Tipp der Woche

< zurück zur vorherigen Seite

Auszug aus der Computerzeitschrift CHIP September 2003

Wie sicher ist Ihr Passwort?

Wer auf Nummer sicher gehen will, schützt vertrauliche Daten mit einem Passwort.

Pech nur, wenn man das vermeintlich sichere Passwort in wenigen Minuten entschlüsseln kann.

Damit niemand Ihr vertrauliches Word-Dokument einsehen kann, haben Sie es mit einem Kennwort geschützt - wie war das doch gleich? Das Passwort war irgendwas mit L am Anfang. Nein, nicht "Leica", der Name des Labradors. Auch nicht Ihre Autonummer, sondern ein richtiges, sicheres Passwort, mit Buchstaben, Ziffern und Sonderzeichen.

Dokumente mittels Passwort zu schützen gehört für sicherheitsbewusste Anwender zum Alltag. Nur so können sie sicher sein, dass Dritte keinen Zugriff auf Ihre Daten haben. Der Grad der Sicherheit hängt von der Art und der Länge des verwendeten Passworts ab.

Grundsätzlich funktioniert der Kennwort-Schutz für Dokumente und andere Daten so: Beim Festlegen eines Passworts, etwa in Word, wird es über einen Algorithmus verschlüsselt. Am Ende dieses Vorgangs steht eine Prüfsumme, die im Dokument gespeichert wird. Beim erneuten Öffnen berechnet das Programm aus dem nun eingegebenen Passwort wieder die Prüfsume und vergleicht sie mit der zuvor hinterlegten. Stimmen sie überein, lässt sich das Dokument entschlüsseln und öffnen.

Für alle Passwörter gilt: Wenn Sie es vergessen, sperren Sie sich selbst aus.

Findige Programmierer haben Programme entwickelt, die Zugangscodes für unterschiedliche Applikationen auslesen können.

So schützen Sie sich:

Das richtige Passwort

Wer sichere Passwörter will, sollte folgende Regeln und Tipps beherzigen:

Das sollten Sie vermeiden:

Benutzen Sie grundsätzlich keine Namen oder Geburtsdaten und vermeiden Sie generell alle sinnvollen Wörter, egal in welcher Sprache.

>>> Verrwenden Sie auch Sonderzeichen und wechseln Sie zwischen Groß- und Kleinschreibung.

>>> Speichern Sie keine Passwörter, auch wenn Ihr Programm diese Option anbietet, sondern geben Sie es jedes Mal neu ein.

So ist Ihr Passwort sicher:

Bilden Sie zuerst einen Satz, den Sie sich leicht merken können. Etwa: "Hallo! Wie lautet eigentlich dein sicheres Passwort?" Nun nehmen Sie jeweils den ersten Buchstaben der Wörter und die Satzzeichen. Daraus bilden Sie folgenden Code: H!WledsP?
Da dieses Kennwort in keinem Lexikon steht, scheitert die Dictionary-Methode kläglich. Nur die Brute-Force-Methode könnte zu einem Ergebnis kommen, allerdings würde das extrem lange dauern. Bei einem 9 Zeichen langen Passwort und einem 255 Zeichen umfassenden Zeichesatz gibt es 255 hoch 9 Möglichkeiten. Das sind 4.558.916.353.692.287.109.375.

So lange dauert es Ihr Passwort zu knacken

Je länger ein Passwort ist und je mehr verschiedene Zeichen darin vorkommen, umso sicherer ist es. Die unten aufgeführten Zeitangaben zum Knacken eines Passworts gelten für Computer, die in einer Sekunde rund 25.000.000 Kombinationen berechnen können (Pentium 4 mit 2,5 GHz)

Nur Kleinbuchstaben des Alphabets (26 Zeichen)

Zeichenzahl

Kombinationsmöglichkeiten

Dauer

4 Zeichen

456.976

18 Millisekunden

5 Zeichen

11.881.376

48 Millisekunden

6 Zeichen

308.915.776

13 Sekunden

7 Zeichen

8.031.810.176

5 Minuten 22 Sekunden

8 Zeichen

208.827.064.576

2,3 Stunden

9 Zeichen

5.429.503.678.976

2,5 Tage

10 Zeichen

141.167.095.653.376

66 Tage

11 Zeichen

3.670.344.486.987.776

4,7 Jahre

12 Zeichen

95.428.956.661.682.176

121 Jahre

Kompletter ASCII-Zeichensatz (128 Zeichen)

