Sicherheits-Guide: Wie Hacker dein Passwort knacken
Kommentare

Passwörter können mit der Zeit schon lästig werden. Vor allem, weil sich immer mehr und ständig neue davon ansammeln. Die noch so bequemen Online-Services, sei es ein Fotosharing-Portal oder einfach eine interaktive TV-Zeitschrift wie Couchfunk, wollen alle, dass wir uns bei Ihnen registrieren und folglich mit Benutzername und Passwort anmelden.   

So lässt sich das eigene Passwort zu leicht knacken

Klar, dass man bei der Fülle an Services versucht, so oft wie möglich das selbe Passwort zu verwenden. Zwar ist das sehr bequem, es kann aber auch in die Hose gehen.

Mit unserem Passwort-Guide erklären wir Euch, welche drei goldenen Regeln im Umgang mit der Passwort-Vergabe beachtet werden sollten. Außerdem zeigen wir Euch die gängigsten Methoden von Hackern beim Passwort-Knacken und die besten Möglichkeiten, sich davor zu schützen.

Regel Nummer 1: Ein sicheres Passwort überlegen

Für die Passwort-Vergabe solltet Ihr Euch zunächst an die folgenden Standardrichtlinien halten:

  1. Das Passwort sollte aus mindestens acht Zeichen bestehen,
  2. Buchstaben, Zahlen und Sonderzeichen
  3. sowie Großschreibung beinhalten.

Außerdem sollte das fertige Passwort keinesfalls Bestandteil Eures Namens sein oder Eure Tätigkeit beschreiben, sehr beliebt ist zum Beispiel der Nachname plus Geburtsjahr. Auch sollte der Chef von Dropbox nicht “dropboxchef” als Passwort wählen. Eine Zahlenfolge wie 12345678 ist selbstverständlich auch kein ausreichend sicheres Passwort.

Bestenfalls sollte Euer gewähltes Sicherheitswort entweder ein reiner Fantasiebegriff sein oder aus einer zufälligen Zeichenfolge bestehen.

Bitte verwendet niemals ein und dasselbe Passwort für Euer Bank- und Facebook-Konto. Zur Anmeldung in Foren, sprich bei “unwichtigen” Internetdiensten, können auch einfache Passwörter mehrmals verwendet werden. Man will ja schließlich nicht päpstlicher sein als der Papst.  

Zur schnellen Überprüfung könnt Ihr auch Microsofts Safety & Security Center befragen. Natürlich solltet Ihr trotz SSL-Verschlüsselung nur eine Variante Eures echten Passworts zur Überprüfung eintragen.

Regel Nummer 2: Strategie zur Auswahl / zum Merken des Passworts überlegen

Dass man sein Passwort nicht aufschreiben oder sonstwo am Körper mit sich führen sollte, ist klar. Genau deshalb empfiehlt es sich, eine bestimmte Strategie zur Auswahl des Passworts anzuwenden. Und davon gibt es nicht nur viele, sondern auch wirklich gute und einfache. Zum Beispiel könnte man zunächst einen leicht zu merkenden Satz bilden, etwa, “Mein Haus ist grün”. Daraus wird dann “MeinHausistgruen” > “Me1nHaus1stgruen” > “Me1n!Haus1stgruen?”. Am Ende hat man ein komplexes Passwort, dass man sich leicht merken kann.

Eine zweite Möglichkeit wäre, aus den einzelnen Buchstaben dieses “Schlüsselsatzes” eine Zeichenreihe zu bilden, zum Beispiel eine Kombination aus Anfangs- und Endbuchstaben. Aus “Mein Haus ist grün” wird dann “MHignstn”. Angereichert mit Sonderzeichen und Zahlen, hätte man auch so ein einfach zu merkendes, dennoch komplexes Passwort: “MH!1gnstn”.

Regel Nummer 3: Wartungsplan erstellen

Keine Angst, die Erstellung eines Wartungsplans ist nicht unbedingt mit viel Aufwand verbunden. Gemeint ist, dass Ihr einen oder besser zwei Termine im Jahr festlegt (zum Beispiel Euer Geburtstag und Weihnachten), an denen Ihr Euch ein neues Passwort ausdenkt. Ein häufiger Wechsel Eurer Kennwörter erhöht die Sicherheit ungemein.

