[FAQ] Sichere Passwörter

    Bei allen möglichen Sicherheitsvorkehrungen ist der erste Schritt immer ein ausreichend sicheres Passwort. Das Passwort ist der erste und effektivste Schutz vor unberechtigtem Zugriff auf Accounts oder Daten. Ohne technischen Hintergrund mag man verleitet sein Passwörter als sicher anzusehen welche ohne weiters binnen Sekunden geknackt werden können. Von daher hier mal ein paar Grundregeln für sichere Passwörter.


    1) Passwort Länge / Zeichen


    Nimmt man das Alphabet mit seinen 26 Buchstaben sowie alle Zahlen von 0 bis 9 so erhält man insgesamt 62 Zeichen.


    Bei einer angenommenen Passwortlänge von 4 Zeichen ergeben sich daraus dann 62 hoch 4 = 14,77 Millionen Möglichkeiten. Für einen Menschen sehr viel und nur mit enormen Zeitaufwand überwindbar. Bei angenommenen 300 Anschläge/Zeichen pro Minute würden 197017 Minuten oder 136 Tage benötigt, um alle Kombinationen zu probieren.


    Ein Computer schafft allerdings gut und gerne 1 Millionen Anschläge/Zeichen pro Sekunde! Ein 4-stelliges Passwort wäre somit in 59 Sekunden geknackt.


    Bei einem 8-stelligen Passwort (62 hoch 8 = 218 * 10^12 Kombinationen) würde selbst ein Computer ca. 27 Jahre benötigen, um alle Kombinationen zu probieren.


    4 Zeichen => 62 hoch 4 = 14,77 Millionen => 59 Sekunden
    6 Zeichen => 62 hoch 6 = 56 * 10^9 => 3,9 Tage
    8 Zeichen => 62 hoch 8 = 218 * 10^12 => 27 Jahre
    9 Zeichen => 62 hoch 9 = 13,5 * 10^15 => 3863 Jahre
    10 Zeichen => 62 hoch 10 = 839 * 10^15 => 266140 Jahre


    Man sieht also, daß jede zusätzliche Stelle die Anzahl der Möglichkeiten um den Faktor 62 erhöht!


    Passwörter ab einer länge von 8 Zeichen gelten somit als sicher, da diese selbst mit automatisierten Methoden nicht in annehmbarer Zeit zu überwinden sind. Für höhere Sicherheitsansprüche sollten Passwöter aber mit einer Länge >10 gewählt werden.


    Eine weitere Möglichkeit die Komibnatorik zu erhöhen ist die Anzahl der Zeichen im Alphabet zu erweitern indem man z.B. Sonderzeichen mit in das Passwort aufnimmt.


    Fazit: Passwortlänge mindestens 8 Zeichen, besser 10 oder mehr!


    2) Passwort Inhalt


    Geht man von einem hinreichend langen Passwort aus kann das Passwort nicht ohne weiteres durch probieren ermittelt werden. Ein weiterer Angriffspunkt und damit gleichzeitig eine Schachstelle für Passwörter ist allerdings der Inhalt des Passworts selbst.


    Der Duden umfasst ca. 120000 Wöter + 80000 Fremdwörter und einigen nicht erfassten Wörtern (Mundart, neumodische Wörter, etc.) ergibt das ca. 500000 Wöter mit einer durschnittlichen Wortlänge von sagen wir mal 12 Zeichen. Bei unserer angenommenen Geschwindigkeit von 1 Millionen Zeichen pro Sekunde würde ein Computer also gerade mal 6 Sekunden benötigen, um alle Wöter aus dem Duden als Passwort zu probieren.


    Wöter aus dem Duden oder sinnhaltige Wörter sind daher als Passwort tabu ebenso wie Namen.


    Fazit: Ein langes Passwort ist dann schwach, wenn es leicht zu erraten ist!


    Ein weiterter Fehler besteht darin personenbezogenen Daten, die man leicht ermitteln kann, als Bestandteile des Passworts zu verwenden. Geburtstage, Wohnort, etc.