Zeichenzahl

Kombinationsmöglichkeiten

Dauer

4 Zeichen

268.435.456

11 Sekunden

5 Zeichen

34.359.738.368

23 Minuten

6 Zeichen

4.398.046.511.104

2 Tage

7 Zeichen

562.949.953.421.312

261 Tage

8 Zeichen

72.057.594.037.927.936

91 Jahre

9 Zeichen

9.223.372.036.854.775.808

11.699 Jahre

10 Zeichen

1.180.591.620.717.411.303.424

1.497.453 Jahre

11 Zeichen

151.115.727.451.828.646.838.272

191.673.932 Jahre

12 Zeichen

19.342.813.113.834.066.795.298.816

24.534.263.209 Jahre

So arbeiten die Passwort-Knacker

Dictionary-Methode:

Einfach nachschlagen
Viele Anwender nehmen ganze Wörter oder Namen als Kennwort. Das ist zwar einfach, aber auch unsicher. Im Internet gibt es umfangreiche Wörter- und Namensbücher zum kostenlosen Download, die Password-Recovery-Tools zum Cracken eines Passworts einsetzen. Die Vorgehensweise ist simpel: Die Programme arbeiten sich einfach durch die kompletten "Dictionaries", bis sie auf das gesuchte Wort stoßen. Dabei spielt es keine Rolle, in welcher Sprache das Passwort erstellt wurde, da es für alle gängigen Sprachen entsprechende Wortlisten gibt. Moderne Cracker finden ein Kennwort, das in einem Dictionary enthalten ist, in der Regel binnen weniger Minuten.
Wenn Sie also deutsche Wörterbücher suchen, sollten Sie unter www.elcorn soft.com/prs.html oder unter www. accessdata.com/dictionaries.htm nachsehen. Generell liegen diese Wortlisten als reine Textdateien vor, die der Anwender über eine Routine ins Programm einlesen und bei Bedarf auch editieren kann.

Brute-Force (Mask):

Probieren geht über Studieren
Dieses Verfahren ist ungleich rechenintensiver und kommt normalerweise dann zum Einsatz, wenn der User keine Vorstellung vom gewählten Passwort hat oder die Dictionary-Attacke erfolglos war. Cracker gehen dabei mit roher Gewalt vor, indem sie alle erdenklichen Zeichen kombinationen "durchspielen". Sie beginnen bei einem Zeichen (meist "a") und ackern sich regelrecht durch den Zeichenwald. Logischerweise dauert diese Methode deutlich länger. Wer etwa einem neunstelligen Kennwort (erweiterter ASCII-Zeichensatz mit 256 Zeichen) einen schnellen Computer (Pentium 4/2,5 GHz) entgegensetzt, schafft pro Sekunde rund 25 Millionen Kennwörter und hat rund 6 Millionen Jahre Zeit, bis der Cracker alle Kombinationen durchgerechnet hat. Statistisch gesehen wird er aber schon nach drei Millionen Jahren das richtige Passwort finden. Bei der zweiten Variante, der Brute-Force-Mask-Methode, gibt der User einen Wert vor. Das ist dann der Fall, wenn sich der Anwender noch an einen Buchstaben, ein Sonderzeichen oder eine Zahl des Passworts erinnert. Das Auslesen geht dann erheblich schneller.

Passwort überschreiben:

So kommen Sie ans Ziel
Diese Art gehört zu den unfeinsten Methoden überhaupt und funktioniert nicht immer. Trotzdem kommt es in der Praxis immer wieder vor, dass sich in geschützten Dateien die Kennwörter problemlos überschreiben lassen. Man kommt auf diese Weise zwar nicht an das Passwort selbst heran, jedoch an den Inhalt der gewünschten Datei. Für diese Methode gibt es im Internet einige Programme, die zuverlässig arbeiten.

zur Startseite