Passwörter – das A und O der IT-Security

December 15, 2016
Passwörter – das A und O der IT-Security

Beitrag von Jörg Knippschild, Senior Manager Solution Architects, VMware

JoergKnippschild_Portrait_02-nnn-201x30012345passwort – aus dieser Kombination sollte kein Passwort bestehen. Und doch sind die meisten Passwörter heutzutageähnlich schlecht und laden Hacker förmlich ein, in das jeweilige Netzwerk oder den jeweiligen Account einzudringen. Doch worauf ist bei der Passwortvergabe zu achten? Welche Fehler werden häufig gemacht? Und welche sind die gängigsten Methoden der Hacker, um Kennwörter zu knacken?

Fangen wir zunächst einmal vorne an: Was denken Sie, wie vielen Versuchen muss ein Passwort standhalten, damit es sicher ist? Ein Passwort, das durch einen herkömmlichen Online-Angriff geknackt werden soll, muss circa einer Million Versuche widerstehen. Das klingt zunächst nach sehr viel, doch ein Passwort, das durch eine Sicherheitslücke gestohlen und offline mit spezieller Hardware zu knacken versucht wird, muss rund eine Milliarde Versuche bewältigen können. Keine Frage, das ist immer noch reichlich. Und jetzt stellen Sie sich mal vor, Ihr Passwort setzt sich aus den einfachsten Wort- und Zahlenkombinationen zusammen, dann schaffen es die Cyberkriminellen dieses mit weit weniger Versuchen zu entschlüsseln. Vorsicht also bei der Passwortwahl!

Wer die Wahl hat, hat die Qual

Es kommt leider nicht selten vor, dass jemand ein Passwort für mehrere verschiedene Programme beziehungsweise Zugänge benutzt – das ist fatal. Und gleichzeitig verständlich! Schließlich müssen wir uns sowohl privat als auch in der Arbeit oft mehrere Passwörter merken, die wir laut Meinung mancher Experten auch noch möglichst oft ändern sollten. Nicht selten kommt es deshalb vor, dass Mitarbeiter ihre Zugangsdaten auf einem Zettel festhalten und an den Bildschirm kleben. Oder aber ein und dasselbe einfach zu merkende Passwort immer wieder mit leichten Abwandlungen verwenden. Deshalb habe ich untenstehend die einfachsten Tipps für die Erstellung eines sicheren Passworts aufgelistet:

  • Es sollte mindestens acht Zeichen lang sein
    Eine Ausnahme gibt es jedoch bei Verschlüsselungsverfahren wie zum Beispiel WPA und WPA2 für WLAN. Hier sollte das Passwort mindestens 20 Zeichen lang sein. Denn in diesem Fall können die Cyberkriminellen auf so genannte Offline-Attacken zurückgreifen, die auch ohne stehende Netzverbindung funktionieren – das geht zum Beispiel beim Hacken von Online-Accounts nicht.
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen
  • Vorsicht bei Namen von Familienmitgliedern, des Haustieres, des besten Freundes oder deren Geburtsdaten. Derart offensichtliche persönliche Details sind nicht nur für Sie leicht zu merken
  • Vorsicht bei gängigen Varianten und Wiederholungs- oder Tastaturmustern, wie zum Beispiel „asdfgh” oder „1234abcd”
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen sind ebenso wenig empfehlenswert.

So hacken sich Cyberkriminelle ihren Weg frei

Mit Ihrem persönlichen Kennwort weisen Sie sich dem System gegenüber als autorisierter Benutzer aus. Das funktioniert natürlich nur dann, wenn nur Sie das Kennwort kennen und wenn es sicher gewählt wurde. Sicher ist ein Kennwort dann, wenn ein Angreifer es nicht herausfinden kann. Für die Wahl eines Kennworts ist es deshalb hilfreich zu wissen, wie Angreifer vorgehen.