    Fazit: Keine Personenbezogenen Inhalte im Passwort!


    Auch Wortkombinationen oder Kombinationen von Wörtern und Personenbezogenen Daten stellen keinen hinreichenden Schutz dar! Die Anzahl der Variationen ist zu gering und Passwörter können zu leicht und zu schnell erraten werden!


    3) Das sichere Passwort!


    Ist also lang und ergibt für sich genommen keinen erkennbaren Sinn wie z.B. Alfg5Dbv


    Nun steht man allerdings vor dem Problem, daß diese Passwörter sich in der Regel sehr schlecht merken lassen. Daher muss man sich mit einer "Eselsbrücke" behelfen und sich einen Zusammenhang basteln, der für Aussenstehende nicht ersichtlich ist, einem selbst aber ermöglicht das Passwort auf einfache Weise zu rekonstruieren.


    Hier bieten sich ein Merksatz an wie z.B. "Ich schau um 8 im TV die Nachrichten" was zu folgendem Passwort führt "Isu8iTVdN"


    Reime oder Wortspiele bieten sich hier auch an, allerdings sollten diese nicht öffentlich bekannt sein sondern Eigenkreationen. Der Merksatz wiederum sollte völlig zusammenhanglos sein und möglichst frei gewählt ohne Bezug auf tatsächliche Ereignise oder Aktionen.


    Wie bereits unter 1) erwähnt kann man die Sicherheit stark erhöhen indem man die Anzahl der möglichen Zeichen erhöht und Sondernzeichen mit im Passwort verwendet. Man sollte daher mindestens 1 oder mehrere Zeichen im Passwort durch Sonderzeichen ersetzen! Zu beachten ist hierbei allerdings, daß Sondernzeichen auf verschiedenen Tastaturlayouts (englisch, deutsch, etc.) teilweise auf anderen Tasten liegen!


    In unserem Bsp. von oben könnte man z.B. s mit $ substituieren was zu folgendem Passwort führt: "I$u8iTVdN"


    Zusammenfassung:



    • Länge mindestens 8 besser mehr Zeichen

    • Groß- und Kleinbuchstaben, Zahlen sowie mind. 1 Sonderzeichen

    • Keine sinnhaltigen Wörter oder Wortkombinationen als Passwort

    • Keine personenbezogenen Daten im Passwort


    Seite zum Testen seines Passwort https://passwortcheck.datenschutz.ch/


    Gruß,


    Gerald


    Quellen:


    http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/
    http://www.verfassungsschutz.n…79837_L20_D0_I541,00.html

    Einmal editiert, zuletzt von gn0778 ()

    Ich würde gern noch 1 Link hinzufügen https://passwortcheck.datenschutz.ch/check.php?lang=de. Dort kann man sehr schön sehen wonach Passwörter bewertet werden.


    Resultat
    Das von Ihnen eingegebene Passwort ("Isu8iTVdN") ist schwach.
    Prüfung an folgenden Bewertungskriterien:
    Bewertungskriterien Spezifikationen Abzüge Messwert
    Optimale Passwortlänge ist 10 Zeichen pro fehlendes Zeichen -5 -5
    Fehlende Kleinbuchstaben a-z -20 ok
    Fehlende Grossbuchstaben A-Z -20 ok
    Fehlende Interpunktions- und Sonderzeichen -+.,;:_#/*%&?${}[]() usw. -20 -20
    Fehlende Zahlen 0-9 -20 ok
    Leerzeichen, Umlaute oder nicht druckbare Zeichen enthalten öäüéàèÖÄÜÉÀÈç usw. -20 ok
    identische Zeichen in Folge ab dem 3. Zeichen -20 ok
    Zeichenfolgen auf der Tastatur ab dem 3. Zeichen -20 ok
    ABC- und Zahlenreihen ab dem 3. Zeichen -20 ok
    Passwort durch Wortliste erleichtert eruierbar deutsch & englisch -20 ok
    Qualität des Passworts in Punkten Schwellwert >= 80 nicht erfüllt (75)


    Also auch das Passwort von Gerald ist nicht 100% sicher, wobei auch 100% sichere Passwörter nicht 100% sicher sind.


