Wenn es eine Sache gibt, die Menschen mit moderner Technologie assoziieren, dann sind es Passwörter. Sie sind überall und die meisten von uns nutzen sie täglich für Dutzende von Dingen. Dennoch ist den meisten Menschen die Sicherheit ihres Passworts erschreckend gleichgültig. Die meisten von uns kennen wahrscheinlich jemanden, der dasselbe Passwort verwendet alles, von ihrem Computer und ihrer E-Mail bis zu ihren Facebook- und Bankkonten – und dieses Passwort könnte so offensichtlich sein wie ihr Geburtstag oder der Name der Straße, in der sie aufgewachsen sind. Und wir kennen wahrscheinlich auch jemanden, der an der Seite seines Monitors einen Klebezettel mit der Aufschrift „Passwörter“ hat (in rot, doppelt unterstrichen) mit einer Liste von allem, von Twitter bis Netflix, die für jedermann offen liegt lesen.
Diese Praktiken klingen vielleicht wie etwas aus der Generation unserer Großeltern, aber das stimmt nicht unbedingt: Letzte Woche habe ich mir eine angesehen vollwertiges Mitglied der Generation D, das versucht, über sein Notebook von einem Samsung Galaxy S (ähm, Fascinate) auf ein HTC Rezound umzusteigen Computer. Wie hat er alle seine Passwörter verschoben? In seiner Brieftasche hatte er einen Zettel mit „allen seinen Passwörtern“ – und bis dahin
alle er meinte drei. Eine für E-Mails und soziale Netzwerke, eine für die E-Mails seiner Großtante („Ich überprüfe sie für sie“) und eine andere für alles andere. Als er über seine Schulter blickte, waren alle drei alltägliche Worte: Mopp,Murmelling, Und Lillian. Ratet mal, welches seiner Tante gehörte?Empfohlene Videos
Glücklicherweise gibt es einfache Möglichkeiten, Passwörter sowohl schwer zu erraten als auch leicht zu merken zu machen. Bedauerlicherweise, Die Technologiebranche steht ihrer Nutzung manchmal im Weg. Hier finden Sie einen Überblick über häufige Passwortschwächen und einige Möglichkeiten, wie Sie Ihre Passwörter und Ihre Online-Sicherheit verbessern können.
Dunkelheit versus Komplexität
Eine weit verbreitete Binsenweisheit über Passwörter ist, dass sie dies tun sollten niemals leicht zu erraten sein. Die meisten technisch versierten Menschen sind sich einig, dass niemand Details über sich selbst als Passwort verwenden sollte: Dazu gehört auch Geburtstage, Adressen und Namen von Freunden und Familienmitgliedern (einschließlich Eltern, Geschwister, Ehepartner, Kinder usw.) sogar Haustiere). Ähnlich, Passwort macht ein besonders schlechtes Passwort – wie alle anderen auch häufig verwendete Wegwerf-Passwörter.
Dieser immer wiederkehrende Rat wird oft so interpretiert, dass Passwörter dies tun sollten obskur, oder ein Begriff, von dem niemand glauben würde, dass man ihn wählen würde, wenn er eine Million Jahre hätte. Ja, obskur kann funktionieren – und es ist um Längen besser, als ein offensichtliches Passwort zu wählen. Ein undurchsichtiges Passwort schützt Sie jedoch nur vor Personen, die etwas über Sie wissen. Die Chancen stehen gut, dass die meisten Leute versuchen, Ihre Passwörter zu knacken nicht kenne dich.
Das meiste Knacken von Passwörtern passiert nicht so, wie es in Filmen dargestellt wird, in denen Our Hero (oder The (Bösewicht) sitzt an einer Tastatur, probiert ein oder zwei Sätze aus, reibt sich das Kinn und erspäht dann ein Kindheitsfoto der Schreibtisch. Aha! Geben Sie das Zauberwort ein und Presto, Sicherheit umgangen. In der realen Welt erfolgt das Knacken von Passwörtern größtenteils automatisiert, im wahrsten Sinne des Wortes mit Computern Wir werfen jedes Wort im Wörterbuch (und noch einige mehr) auf ein System in der Hoffnung, über das zu stolpern korrekter Begriff. Dieser Ansatz kann funktionieren, weil Computer Passwörter viel schneller ausprobieren können, als Menschen sie eingeben können, und sie 24 Stunden am Tag, sieben Tage die Woche ohne Toilettenpausen laufen können. Automatisierte Passwort-Cracker wissen nichts über die Benutzer, die sie kompromittieren wollen: Es handelt sich um einen Brute-Force-Ansatz.
