Apr 08

Mittwoch

Ich habe heute mal wieder über meine Passwörter nachgedacht.

Gerade bei so vielen Social-Networking-Diensten, wie ich sie nutze, hat man eine Unmenge an Kennwörtern. Da openID ja leider noch nicht so weit verbreitet ist, lässt sich das bis auf Weiteres auch noch nicht umgehen. Daher sollte man, um ein hohes Maß an Sicherheit zu gewähren, möglichst darauf achten, dass die verwendeten Passwörter keine Ähnlichkeiten aufweisen. Denn aus diesen Similaritäten lassen sich sehr leicht Algorithmen erstellen, um Passworte recht treffsicher zu “erraten” (siehe BruteForce-Angriff).

Das verwenden von Passwortlängen, die einem jedesmal Schweiß auf die Stirn treiben beim Eintippen, weil man es schon zweimal falsch hatte und man genau weiß, dass beim dritten Fehlversuch der Account gesperrt wird, ist natürlich obligatorisch! Ebenso das Verwenden von Sonderzeichen.  An dieser Stelle noch die Anmerkung für Neueinsteiger der Materie: Die Taste “Shift” alleine ist noch kein Sonderzeichen ;-)

Auf jeden Fall war ich genervt, dass ich mir so viele Passworte, die keinen Zusammenhang aufweisen, dann auch noch merken muss. Sicherlich gibt es da schon verschiedene Lösungen, aber ich wollte gerne mal einen anderen Lösungsansatz ansprechen.

“Security by Obscruity” dürfte einigen sicherlich schon ein Begriff sein. Es bedeutet im Grunde, dass ein Angreifer keinen Schimmer hat, wie ein System genau aufgebaut ist. Dadurch wird es ihm erschwert genau dort anzusetzen, wo sich vielleicht schon Schwachstellen befinden.

“Security by Obscenity” ist nun ein neuer Ansatz, bei dem versucht wird die Passworte möglichst so “schmutzig” zu wählen, dass der Angreifee nicht ein Mal im Traum daran denken würde, ein solches Wort in einer Kennwort-Maske einzutragen. Das setzt natrürlich voraus, dass der Betreffende eine gewisse Hemmschwelle hat.
Um eine noch übertriebenere Möglichkeit darzustellen, könnte man auch dafür sorgen, dass sogar der MD5-Hash des Passwortes noch so schmutzig ist, dass der Angreifer sich diversen Angriffsversuchen erst mal die Hände waschen muss.
Ein weiteres Plus der Methode ist, dass man peinlichst genau darauf achtet, dass einem Niemand während der Passwort-Eingabe über die Schulter schaut.

Leider fällt es mir an dieser Stelle schwer ein passendes Beispiel zu erörtern, da davon auszugehen ist, dass dieser Beitrag auch von Minderjährigen gelesen wird.

Ich hoffe allen Lesern ist klar, was an diesem Beitrag Fakt und was Fiktion ist. Der Autor wollte lediglich dazu anregen, mal wieder über die eigenen Passworte nachzudenken. Für die verwendeten und nicht erläuterten technischen Begriffe möchte er sich noch entschuldigen.

In diesem Sinne wünsche ich Allen noch viel Spaß beim Austüfteln von neuen, noch sichereren, Passworten.

| Trackback | Kurzlink

2 Kommentare zu “Neue Sicherheitsaspekte für Passwörter”

  1. Alex schreibt:

    Das Problem mit verrückten und darob sicheren Passwörtern ist ja meist, sich diese zu dann auch zu merken.

    “buOweqfq?9123#ülasdöoj=123ß” (das verwende ich z.B. für mein Banking) ist gar nicht sooo leicht zu behalten.

    Ich habe ganz gute Erfahrungen damit gemacht, einen einfach zu behaltenen Satz als Grundlage zu verwenden. Das eigentliche Passwort wird dann durch die Anfangsbuchstaben inkl. der Satzzeichen gebildet.

    Zum Beispiel ergibt: “Über 7 Brücken musst du geh´n, 7 dunkle Jahre überstehn.” dann “Ü7Bmdg,7dJü.”

    Ahoi!
    Alex

  2. Lenny schreibt:

    Das mit den Sätzen muss ich demnächst mal ausprobieren. Wahrscheinlich werde ich an der Anzahl der Brücken scheitern. Acht? Neun? Sieben?

Einen Kommentar verfassen