AA_bstbhaufen_123rf-6578099_skvoor.jpg

© skvoor, 123RF

Sichere Passwörter wählen und auf ihre Qualität prüfen

Nützlicher Zeichensalat

Bei der Wahl einer Passworts stellt der eigene Vorname keine gute Wahl dar, speziell wenn man Michael oder Jennifer heißt: Diese Namen zählen zu den 25 weltweit am häufigsten genutzten Credentials. Wesentlich bessere Passwörter erzeugen Sie mit einem Hilfsprogramm – und prüfen sie damit gleich auch noch auf ihre Qualität.

Der Sicherheitsfachmann Mark Burnett hat aus über 6 Millionen Passwörtern eine Rangliste der beliebtesten Exemplare erstellt [1]. Die kompletten ersten 25 Stück seiner Hitparade präsentiert der Kasten "Die 25 meistgenutzten Passwörter". Demnach verwenden Benutzer besonders gerne die Passwörter password und 123456.

Genau wie ihre übrigen Kollegen von der Liste kann man sie recht einfach behalten – dummerweise sind sie aber auch alles andere als sicher, sogar in mehrfacher Hinsicht: Durchweg zu kurz, bestehen sie nur aus Kleinbuchstaben oder Zahlen und verwenden Begriffe, die in jedem (englischen) Wörterbuch stehen.

Die 25 meistgenutzten Passwörter

password, 123456, 12345678, 1234, qwerty, 12345, dragon, pussy, baseball, football, letmein, monkey, 696969 , abc123, mustang, michael, shadow, master, jennifer, 111111, 2000, jordan, superman, harley, 1234567

Da die 25 Passwörter extrem häufig zum Einsatz kommen, genügt es einem Angreifer schon, sie einfach auf gut Glück durchzuprobieren. Die Chancen stehen gut, auf diese Weise irgendwo Zugang zu erhalten – und das ganz ohne ausgefeilte Knackprogramme oder leistungsfähige Computer.

Folglich sollten Sie die 25 Passwörter tunlichst nicht benutzen. Es ist aber auch keine gute Idee, einfach längere Wörter aus einem Wörterbuch zu verwenden – oder gar den eigenen Namen. Spezielle Programme probieren in wenigen Sekunden alle Wörter aus sämtlichen Wörterbüchern der Welt durch. Diese Vorgehensweise bezeichnet man daher auch als Wörterbuchangriff.

Auch exotische Vornamen stellen da keine Hürde dar. Am Arbeitsplatz kennen zudem die Kollegen Ihren Namen, er steht vielleicht sogar auf dem Türschild. Warum nicht einfach mal in der Mittagspause diesen als Passwort ausprobieren? Ähnlich leicht kommen Angreifer an persönliche Daten, wie etwa die Namen der Kinder.

Ein besonders gutes Passwort stellt daher das genaue Gegenteil der 25 meistgenutzten dar. Die notwendigen Kriterien fasst der Kasten "Sicheres Passwort" zusammen. Das Ergebnis wäre dann Gebilde wie THw$viKiBM95K. Diese Zeichenkette kann man sich allerdings nur sehr schwer merken. Sie auf einen Zettel schreiben, ist auch keine Lösung – wenn den ein windiger Kollege in der Mittagspause in die Finger bekommt, hat er womöglich Zugriff auf alle persönlichen Daten. Glücklicherweise lassen sich gute Passwörter mit einer Eselsbrücke erzeugen.

Sicheres Passwort

Ein sicheres Passwort muss die folgenden Kriterien erfüllen:

  • Es umfasst mindestens 8 Zeichen und ist möglichst lang.
  • Es enthält bunt gemischt Zahlen, Sonderzeichen sowie Groß- und Kleinbuchstaben.
  • Es steht in keinem Wörterbuch.
  • Es enthält keine doppelten Zeichen, wie etwa die Kombinationen aa oder bbb.
  • Es enthält keine auf der Tastatur vorkommenden Zeichenfolgen wie qwertz.
  • Es enthält keine persönlichen Daten, wie etwa das Geburtsdatum.
  • Nur Sie alleine kennen das Passwort.

Darüber hinaus sollten Sie jedes Passwort bei nur einem Dienst beziehungsweise System verwenden.

Ein Pfund Gehacktes

Dazu wählen Sie zunächst einen möglichst langen Satz, den Sie sich trotzdem einfach merken können. Das kann ein Zitat aus einem Buch sein, ein Reim oder eine kuriose Tatsache. Der Satz sollte aus mindestens zehn Wörtern und einer Zahl oder einem Zahlenwort bestehen. Ein Beispiel wäre: "Tante Hedi wog vor ihrer Kur in Bad Münstereifel 95 Kilo." Jetzt nehmen Sie die Anfangsbuchstaben der einzelnen Wörter sowie die Zahl: THwviKiBM95K.