Es stellt sich also heraus, dass es sich nicht um einen Schlüssel zu einem sicheren Passwort handelt Dunkelheit aber es ist Komplexität – Dinge, die es weniger wahrscheinlich machen, dass ein automatisierter Passwort-Cracker es errät. Um ein gutes komplexes Passwort zu erstellen, müssen Sie jedoch ein wenig darüber wissen, wie Passwörter gebrochen werden.
Passwörter knacken
Ganz allgemein ausgedrückt verfolgen Passwort-Cracker typischerweise zwei Ansätze. Eine besteht darin, buchstäblich eine vorab zusammengestellte Liste möglicher Passwörter auszuprobieren. Diese beginnen normalerweise mit sehr gebräuchlichen Passwörtern (wie Passwort oder qwerty) und arbeiten Sie sich auf weniger gebräuchliche Begriffe vor und verwenden Sie schließlich eine Wortliste, die aus einem Online-Wörterbuch und anderen Quellen zusammengestellt wurde. Bei diesem Ansatz ist es wahrscheinlicher, dass Passwörter gefunden werden, bei denen es sich um gültige Wörter oder Varianten davon handelt, selbst wenn diese unklar sind.
Ein weiterer Ansatz zum Knacken von Passwörtern besteht darin, gültige Folgen von Buchstaben, Zahlen und Symbolen auszuprobieren, unabhängig von ihrer Bedeutung. Ein Passwort-Cracker, der diesen Ansatz verwendet, könnte mit beginnen aaaaaaaa für ein achtstelliges Passwort, dann versuchen Sie es aaaaaab Dann aaaaaac und so weiter im Alphabet, durch Mischungen von Groß- und Kleinbuchstaben und durch das Einfügen von Zahlen und Symbolen. Mit diesem Ansatz lassen sich eher Passwörter finden, die „maschinenfreundlich“ oder zufällig generiert sind. Ein Passcode wie 4De78Hf1 ist auf diese Weise nicht schwieriger zu finden als Teenager wäre.
Wie hoch ist also die Wahrscheinlichkeit, dass ein Passwort erraten wird? Heutzutage ermöglichen die meisten Systeme Benutzern die Erstellung von Passwörtern mit Buchstaben (Groß- und Kleinbuchstaben), Zahlen und einer Auswahl an Symbolen. Zulässige Symbole variieren häufig zwischen den Systemen (einige erlauben fast alles, andere nur eine Handvoll), aber für unsere Zwecke lassen Sie uns das tun Gehen Sie davon aus, dass jedes Zeichen in einem Passwort einer von etwa 80 Werten sein kann – zwei Alphabete mit jeweils 26 Buchstaben, zehn Ziffern und 18 Symbole. (Theoretisch sollten für jedes Zeichen mindestens 127 Werte verfügbar sein, in der Praxis ist es jedoch eine geringere Zahl.)
Bei einem reinen Brute-Force-Ansatz bedeutet das, dass maximal 80 Versuche nötig wären, um zufällig ein aus einem Zeichen bestehendes Passwort herauszufinden. Ein vierstelliges Passwort könnte über 40 Millionen Vermutungen erfordern (80 × 80 × 80 × 80 = 40.960.000) und ein achtstelliges Passwort könnte über 1,6 Billiarden Vermutungen (1.677.721.600.000.000) erfordern.
Wenn ein Passwort-Cracker in der Lage wäre, 1.000 Mal pro Sekunde zu raten, würde er etwa einen Monat brauchen, um alle Kombinationen eines vierstelligen Passworts auszuführen, und zwar über 53.000 Jahre um alle Kombinationen eines 8-stelligen Passworts auszuführen. Das scheint ziemlich sicher zu sein, oder?
