschirmschoner sind nur die sichtbaren Komponenten. Der größere Security-Teil ist meistens unsichtbar, entfaltet aber oft die größte Wirkung. lesen

Die beliebtesten IAM-Systeme 2018

IT-Awards 2018

Die beliebtesten IAM-Systeme 2018

Wenn es um die Verwaltung von Identitäten und Zugriffsrechten innerhalb eines Unternehmens und dessen Netzwerk geht, leisten Identity- und Access-Management-Systeme (IAM) wertvolle Arbeit. Sie sorgen für Authentifizierung und Autorisierung der Anwender und stellen zentrale Verwaltungs- und Überwachungsmög­lich­keiten bereit. IAM-Systeme sind ein wichtiger Teil jeder IT-Security- und Compliance-Strategie. lesen

Wichtige Sicherheitseinstellungen für Twitter

Soziale Netzwerke absichern

Wichtige Sicherheitseinstellungen für Twitter

Dass Twitter-Posts die öffentliche Meinung und sogar Börsenkurse manipulieren können, weiß man nicht erst seit dem Donald Trump. Um Twitter sicher und zuverlässig zu nutzen, sollten Anwender deshalb die Sicherheit ihres Kontos sicherstellen. Dazu gehört die Optimierung des Datenschutzes und die Absicherung des Kontos. Wir zeigen welche Möglichkeiten zur Verfügung stehen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44456262 / Definitionen)