Newschase Hardware, Software, Internet und vieles mehr

24Jan/111

Methoden für die sichere Passwortverwaltung

Regelmäßig sind auf Blogs und in diversen Zeitschriften (kurze) Ratgeber zum Thema Passwortsicherheit und deren Verwaltung zu finden. Das liegt wohl daran, dass viele Leute nicht wissen, welche Gestalt "sichere" Passwörter haben bzw. wie man sie sicher aufbewahrt. Ein Artikel aus der c't (Ausgabe vom 3.01.2011) hat mich auf die Idee gebracht, dieses Thema auch einmal aufzugreifen.

Methoden um Passwörter zu knacken

Ganz nach dem Motto "Kenne deinen Feind.." liste ich kurz ein paar Methoden, wie Passwörter heutzutage geknackt werden, auf:

  • Wörterbuchmethode (Brute-Force)
  • Cloud Dienste (Rechnerverbunde)
  • Rainbow Tables

Dies sind natürlich nicht alle Methoden, die benutzt werden, um Passwörter zu knacken. Bei der Brute-Force-Methode wird versucht mit aller Gewalt ein Passwort zu "erraten". Dazu werden alle erdenklichen Kombinationen von Wörtern und Sonderzeichen sequenziell ausprobiert. Hat das Passwort aber viele und willkürlich gewählte Zeichen (inkl. Sonderzeichen), so ist diese Methode mehr oder weniger nutzlos.

Momentan sind cloudbasierte Dienste total in Mode. Kein Wunder, dass man sich für wenig Geld ganze Rechnerverbunde in der Cloud "anmieten" kann, um rechenintensive Aufgaben - dazu könnte auch das Passwortknacken zählen - zu lösen. Ein Beispiel hierfür ist Amazons Elastic Computing Cloud (EC2). Preise beginnen ab 0,12 US Dollar pro Stunde.

Wer es nicht auf die Hau-drauf- oder cloudbasierte Art mag, der kann auch die sogenannten Rainbow Tables zu Rate ziehen. Das sind vorberechnete Zwischenergebnisse von Hash-Operationen, die das Knacken von Passwörtern im Gegensatz zur Brute-Forece-Methode um den Faktor 1000 beschleunigen können.
Sofern das zu knackende Passwort aber gesalzen (Salting) ist, lohnt sich auch meisten der Einsatz der Rainbow Tables nicht.

Methoden gegen den Passwortklau

Wie kann man sich nun gegen Daten- und Passwortdiebe effektiv wehren? Die Devise lautet: für jede Seite bzw. jeden Onlinedienst sollte ein eigenes Passwort angelegt werden. Sollte der digitale Eindringling ein Passwort erraten/geknackt haben, so kann er damit nicht von Account zu Account springen.

Vorsicht ist bei der browsereigenen Passwortverwaltung angesagt. Im Normalfall werden die gespeicherten Passwörter nämlich nicht zusätzlich verschlüsselt abgelegt und können ganz leicht mit Hilfe einiger Tools in Klartext angezeigt werden. Auch auf ein gesperrtes bzw. verschlüsseltes Benutzerkonto sollte man sich nicht verlassen. Das Windows Passwort kann ebenso leicht mit BootCDs wie ntpasswd ausgelesen, deaktiviert bzw. überschrieben werden.

Sicherer ist es da schon, die Passwörter im Browser mit einem Masterpasswort zu sichern (bei Opera und Firefox möglich) oder sie in einem externen Datentresor wie KeePass oder SplashID abzulegen. Aber hier ergibt sich wieder das Problem, dass sich die Passwörter an einer zentralen Stellen befinden und so einem gezielten Angriff ausgesetzt werden können.

Sicherer mit Stil

Auch wenn die Überschrift für diesen Abschnitt nicht ganz passt, so ist es doch am sichersten, wenn man sich für jede Seite ein eigenes Passwort ausdenkt und es nicht auf dem System oder in der Passwortverwaltung des Browsers abspeichert. Dazu einfach folgende Schritte beherzigen:

  • Einen (komplizierteren) Masterkey (Grundbaustein) für das Passwort ausdenken, der dann in jedes Passwort eingebaut wird
  • eine spezifische Seitenerkennung für jede Seite überlegen
  • diese beiden Schlüsselteile kombinieren

Wichtig dabei ist, dass Fremde nicht Masterkey und Seitenerkennung bzw. die Methode der Generierung ausmachen können. Denn sollten sie doch mal ein Passwort in die Hände bekommen, wäre die Sicherheit der anderen Passwörter schnell ausgehebelt.

Für Firefox-Nutzer schafft hier die Erweiterung Passwort Hasher Abhilfe. Vorteil: für jede Seite wird aus Seitenerkennung und Masterkey ein eigener Hashwert generiert und übermittelt. Nachteil: die Hashwerte lassen sich nur schlecht bis gar nicht merken. Außerdem gibt es den Passwort Hasher nur für den Firefox. Eignet sich also nicht für jedes System.

Fazit

Wir können festhalten: für jede Seite sollte ein eigenes komplexes Passwort angelegt werden, das aus mehreren (Sonder-) Zeichen besteht. Zudem ist es sicherer, wenn die Passwörter nicht zentral irgendwo auf dem System gespeichert werden. Wenn ihr nicht gerade vergesslich seid, schadet es also nicht, sie auswendig zu lernen.

Worst case: Wenn euer System aber mit Spionagesoftware (Trojaner etc.) infiziert ist, hilft keine der oben angegebenen Methoden zur sicheren Passwortspeicherung. Also sorgt immer dafür, dass euer System sauber ist ;)

Wie sichert ihr eure Passwörter? Kommen viele verschiedene oder nur eine hanvoll verschiedener Passwörter zum Einsatz?

Related posts:

  1. Portable SpyBot – Search & Destroy
  2. Conficker B++
  3. Neue Technik für die Spionage
  4. TS-Lock – Rechner einfach sperren
  5. Wondershare Time Freeze 2.0 kostenlos
Tags: , , , Kommentar schreiben
Kommentare (1) Trackbacks (0)
  1. Jeffrey
    Januar 25th, 2011

    Ich verwalte die meisten meiner Passwörter mit KeePass. Bietet genau die Funktionen die ich benötigte und eignet sich zudem auch zum Verwalten von Software-Lizenzen oder Ähnlichem.

    Einzelne Passwörter habe ich natürlich auch noch im Kopf, der Rest ist aber alles in KeePass, sodass ich auch wirklich für jeden Dienst ein anderes Passwort verwenden kann.

    Ich habe vor einiger Zeit zu KeePass einen Screencast veröffentlicht. Eventuell für den einen oder anderen interessant:

    http://infoblog.li/video-keepass-passwortverwaltung-tutorial/

    antworten

Leave a comment

(required)

You can add a link to follow you on twitter if you put your username in this box.
Only needs to be added once (unless you change your username). No http or @ Twitter

Noch keine Trackbacks.

» «

Kategorien

Blogroll

Buttons

Blogverzeichnis - Blog Verzeichnis bloggerei.de

Get Adobe Flash player