Nicht wirklich. Rein statistisch gesehen hat ein Cracker eine 50/50-Chance, das Passwort zu finden Hälfte diese Zeit. Noch beunruhigender ist, dass die Leute, die Passwort-Cracker herstellen, andere Möglichkeiten haben, ihre Chancen zu verbessern. Denken Sie daran, wie Passwort war eines der schlechtesten Passwörter? Ratet mal, was ebenfalls ein sehr schlechtes Passwort ist? Passwort, Ersetzen des Buchstabens O durch die Zahl Null. Während Passwort-Cracker ihre gebräuchlichen Wörter aus einem Wörterbuch abrufen, probieren sie auch gängige Varianten davon aus Wörter, wobei Nullen für O, @-Zeichen und 4 für A, 3 für E, 1 und! für I, 7 für T, 5 für S und verwendet werden bald. Ähnlich, 0qww294e ist ein schreckliches Passwort – das ist einfach so Passwort auf einer englischen Standardtastatur um eine Zeile nach oben verschoben. Diese Techniken machen sich die Vorliebe der Benutzer für leicht zu merkende Passwörter zunutze. Durch das Ersetzen (oder Großschreiben) eines oder zweier Zeichen in einem leicht zu merkenden Begriff machen die Leute ihre Passwörter leider meist undurchsichtiger, aber nicht viel sicherer. Tatsächlich haben typische vom Benutzer ausgewählte achtstellige Passwörter mit gemischter Groß-/Kleinschreibung, Zahlen und Symbolen normalerweise nur etwa 30 Bit Entropie oder etwas mehr als eine Milliarde mögliche Kombinationen. Warum? Denn die Liste der Begriffe, auf denen Menschen ihre Passwörter basieren, ist weitaus kleiner als die Gesamtheit der möglichen Kombinationen aus Buchstaben, Zahlen und Symbolen.
Wie schnell können Passwörter geknackt werden? Es mag unmöglich erscheinen, 1.000 Passwörter pro Sekunde auszuprobieren – schließlich neigen die meisten Dienste dazu, uns von unseren eigenen Konten auszuschließen, wenn wir es tun Geben Sie ein Passwort drei- oder viermal falsch ein, was häufig dazu führt, dass das Passwort zurückgesetzt wird und wir Sicherheitsfragen beantworten müssen, um ein neues zu erstellen eins. Diese „Gateway“-Techniken Tun Sie verbessern die Kontosicherheit und sind nebenbei auch eine unglaublich einfache Möglichkeit, andere zu verärgern. (Ich kann Ihnen nicht sagen, wie oft ich durch Passwortangriffe von meinem iTunes-Konto ausgeschlossen wurde, aber es sind wahrscheinlich über hundert.)
Allerdings klopfen Angreifer, die Passwörter knacken wollen, nicht an die Haustür eines Dienstes und versuchen (im wahrsten Sinne des Wortes) millionenfach, sich bei demselben Konto anzumelden. Sie verwenden entweder weniger öffentliche Authentifizierungsmethoden, die keinen Sperren unterliegen (wie eine private API für Partner oder Apps), und verbreiten diese Angriffe auf ein breites Spektrum von Konten, um Sperrfristen zu vermeiden, oder (im besten Fall) die Anwendung von Techniken zum Knacken von Passwörtern auf gestohlene Passwörter Daten. Die meisten Systeme verschlüsseln die von ihnen gespeicherten Passwortdaten, aber diese verschlüsselten Dateien sind nur so sicher wie das System selbst. Wenn Angreifer an die verschlüsselte Passwortdatei gelangen (durch eine Sicherheitslücke, kompromittiert). (z. B. Social Engineering) können sie es sehr schnell angreifen, sobald es von selbst aktiv ist Systeme. Aus diesem Grund gibt es Geschichten über Angreifer, die an Kontoinformationen gelangen (z Stratfor, Epsilon, Sony, Und Zappos) sind besorgniserregend. Sobald die verschlüsselten Daten entschlüsselt wurden, können Angreifer viel leistungsfähigere Tools einsetzen, um sie zu knacken.
In der Praxis bedeutet das, dass die Zahl von 1.000 Passwörtern pro Sekunde äußerst konservativ ist. Typische Desktop-Computer-Hardware kann heutzutage getestet werden Millionen von Passwörtern pro Sekunde im Vergleich zu gängigen Verschlüsselungstechnologien. Ebenso gibt es inzwischen Tools zum Knacken von Passwörtern, die Grafikprozessoren nutzen, und auch kriminelle Botnet-Betreiber sind im Geschäft mit dem Knacken von Passwörtern tätig. Sie können die Arbeitslast auf Tausende von Computern verteilen. Kombinieren Sie diese rohe Kraft mit ausgefeilten Heuristiken (z. B. dem Ausprobieren von Zahlen- und Buchstabenvarianten). gebräuchliche Wörter) und es ist nicht ungewöhnlich, ein typisches achtstelliges Benutzerpasswort in weniger als einer halben Stunde zu knacken Stunde.
Wir schießen uns selbst ins Bein
Wir haben oben darauf hingewiesen, dass ein achtstelliges Passwort mit Groß- und Kleinbuchstaben, Zahlen und Symbolen weit über ein Zeichen lang sein kann Billiarden mögliche Kombinationen, aber die meisten heute verwendeten achtstelligen Passwörter fallen in einen Pool von nur etwa einer Milliarde Kombinationen. Das liegt daran, dass Menschen keine Maschinen sind. Wo man sich mit der Nutzung eines Computers begnügt Schildkröte oder Y&4nS0\2 Raten Sie mal, welches Passwort sich ein Mensch leichter merken kann? Ratet mal, welches sicherer ist.
Einige Systeme implementieren Passwortanforderungen, um sicherzustellen, dass Benutzer keine leicht zu knackenden Passwörter verwenden. Ein gängiger Ansatz besteht darin, zu verlangen, dass Benutzerkennwörter mindestens einen Großbuchstaben, eine Zahl und ein Symbol enthalten und mindestens acht Zeichen lang sind. (Einige Systeme erzwingen keine Anforderungen, bieten aber eine Messung der „Passwortstärke“ als Maß dafür, wie effektiv ein Passwort ihrer Meinung nach sein könnte sein.) Einige Systeme erfordern außerdem, dass Benutzer ihre Passwörter von Zeit zu Zeit (z. B. alle 30 oder 45 Tage) ändern und eine erneute Verwendung verhindern Passwörter.
Solche Anforderungen Tun Sie erhöhen zwar die Sicherheit von Passwörtern, machen es aber auch deutlich schwieriger, sich die Passwörter zu merken. Das bedeutet, dass ein erheblicher Teil der Benutzer sofort Möglichkeiten finden wird, die Sicherheit des Systems zu ihrem eigenen Vorteil zu untergraben. Klar, manche Leute kommen mit Passwörtern wie … zurecht 9,3nDs(# Aber viele andere Leute werden mit passwortbeladenen Haftnotizen an den Seiten der Monitore und Notizen in ihren Monitoren antworten Wallets oder ein Microsoft Word-Dokument auf ihrem Desktop mit der hilfreichen Bezeichnung „Passwörter“, damit sie es jederzeit kopieren und einfügen können notwendig. Anforderungen an die Erstellung von Passwörtern beeinträchtigen tendenziell auch die Produktivität und erhöhen die Supportkosten (sowohl für Mitarbeiter als auch für andere). Kunden), da immer mehr Menschen ihre Passwörter vergessen oder von ihren Konten ausgeschlossen werden, was eine manuelle Eingabe erfordert Intervention.
Komplexe Passwörter erstellen
Der Heilige Gral der Passwörter scheint dann ein Passwort zu sein Komplex genug, dass es unpraktisch ist, sie mit automatisierten Techniken zu knacken, und dennoch leicht genug, um sich daran zu erinnern, dass Benutzer die Sicherheit nicht gefährden, indem sie sie unsicher speichern oder verwalten.