Allgemein gilt:

Natürlich solltet Ihr auch abseits der drei goldenen Regeln und des Wartunsplans immer die Augen offen halten und auf Auffälligkeiten reagieren, denn hundertprozentige Sicherheit kann Euch leider niemand garantieren. Wenn Ihr also bemerkt, dass in Eurem E-Mail-Postfach etwas nicht stimmt oder Ihr bei Facebook plötzlich mehr Freunde habt, solltet Ihr sofort reagieren und Euer Passwort ändern.

Bei Angelegenheiten wie Online-Banking solltet Ihr darüber hinaus bei jeglichen Auffälligkeiten Eure Bank oder Sparkasse kontaktieren. Sicher ist sicher, denn wenn im Internet etwas faul zu sein scheint, ist es oft tatsächlich so.

So knacken Hacker Euer Passwort

Hacker haben mit der Zeit dutzende Methoden entwickelt, um an Passwörter zu gelangen. Die bekannteste ist die Brute-Force-Methode, die sicher auch jeder von Euch schon mal irgendwo angewandt hat, bevor er das Passwort-vergessen-Knöpfchen geklickt hat. Der Hacker probiert bei dieser Methode so lange alle möglichen Kombinationen aus, bis er endlich durchgekommen ist. Ob dabei Tage, Wochen oder Monate vergehen, spielt keine Rolle.

Eine ähnliche Methode nennt sich Dictionary Attack. Hier bedient sich der Hacker einer vorgefertigten Liste beliebter Passwörter, die zudem regional angepasst ist. Manche dieser Listen liegen als eine Art Schablone vor, die noch mit persönlichen Daten des Opfers angereichert werden kann.

Eine mehr technische Lösung bietet die Rainbow-Table-Methode. Hier können Windows-Kennwörter mit geringem Rechenaufwand geknackt werden, wenn sie als bloßer Hashwert ohne Salt abgespeichert werden. Salt bezeichnet einen zusätzlichen zufällig generierten Wert, der an das Passwort angehängt wird, um die Rainbow-Table-Methode unbrauchbar zu machen Im Grunde braucht es nicht einmal viel Erfahrung, sofern man eine gute Rainbow-Tabelle zur Hand hat.

Die modernste und gleichzeitig einfachste Methode, um an die Passwörter seiner Opfer zu kommen, ist das Social Engineering. Hier spart sich der Hacker mühsame Kleinstarbeit und fragt sein Opfer einfach danach. Das geht entweder über Social Media, in dem man sich als Facebook-Admin ausgibt. Etwas komplizierter in Form von Phishing-E-Mails, ein Verfahren, vor dem Banken regelmäßig warnen, für dessen Erfolg jedoch am Ende immer die Kunden entscheidend sind – sei es, weil sie ihre Pin telefonisch übermitteln oder in eine von Hackern vorbereitete Maske eingeben, die sie auffordert, ihr Banking-Passwort zu ändern.

Am besten schützt man sich gegen diese Angriffe natürlich, in dem man die drei goldenen Regeln beachtet bzw. sein Passwort auf keinen Fall per E-Mail, telefonisch oder sonst wie herausgibt.

Power & Business User

Für Power und Business User sind die drei goldenen Regeln sowie eine generell erhöhte Vorsicht erst recht bindend. Schließlich will man ja keine Geschäftsgeheimnisse nach außen tragen, geschweige denn wegen einer Unachtsamkeit seinen Job verlieren. Für all jene, die dutzende Pins, Passwörter, Sicherheitsschlüssel und Tokens zu verwalten haben, bieten sich professionelle Passwort-Manager-Tools an.

Diese Programme verwalten all Eure Passwörter in einer Datenbank und ermöglichen Euch den Zugang per Master-Passwort. Der Vorteil dieser Systeme liegt natürlich auf der Hand: Man muss sich anstelle dutzender nur ein einziges Masterpasswort merken. Zwar müssen Hacker auch nur diesen einen Zugang knacken, um alles auf einmal offenbart zu bekommen, jedoch sind diese Online-Tresore, zumindest die guten, bestens gegen Angriffe geschützt. Drei hilfreiche Passwort-Manager haben wir Euch in diesem Beitrag vorgestellt.

Aufmacherbild: morguefile.com

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -