Secret! 12345! Passwort! Geheim!
Themen: Neues |Das hier ist ein Service-Beitrag.
Ich habe schon drüber geschrieben, dass es eine ganze Netzkultur gibt, die nur darauf ausgerichtet ist, Passwörter abzugreifen, um Surfer zu schädigen – sei es zur Übernahme von Online-Identitäten, Plünderung von Konten und Kreditkarten, oder schlichter Erpressung.
Liegen die Schuld und die Täterschaft natürlich bei den Kriminellen, muss ich die Verantwortung in vielen Fällen mal wieder dem User selbst geben. Schaut man sich die Liste der meistgenutzten Passwörter an, kann einem nur blümerant werden. Da wimmelt es von 12345, Password und qwertz. Jeder Internet-Nutzer sollte einmal im Jahr bei Have I Been Pwned? checken, ob seine Passwörter nicht längst auf dem Schwarzmarkt gehandelt werden.
Die Naivität der Leute in dieser Sache lässt sich mal wieder super bei Facebook dokumentieren. Ein anonymer Account postet ein Bild mit der Aufschrift “Eine Katze ohne E im Namen – wetten, Ihr kennt keine?”. Und Tausende Honks posten die Namen ihrer Haustiere (zusammen mit ihrem Klarnamen als Kommentator). Da kommen schnell ein paar Hundert passende Passwörter zusammen…
Es sollte nicht so schwer sein, ein Passwort zu erstellen oder erstellen zu lassen, an dem sich Bots und Hacker die Zähne ausbeißen – so lange man nicht so doof ist, Screenshots zu teilen, auf denen man den Zettel mit dem Passwort am Monitor kleben sieht.
Viele Artikel im Netz empfehlen, Passwort-Generatoren zu verwenden (oft integriert in Passwort-Manager). Das ist im ersten Moment sehr nachvollziehbar, weil jedes Passwort einmalig und un-ratbar ist. Der Haken: man kann es sich selber nicht merken und muss es entweder aufschreiben (siehe den Absatz drüber) oder einem Passwort-Manager anvertrauen, den man vielleicht nicht auf allen Geräten (oder im Urlaub im Internet-Café) greifbar hat.
Ich fand diese Lösung immer unbefriedigend und halbgar. Ich will sichere Passwörter, die ich mir dennoch merken kann. Und deshalb habe ich mit dem Umstieg auf Bitwarden die Liste der wichtigsten Konten abgearbeitet und umgestellt. Vielleicht hilft meine Strategie euch auch, ein wenig sicherer zu surfen.
Im Grunde genommen braucht man für ein sicheres, aber merkbares Passwort zwei Dinge: einen individuellen “Algorithmus” und eine Art Spezifizierer, der dafür sorgt, dass beim gleichen Algorithmus für jede Webseite ein eigenes, aber dennoch nachvollziehbares Passwort entsteht – gleiche Passwörter (egal wie sicher) für verschiedene Websites sind grundsätzlich unsicher und abzulehnen.
Ein individueller Algorithmus besteht z.B. aus den Elementen Autofarbe, Haarfarbe und Episodenzahl der Lieblingsserie, eingerahmt oder unterbrochen mit Sonderzeichen wie *, + oder =. Nicht ZU kreativ werden, damit ihr euch die Struktur auf jeden Fall merken könnte. Statt der Hausfarbe kann man auch ein ungewöhnliches, aber memorables Wort nehmen (shatzbat, rattazong). Wer auf Nummer Sicher gehen will, unterbricht das Wort mit einem Sonderzeichen.
Das ist der Algorithmus. Den denkt man sich einmal aus, schreibt ihn nicht auf und benutzt ihn fürderhin bei ALLEN Webseiten. Nun zum Spezifizierer: Man ergänzt das Passwort für jeden Dienst – vor dem Algorithmus, dazwischen, dahinter – um ein paar Identifikatoren. Das kann ein GM für GoogleMail sein, ein AP für Apple oder ein FB für Facebook. Wichtig: Dieses Kürzel muss auch nachvollziehbar sein, wenn man es sich nicht konkret gemerkt hat.
Das klingt nun alles komplizierter, als es ist – weil es im Ergebnis kompliziert sein soll. Im Grunde genommen verwendet man aber immer das gleiche, nicht erratbare Passwort mit einer kurzen Ergänzung für den jeweiligen Dienst, bei dem man es nutzt.
Ich halte dieses System für vergleichsweise wasserdicht und habe bisher nur ein Problem identifizieren können: manche Webseiten und Anbieter verlangen Sonderzeichen im Passwort, andere lehnen sie kategorisch ab. Da braucht man dann doch leider zwei Versionen des Algorithmus.