    Ich persönlich nehme immer ein Wort oder eine Spruch und setze dieses aus verschiedenen Zeichen zusammen. Es ist im Prinzip das selbe Vorgehen wie Gerald beschrieben hat nur empfehle ich noch Sonderzeichen einzubauen. Im folgenden Beispiel werden einfach Buchstaben durch Zahlen ersetzt wie das "b" mit der "6".


    Ein Beispiel:

    • qnapclub = Qualität des Passworts in Punkten Schwellwert >= 80 nicht erfüllt (10)
    • QnapClub = Qualität des Passworts in Punkten Schwellwert >= 80 nicht erfüllt (30)
    • qn46CLu6? = Qualität des Passworts in Punkten Schwellwert >= 80 95



    Christian


    Ich denke wer sich die knapp 5 Mrd. Jahre Zeit nimmt, hat es verdient! :D


    Allerdings sollte man beachten, das unter Umständen schon der erste Versuch erfolgreich sein könnte,
    gem. Murphy's Law I : "Alles was schief gehen kann, geht schief"


    In diesem Sinne, verlasst Euch nicht darauf das ein Passwort 100%ig sicher ist!


    (Wenn jemanden der Zugriff auf Eure Daten sooooo wichtig sein sollte, wird er sich nicht die Mühe machen,
    das Passwort zu knacken, sondern er wird entweder
    - die Hardware stehlen
    - die Hardware stehlen und Dich gleich mit entführen
    - Dich überwachen und alles unternehmen um an Dein(e) Passwo(e)rt(er) zu gelangen
    - oder andere Schreckliche Dinge mit Dir anstellen )


    Da ich davon ausgehe das hier keiner für NSA, FBI, CIA, MAD oder sonstige Geheimdienste arbeitet,
    dürfte die von Christian angegebenen Regeln ausreichen und es ist nicht mit Entführungen zu rechnen ;)


    Grüße & guten Rutsch
    Jody

    Das mit den sicheren Passwörtern ist ja alles schön und gut.


    Aber kann man User auch (softwaretechnisch) dazu zwingen, sichere Passwörter zu verwenden, wenn sie diese selbst ändern?


    Grüße
    Felix

    Zitat von "Wavy"

    Das mit den sicheren Passwörtern ist ja alles schön und gut.


    Aber kann man User auch (softwaretechnisch) dazu zwingen, sichere Passwörter zu verwenden, wenn sie diese selbst ändern?


    Grüße
    Felix



    Hallo Felix,


    generell müsste die Antwort "ja" lauten, aber wie es konkret auf den Geräten von Qnap geht, kann ich Dir leider nicht sagen, das meine tiefergehenden Linuxkenntnisse tagtäglich weiter verdampfen :oops: (liegt daran, dass ich derzeit fast garnix damit mache, leider)
    Aber wenn ich mich nicht irre gibt, gibt es eine conf-Datei wo die Komplexität des Passwortes festgenagelt werden kann.
    Wenn ich die Tage dazukomme, versuche ich das mal herauszubekommen!


    Grüße
    Jody


    Hallo Jody


    Das es pinzipiell geht, ist mir schon klar. Es geht immer irgendwie :).
    Toll wäre natürlich, wenn man das über das Admin-WebGUI einstellen könnte.


    Was die Linuxkenntnisse (FreeBSD)angeht: die stauben leider auch bei mir etwas ein - und ich bin krank :( .
    Aber vielleicht komme ich trotzdem mal dazu ...


    Grüße
    Felix

    Hallöle,


    alles was ich auf die Schnelle gefunden habe, geht in diese Richtung,
    aber auf dem NAS habe ich bisher keine pam.d gefunden, geschweige denn eine dazugehörige .config.


    Ich such dann mal weiter.
    Dir gute Besserung! einen guten Rutsch und ein gesundes neues Jahr!
    Jody