Es existieren derzeit zwei „etablierte” Möglichkeiten:

  • 1.Brachiales Raten (Brute Force)
  • Hier probiert der Angreifer schlicht und einfach alle denkbaren Kombinationen aus, die möglich sind. Ich vergleiche diese Methode gerne mit dem Knacken eines alten Fahrrad-Zahlenschlosses. Alles, was dazu nötig ist, ist Rechenkraft – und davon haben die Cyberkriminellen sehr viel. Weil aber die wenigsten Menschen komplizierte Passwörter wie „apwmndz293nh”, sondern vielmehr merkbare Wörter wählen, müssen Hacker von dieser Rechenkraft gar nicht Gebrauch machen. Es gibt eine Reihe von Tools, die auf elektronische Wörterbücher zurückgreifen und sämtliche Wörter ausprobieren. Dieses Vorgehen nennt man in der Fachsprache „dictionary attack”. Bei dieser „Wörterbuchattacke” geben die Kriminellen die Wörter auch rückwärts (zum Beispiel „Cäsar” und „rasäC”) und mit variierender Groß- und Kleinschreibung ein und kombinieren mehrere Wörter. Die dabei verwendeten Wortlisten enthalten in der Regel neben den Wörtern aus den gängigen Sprachen auch Eigennamen, Bücher, Spiele oder Namen aus Filmen, wie zum Beispiel „R2D2″ aus dem Kultfilm Star Wars.
  • 2.Gezieltes Raten (Social Engineering)
  • Hier versucht der Angreifer, möglichst viele Informationen über sein „Opfer” herauszufinden, beispielsweise seinen Geburtstag und -ort, Name des Partners, der Kinder, der Eltern, des Haustiers, Hobbies und viele weitere Einzelheiten aus dem Leben und näheren Umfeld. Diese Informationen werden dann bei einem händischen Brute-Force-Angriff durchprobiert.
  • Erschreckend ist: Nicht selten kommt es vor, dass der Angreifer das Kennwort direkt vom Betroffenen in Erfahrung bringt. Besonders hinterlistige Hacker rufen den Betroffenen an und geben sich beispielsweise als Administrator oder Support-Mitarbeiter der Firma aus, der wegen technischer Probleme das Kennwort erfahren muss.

Ein guter Tipp zuletzt: Auch die sogenannte Zwei-Faktor-Authentifizierung, die bereits von vielen großen Playern im Netz wie Amazon, Paypal und Apple angeboten wird, ist sicherer als nur ein Passwort allein. Denn hier erfolgt der Zugang über zwei Faktoren: Zunächst registriert man sich mit seinem Passwort, anschließend erhält man beispielsweise einen Code auf das eigene Handy. Erst wenn man zusätzlich zum Passwort diesen Code eingibt, erhält man Zugang zur Plattform bzw. zu seinem Account.

Halten Sie also die Augen offen und nutzen Sie – insofern es angeboten wird – die Zwei-Faktor-Authentifizierung. Geben Sie niemals Ihr Passwort an Freunde, Bekannte und schon gar nicht an Fremde weiter, die sich vorher nicht als Administrator ausgewiesen haben. Merken Sie sich wenn möglich Ihre Passwörter.

Für mehr Informationen zum Thema IT-Sicherheit und wie Sie sich von Hackerangriffen schützen können, folgen Sie mir auf Twitter.


 
Related Posts
 

Neben den zahlreichen geschäftlichen, operativen und finanziellen Vorteilen, die die digitale Transformation mit sich bringt, gibt es auch einige Herausforderungen, die Unternehmen zu meistern haben. Thomas Wirtz, Pre-sales Director Germany, gibt einen Überblick.

Beitrag von Jörg Knippschild, Senior Manager Solution Architects, VMware

Ihr …

Read More

Beitrag von Jörg Knippschild, Senior Manager Solution Architects, VMware – Der Fachkräftemangel in der IT-Security bedroht viele Unternehmen in Deutschland. Ein Blick in die Ausbildung der nächsten Generation der Sicherheitsexperten.

Beitrag von Jörg Knippschild, Senior Manager Solution Architects, VMware

Die jüngste …

Read More

 
 
Blog Archive