Wie haltet ihr es? Surft ihr relativ sorglos oder gut gepanzert? Was sind denn so eure Passwörter – und wo benutzt ihr die? Habt ihr noch TAN-Listen, die ihr mir schicken könnt?
Kleiner Tip was die Sonderzeichen angeht : man kann zb. wunderbar das Dollar bzw. das Pfundzeichen als S bzw L in seinem Passwörtern verwenden. Damit sind diese immer noch zu merken und man hat ein Sonderzeichen mit drin.
Auch nicht schlecht.
Den Trick kennen die üblichen Cracker wie John the Ripper allerdings auch.
Hatte ich ne Weile auch so gemacht, aber ich glaube der Spezifizierer ist dann ziemlich nutzlos. Wenn jemand mein GoogleMail Passwort knackt müsste er nur das GM gegen FB tauschen um mein facebook Passwort zu kennen.
Deswegen habe ich das bei mir nicht so simpel gehandhabt.
Naja, so einfach ist das ja nicht. Passwörter werden ja (normalerweise) nicht im Klartext gespeichert, sondern als Hash – eine Art Einwegverschlüsselung. Wenn Du das Passwort beim nächsten mal eingibst, wird wieder ein Hash auf die gleiche Weise erzeugt. Wenn die Hashes übereinstimmen, war das Passwort richtig.
Beispiel: 12345 wird zu 8cb2237d0679ca88db6464eac60da96345513964
„Enthashen“ geht nicht. Aber was geht, ist folgendes: Man erstellt Hashes von allen möglichen Worten und speichert beides zusammen in einer Datenbank (Rainbowtable) ab.
Dann kann ich da nachschlagen, welcher Hash zu welchem Passwort gehört z.B. https://crackstation.net
Einfache Passworthashes von 12345 oder qwertz sind da schnell gelöst. Für sowas wie milan8888%GM braucht man da schon eine recht große Datenbank.
Wenn wir nur von 26 Großbuchstaben, 26 Kleinbuchstaben, 10 Ziffern und 10 Sonderzeichen ausgehen, gibt es pro Stelle 72 Möglichkeiten. Bei 12 Zeichen sind das 72^12 = fast 20.000.000.000.000.000.000.000 Möglichkeiten, die man da ausprobieren und abspeichern muss.
Dazu kommt noch, dass vom Anbieter vor dem Hashen normalerweise noch ein beliebig langer Salt-Wert angehängt wird, z.B. milan8888%GM=8k23js74cbwem=
Man bräuchte dann einen Rainbowtable speziell für dieses Salt.
Hacker bekommen dann nur eine Zeichenfolge wie
0620953c4ea5ca76985708af21cc3559b74aa93f, mit der sie nicht viel anfangen können. Es sei denn, man nimmt 12345 oder qwert als Passwort. 😉
Das ist alles richtig, aber mit “knacken” ist ja meistens das Erraten des Passworts gemeint, wobei die ganze Hasherei umgangen wird.
Da habe ich doch glatt das kn als h gelesen. 😉
🙂 Und was für eine tolle Erklärung dadurch entstanden ist! Danke!
ich benutze seit jahren roboform. ich kenne keins meiner passwörter. nur mein masterpasswort
Und was machst du an einem fremden Rechner, der keinen Zugriff auf Roboform bietet?
KeePass mit Autotype. Ich merk mir doch keine Passwörter.
Nicht ausreichend gelesen, was? Ich benutze selber Bitwarden. Aber ich kann im Notfall, wenn darauf kein Zugriff besteht, die Passwörter rückschließen.
Ich verstehe das Konzept noch nicht ganz. Wozu braucht man einen Algorithmus wenn sich die Passwörter der einzelnen Webseiten dann sowieso nur in einem Kürzel unterscheiden?
Das mit den Kürzeln halte ich für problematisch. Wenn in einem Passwort solch ein zu der jeweiligen Webseite passendes Kürzel auftaucht, dürfte das vielen “Hackern” auffallen. Das Kürzel dann an eine andere Webseite anzupassen ist dann keine große Herausforderung mehr.
Anstelle des Kürzels sollte man evtl. ein kurzes Wort verwenden, das man nur selbst mit der Webseite assoziiert. Oder man benutzt das Kürzel um den Algorithmus zur Erstellung des Passworts anzupassen.
Ich habe für jede Seite ein komplett individuelles Passwort. Diese notiere ich alle in einem Notizbuch.
Das ist aber sicherlich auch keine perfekte Lösung.
Der Algorithmus ist fest. Er dient nur dazu, dass grundlegende Masterpasswort so zu generieren, dass es unknackbar, aber dennoch nachvollziehbar ist. Weil dir ein Masterpasswort wie 09rpovöwlkfk#w+#´´jwoih nix nutzt, wenn du auf den Passwort-Manager keinen Zugriff hast. Und ich sage ja nur exemplarisch, dass man Facebook mit FB abkürzen kann. Ich sage nicht, dass man es so tun sollte – und ich tue es auch nicht. Als ob ich euch hier MEINEN Schlüssel verraten würde…
Wie heißen noch mal deine Katzen?
Rufus und Be…. HEY!!!!
War´n E drin!
Dein Szenario setzt voraus, dass sich ein Hacker hinsetzt und die Zeit nimmt, gezielt deine Daten durchzutesten. Ich glaube, dass dieser Fall relativ unwahrscheinlich ist. Wenn deine Daten abgegriffen werden, dann höchstwahrscheinlich in einem Datenleck einer großen Firma wie Facebook oder Sony. Da ist dein Datensatz dann einer von Millionen. Ich würde schätzen, dass die Hacker die erbeuteten Benutzernamen-Passwort-Kombinationen automatisch durchtesten lassen und dabei so ein System wie “Schreibe das Kürzel FB in dein FB-Passwort” in der Masse der Daten gar nicht auffällt.
Ich kann natürlich komplett falsch liegen, ich persönlich würde mich als Hacker aber nicht mit sowas abmühen, wenn noch 50 mio Datensätze auf Halde liegen 😉
Das unterstellt, dass Hacker nur einen Ansatz verfolgen (bei dir Leaks). Dem ist nicht so. Dann gäbe es auch keine Phishing-Emails oder Erpressungs-Trojaner. Die brauchen alle “Handarbeit”.
Klar, die gibt es auch. Wenn wir aber von Menschen ausgehen, die diesen Blog lesen und sich schon Gedanken um die Sicherheit ihrer Passwörter machen, schätze ich die Wahrscheinlichkeit als sehr gering ein, auf Phishing-Mails reinzufallen oder Trojaner runterzuladen. Wahrscheinlicher für halbwegs technisch Interessierte ist doch, dass ihr System funktioniert, bis ihre Daten ohne ihr eigenes Verschulden (Hacker-Angriff auf eine Website, auf der sie registriert sind) öffentlich werden. Und dann werden eben nicht kleine Datenmengen abgegriffen, sondern gleich unüberschaubar große Datensätze.
Das meinte ich mit “Ich glaube, dass dieser Fall relativ unwahrscheinlich ist”.
Da gebe ich dir Recht.
Vorsicht… Übermut und so. Ich kenne IT-Spezialisten, die auf Phishing Mails reingefallen sind. Manche haben mittlerweile ein extrem hohes Niveau und es bedarf einiger Aufmerksamkeit und Zeit, sie zu sichten und zu analysieren.
Wir reden dann natürlich nicht mehr von den Dingern über Nigerianische Oppas mit Rechtschreibsschwäche.
Kann ich nur absolut zustimmen. Habe mich jahrelang über Menschen amüsiert, die so blöd sind, auf Phishing-Links zu klicken. Letzten Freitag hab ich’s selbst vollbracht. War gut gemacht. Die wussten, mit wem ich Mailkontakt habe, die haben sauber ihre Identität verschleiert und den Link geschickt in eine soziale Falle verpackt. Mustergültiges Spear-Phishing. Glücklicherweise war die Sicherheit des Firmennetzes auf Zack und hat den Klick abgefangen.
Jetzt würde ich fast schreiben “Das passiert mir nicht nochmal” .. da ist er schon wieder, der Übermut.
Ich bilde Sätze, die grob was mit dem Service zu tun haben oder mit einem Lebensereignis, was gerade passiert ist. Davon dann den ersten Buchstaben nehmen, noch ein paar Sonderzeichen rein, ein paar Buchstaben als Zahlen und fertig:
“Das ist ein Satz den ich mir ein Mal als Beispiel ausgedacht habe.” -> D!e5d!m1xaBah.
So in der Art.
Wenn man sich das für jede Webseite merken kann, ist das eine extrem sichere Methode.
Ich nutze besagten Algorithmus auch für die allermeisten Webseiten. Statt Kürzel kann man auch mit der URL-Länge rumexperimentieren oder nimmt statt Kürzel GM immer HN (nächster Buchstabe) oder oder oder oder. Der Kreativität sind keine Grenzen gesetzt. So ist jedes meiner Passwörter zu 80% identisch und die restlichen 20% ergeben sich aus dem Namen oder der Url des genutzten Dienstes, da aber immer noch dem gleichen Schema. Nach dem dritten Dienst hat man das Passwort dann auch gelernt 😉
Schwierig ist dann nur, das Passwort zu wechseln, weil das bedeutet, das Schema zu ändern. Und bei selten besuchten Webseiten weiß man irgendwann nicht mehr, welches Schema man dort genutzt hat. Aber dafür gibts ja meist auch ein Passwort-Reset. Macht man aber bei einem starken Passwort-Schema eher nur noch sehr selten.
Ausnahmen sind bei mir aber wirklich wichtige Dienste wie Online-Banking, etc. Falls der sehr unwahrscheinliche Fall eintritt, dass einer zwei Webseiten gehackt hat, auf denen ich angemeldet bin und der dann durch Vergleich und die richtigen Schlüsse wirklich darauf kommt, wie meine Passwörter aufgebaut sind, dann ist zumindest mein Bankkonto trotzdem safe. Das liegt dann im Passwortmanager.
Wenn man auch noch vermeiden möchte, dass man im Fall zweier gehackter Webseiten jeweils mit der gleichen E-Mail-Adresse auftaucht, gibt es noch folgenden Trick:
Gmail-User haben potentiell unendlich viele E-Mailadressen. Angenommen man hat “”. Dann kann man hinter “abc” ein “+” schreiben und danach alles was man will. Ich schreibe da immer den Namen der Webseite, bei der ich mich registriere: “abc+”. Das kommt auch an. Das trickst einfache E-Mail-Vergleiche von Datenbanken aus und man kann bei Spam auch sehen, wer die E-Mail-Adresse an die Spammer verraten hat 😉
Einen sehr wichtigen Aspekt möchte ich nochmal näher beleuchten, den du nur kurz angekratzt hast:
Oftmals gibt es eben die berühmten Sicherheitsfragen:
Wenn man da dann “Müller” oder “Wuffi” reinschreibt, nutzt einem das tolle komplizierte Passwort gar nix. Denn dann geht der Angreifer einfach auf “Passwort erneuern” und testet munter die Antwort auf die Frage aus. Eine Liste der häufigsten Nachnamen oder Tiernamen ist schnell durchgetestet. Also sollte man auch hier nicht die “Wahrheit” sagen sondern eine sehr sehr sehr komplexe Zeichenkette als Antwort eingeben, die mindestens so komplex ist wie das eigentliche Passwort. Dieses kann man sich dann für den Notfall in einen Passwortmanager speichern und braucht sich nicht zu merken.
Und als letztes noch der Hinweis: Zwei-Faktor-Authentifizierung. Immer mehr Webseiten, insbesondere kritische wie Banken, bieten einen 2. Faktor an. Da wird nach der eigentlichen Passworteingabe noch ein zweiter Code verlangt. Die Art und Weise ist sehr unterschiedlich: Man bekommt ihn per SMS oder einer speziellen App oder per E-Mail. Man geht dabei davon aus, dass im Extremfall vielleicht das Passwort geklaut worden ist, aber (im Fall von SMS) das Handy nicht dem gleichen Angreifer in die Hände gefallen ist. Sollte man überall, wo wichtige Daten (bspw. Kreditkartendaten, wie bei Amazon; vertrauliche Kontaktdaten, wie bei Google; …) eingestellt haben.
Ich verstehe den Sinn der 2 Faktor-Authorisierung – es nervt mich aber trotzdem, gerade weil ich mein Handy nicht immer griffbereit habe. Und richtig: mein Online-Banking hat ein genuines, nicht nach System generiertes Passwort.
Ich nutze es auch nur für die wichtigen Dienste, die mir im Zweifel schaden könnten.
Bei 4-stelligen Passwörtern hab ich die 80er-Jahre-Telefonnummer meines alten Herrn.
Ansonsten benutze ich 2 Versionen einer Seriennummer eines Jagdflugzeugs aus dem 2. Weltkrieg.
Wie schon von anderen angemerkt, nutze ich für Banking und Co. PW Generator und speichere Sie im PW-Manager.
Für alles andere nutze ich (soll nicht makaber klingen) Todestage von Personen die mir nahe standen. Würde ich einen Hubert Müller kennen der am 22.04.2014 gestorben wäre, würde ich in etwa so etwas daraus machen 2014!Hub3rtMu3113r!2204#FB
Das kann ich mir am leichtesten merken, wobei ich dann einige Buchstaben noch durch Zahlen ersetze ähnlich der 1337-Schrift.