Hier sind einige Tipps zum Erstellen komplexer, leicht zu merkender Passwörter:
- Verwenden Sie lange Passwörter. Wenn ein achtstelliges Passwort 1,6 Billiarden mögliche Kombinationen haben kann, stellen Sie sich vor, wie viele ein 16-stelliges Passwort haben kann? (Etwa 2,8 Millionen oder 2,830.) Vielleicht noch wichtiger ist jedoch der Wertesatz für ein 16-stelliges Passwort unter Verwendung allgemeiner Begriffe und Variationen beträgt knapp 1,2 Trillionen, während es bei einem Acht-Zeichen etwas mehr als eine Milliarde war Passwort. Die Verwendung längerer Passwörter ist der einfachste Weg, Passwörter komplexer und sicherer zu machen.
- Verwenden Sie kombinierte Wörter. Wie erstelle ich lange Passwörter, die man sich leicht merken kann? Eine gängige Technik besteht darin, eine Reihe von drei bis fünf einfachen, unabhängig Bedingungen. Diese sind im Allgemeinen genauso leicht zu merken wie PIN-Nummern; Kognitiv neigen Menschen dazu, sich ganze Wörter als einzelne Einheiten zu merken. Allerdings können diese Passwörter zumindest im Hinblick auf das Knacken von Passwörtern sehr komplex sein. Und diese Passwörter lassen sich leicht erstellen, indem man sich einfach umsieht oder in einem Buch auf eine beliebige Seite blättert. Als ich nach links aus dem Fenster schaue, sehe ich einen Spielzeugfrosch, ein Auto und das Fenster einer Küchenzeile. Neues Kennwort: FrogRadcapCupboard – das sind 18 Zeichen, aber nur drei Wörter, die man sich merken muss. Sieht nach rechts aus: RunnerCameraGlueString — vier kurze Wörter, 22 Zeichen. Ich habe nur Großbuchstaben verwendet, um die Wörter leichter hervorzuheben. Das Hinzufügen weiterer Zeichen oder Ersetzungen kann die Komplexität erhöhen – werden Sie aber nicht so komplex, dass Sie den Schwächen schwieriger Passwörter zum Opfer fallen.
- Verwenden Sie Phrasen oder Liedtexte. Eine andere Möglichkeit, lange Passwörter zu erstellen, besteht darin, Teile von Phrasen oder Liedtexten zu verwenden. Was die Liedtexte angeht, sind relativ häufige Lieder vielleicht besser als solche, die Ihnen besonders wichtig sind: Auch hier möchten Sie nicht Leute, die Sie gut kennen, können Ihre Passwörter erraten, nur weil Sie ein großer Fan von Michael Bolton sind (oder nicht). Beispiele für Passwörter, die aus Phasen oder Liedtexten bestehen, könnten sein Du bist NoJackKennedy (19 Zeichen), iShotaManinReno (15 Zeichen), impeepinandimcreepin (20 Zeichen).
- Verwenden Sie Mnemonik. Der Nachteil langer Passwörter besteht darin, dass sie schwer einzugeben sind, insbesondere auf einem mobilen Gerät. Ein weiterer Trick, den manche Leute für die Generierung komplexer, kürzerer Passwörter nützlich finden, besteht darin, das erste Zeichen jedes Wortes in einer Phrase oder einem Liedtext zu verwenden. Aus „Wie viele Straßen muss ein Mann gehen“ könnte werden HmrmamwD– nur acht Zeichen, aber aus der Sicht eines Programms zum Knacken von Passwörtern relativ komplex. Ähnlich könnte „Schütteln Sie es, schütteln Sie es wie ein Polaroidbild“ lauten SiSiLapp – vielleicht nicht großartig, aber besser als Schildkröte. Dieser Trick kann auch dazu beitragen, gute Passwörter für Systeme zu generieren, bei denen die Länge von Passwörtern immer noch begrenzt ist.