Für Facebook nehme ich dann auch kein FB sondern eher ein jeweils eigenes Akronym z.B. EP für EgoPortal etc.
Bei Sicherheitsfragen beantworte ich Fragen auch nie direkt. Als Beispiel: Was ist ihre Lieblingsfarbe? Elmo (Etwas das nur ich eindeutig mit der eigentlichen Antwort verbinde)
Generell benötige ich nicht viele Passwörter, auch ich nutze z.B. oft test1234 wenn ich mich mal wieder in einem Forum anmelden muss nur um einen Beitrag lesen zu können. Dafür nutze ich auch meine Spammailadresse.
Ja, aber auch hier (wie ich oben schon schrieb): “Elmo” als Zeichenfolge ist viel leichter zu knacken als dein Passwort. Deswegen würde jeder Hacker lieber die Antworten deiner Sicherheitsfrage testen als das Passwort selbst. Die Antwort sollte MINDESTENS genauso komplex sein wie dein Passwort, damit es dich schützt. Der Angriff geht immer über das schwächste Glied der Kette.
Stimmt auch wieder, allerdings fällt mir gerade kein wichtiges Passwort ein bei dem auf eine Sicherheitsfrage bestanden wurde. Wo möglich habe ich 2 Faktor Authentifikation eingerichtet.
Ich nehme Albumtitel von Bands, entferne Leerzeichen und tausche ein Wort gegen eines aus das nicht in den Kontext passt. Danach hänge ich noch eine Zahl drann (zb wird aus “Music for the masses” von Depeche Moden dann “MusicfortheTische45″…und für den Fall das jetzt hier jemand was abgreifen will: nein, das ist keines meiner aktuellen PW’s 😉 ). Zuhause habe ich dann ein kleines Büchlein ich dem ich die PW`s notiere. Und so einmal im Jahr werden die gewechselt.
Merken muss ich mir eigentlich nur die 2 PW’s von meinen E-Mail-Konten, wobei ich mir den Rest irgendwie auch merken kann. Muss aber dabei sagen, das ich zu denen gehöre, die (noch?) kein Smartphone/ mobiles Internet nutzen und mir, wenn es hochkommt, maximal 6 PW’s merken muss.
Und das Wort “blümerant” ist mega. Das aber nur am Rande
Leider muss ich dir sagen, dass deine Passwörter nach dem Schema nicht besonders sicher sind. Aussprechbare Wörter in jeglicher Form, auch der von dir beschriebenen sind heutzutage als knackbar einzustufen. Beliebige Wörter aneinander reihen ist leider Standard beim durchtesten. Versuche, hier und da ein Sonderzeichen einzustreuen, v.a. INNERHALB und nicht nur zwischen den Wörtern. 3 für E, 4 für A, $ für S,… (bin ich ehrlich gesagt auch keinn Freund von, weil ich überzeugt bin, dass dieses “Leedspeak” genannte Schema inzwischen Standard ist. 6% für A oder so macht es sicherer, muast du dir halt zusätzlich merken, was dann Richtung eines der beschriebenen Algortihmen geht.)
Was ich nicht verstehe: Wenn du schon alle Passwörter aufschreibst, warum dann nicht gleich wirklich komplizierte nehmen?
Was passiert, wenn dein Büchlein bei einem möglichen Einbruch in die Hände von Gaunern fällt? Trägst du das Büchlein mit dir rum, wenn du woanders bist, um deine Mails auch auswärts lesen zu können? (Nicht drauf antworten, wollte nur zum Nachdenken anregen; die Frage zielt halt auch Richtung “kann es Unbefugten durch Verlieren oder Diebstahl in die Hände fallen”)
Ich benutze Fantasienamen wie “Boffeldompf” (habe ich mir gerade ausgedacht und verwende ich nicht) mit ein paar eingestreuten Zahlen. Also etwa “B0ff3ld0mpf” (das benutze ich – auch nicht.)
“Boffeldompf” – klingt aber seltsam passend….
Also das tut mir schon ein bisschen weh! *schmoll*
Ich schwöre auf einen Passwort Menschen den ich auf jedem Gerät nutzen kann.
Einfach vier zufällige Wörter aneinanderhängen. Und nein, das ist nicht anfällig(er) für Wörterbuchattacken. Wichtig ist, daß die vier Worte wirklich zufällig ausgewählt werden, man sie sich also nicht selber aussucht.
https://xkcd.com/936/