Diese Richtlinien helfen Ihnen im Allgemeinen dabei, leicht zu merkende, komplexe Passwörter zu finden. Wenn es um Passwortsysteme mit Anforderungen an die Zusammensetzung geht (das heißt, sie erwarten gemischte Groß- und Kleinschreibung, Um diese Anforderungen zu erfüllen, müssen Sie sich immer noch ungewöhnliche Wendungen bei Passwörtern einfallen lassen Anforderungen. Denken Sie daran, dass Sie bei längeren Passwörtern Ersetzungen und Änderungen an offensichtlichen Stellen vornehmen können – Normalerweise sind diese langen Passwörter auch bei Anforderungen leichter zu merken als kurze, unsinnige Passwörter Passwörter.
Noch ein paar Hinweise
Weitere Dinge, die Sie bei der Auswahl Ihrer Passwörter beachten sollten:
- Verwenden Sie separate Passwörter für separate Dienste. Verwenden Sie Ihr Social-Networking-Passwort nicht für Online-Banking. Wenn ein Passwort bei einem Dienst kompromittiert wird, sollten die anderen sicher sein.
- Wählen Sie wichtige Passwörter sorgfältig aus. Single-Sign-In-Systeme sind zwar äußerst praktisch, stellen aber auch einen Single Point of Failure für mehrere Dienste dar. Beispiele wären Passwörter für Konten bei Google-, Yahoo- und Microsoft-Diensten, bei denen ein einziges geknacktes Passwort ausreichen könnte Zugriff auf E-Mails, Dokumente, Bilder, soziale Netzwerke, Blogs, Fotobibliotheken, Kontaktlisten, Adressbücher usw mehr. Ebenso verhält es sich mit so vielen Websites (sogar Digitale Trends) Facebook- und Twitter-Logins akzeptieren, kann ein kompromittiertes Passwort für soziale Netzwerke weitreichende Folgen haben.
- Ändern Sie Ihre Passwörter. Es ist verlockend zu glauben, dass Sie, wenn eines Ihrer Passwörter gebrochen wird, sofort wissen: Ihre E-Mail wird verschwinden, Ihr Blog auch zu einer Reihe von Lulz-Grafiken werden, Ihre Amazon-Geschenkliste könnte mit peinlichen Optionen gefüllt sein, Ihr PayPal-Konto könnte gelöscht werden aus. Das ist jedoch nicht immer der Fall: Wenn jemand Ihr Passwort knackt, ist möglicherweise kein offensichtliches Zeichen vorhanden, zumindest nicht sofort. Indem Sie Ihr Passwort regelmäßig ändern, stellen Sie sicher, dass die Möglichkeiten, Sie auszunutzen, selbst bei einem Einbruch begrenzt sind. Die Häufigkeit, mit der Sie Passwörter ändern sollten, hängt davon ab, wie Sie Online-Dienste nutzen. Bei allem, was mit echtem Geld zu tun hat, empfehle ich Benutzern generell, ihre Passwörter alle 30 bis 90 Tage zu ändern – je mehr Geld, desto öfter.
Kein Passwort ist sicher
Das ist vielleicht das Wichtigste, was Sie bei Passwörtern beachten sollten beliebig Passwort geknackt werden kann: Es kommt nur darauf an, wie viel Zeit und Mühe jemand bereit ist, dafür zu investieren. Die hier aufgeführten Tipps tragen dazu bei, die Wahrscheinlichkeit zu verringern, dass Ihre Passwörter von zufälligen Angreifern und sogar von Freunden und Familie ausgerottet werden, aber kein Passwort ist absolut sicher. Wenn Ihnen ein sicherer Zugriff auf einen Dienst sehr wichtig ist, sollten Sie verschiedene Formen der Multi-Faktor-Authentifizierung in Betracht ziehen, um das Risiko eines unbefugten Zugriffs weiter zu verringern.
Bildnachweis: Shutterstock / jamdesign / Tatiana Popova / Pedro Miguel Sousa
Empfehlungen der Redaktion
- Diese peinlichen Passwörter führten dazu, dass Prominente gehackt wurden
- Nein, 1Password wurde nicht gehackt – hier ist, was wirklich passiert ist
- So schützen Sie einen Ordner in Windows und macOS mit einem Passwort
- LastPass enthüllt, wie es gehackt wurde – und das sind keine guten Nachrichten
- Reddit wurde gehackt – hier erfahren Sie, wie Sie 2FA zum Schutz Ihres Kontos einrichten