Dieses Passwort ist 12 Zeichen lang, was derzeit ausreicht. Zudem fällt es kryptisch genug aus, um nicht einfach erraten zu werden. Sie selbst müssen sich hingegen nur den Satz merken, um auf das Passwort zu kommen. Das enthält allerdings noch keine Sonderzeichen. Hier genügt es aber, sich ein solches auszudenken und an einer festgelegten Stelle einzufügen – beispielsweise an der vierten Stelle ein Dollarzeichen, denn Tante Hedis Kur war kostspielig: THw$viKiBM95K. Daran beißen sich auch gute Knackprogramme die Zähne aus.

Einige Dienste kommen allerdings mit Sonderzeichen nicht gut zurecht. Probleme bereiten insbesondere Leerzeichen, die in den Augen einiger Programme zwei Wörter trennen. Internetdienste verschlucken sich auch gerne mal am Kaufmannsund &. Relativ problemlos verdauen Authentifizierungsroutinen dagegen die ASCII-Sonderzeichen [2] zwischen den Einträgen 33 (dem Ausrufezeichen) und 47 (dem Schrägstrich).

Theoretisch müssten Sie sich jetzt für jeden Dienst, den Sie nutzen, einen eigenen Satz ausdenken. Das können Sie umgehen, indem Sie den Anfangsbuchstaben des Dienstes irgendwo in das Passwort einbauen, etwa nach dem Sonderzeichen. Ihr Passwort für den Computer Marvin könnte dann etwa so lauten: THw$<MviKiBM95K, das für den Twitter-Zugang THw$TviKiBM95K. Die hier genannten Beispielpasswörter kennen übrigens jetzt neben Ihnen noch weitere Leser, folglich sollten Sie sie nicht einfach aus Bequemlichkeit übernehmen.

Würfelspieler

Wenn Ihnen der Weg über den Satz zu mühsam erscheint, dann lassen Sie sich doch einfach bei der Passwortsuche helfen: Fast alle Distributionen bieten in ihren Repositories das kleine Programm pwgen an, das Sie über den Paketmanager einspielen. In einem Terminalfenster aufgerufen, stellt es gleich eine ganze Batterie möglicher Passwörter zur Auswahl. Suchen Sie sich aus der Liste einfach das aus, das Ihnen am ehesten zusagt oder Sie an ein anderes Wort erinnert. Pwgen achtet dabei darauf, dass sich alle Vorschläge relativ einfach merken lassen.

Auch wenn das nach einem ersten Blick auf Abbildung 1 nicht so aussehen mag: In der Praxis hat man die von Pwgen ausgespuckten Passwörter erstaunlich schnell verinnerlicht. Standardmäßig liefert Pwgen Passwörter, die aus acht Zeichen bestehen. Um längere Varianten zu generieren, übergeben Sie einfach die gewünschte Zeichenzahl als Parameter und integrieren gleich noch mit -y Sonderzeichen. Der Aufruf pwgen -y 12 erzeugt also Passwörter mit jeweils 12 Zeichen, die mindestens ein Sonderzeichen enthalten.

Abbildung 1: Ein paar von Pwgen vorgeschlagene Passwörter – die hier angegebenen sollten Sie nicht nutzen.

Eine Alternative zu Pwgen stellt der Automated Password Generator APG dar. Nach dem Aufruf von apg auf der Kommandozeile müssen Sie irgendeine (zufällige) Zeichenfolge eingeben. Das kann, wie APG es vorschlägt, Ihr altes Passwort sein. Diese sogenannte Saat (englisch "seed") fließt in die Berechnungen ein und erhöht so die Sicherheit der erzeugten Passwörter. In geschweiften Klammern liefert APG gleich noch eine Lautschrift, über die man sich das jeweilige Passwort besser merken kann. Standardmäßig erzeugt das Tool meist nur acht Zeichen lange Passwörter. Längere Vertreter erhalten Sie mittels eines Aufrufs wie:

$ apg -m 12 -s -t -M SNCL

Hier sorgt -m 12 für eine Länge von mindestens 12 Zeichen. Mit -s fragt APG gleich noch eine Seed ab, -t zeigt die Aussprache der Wörter an. Der Parameter -M SNCL sorgt dafür, dass jedes Passwort Sonderzeichen (S), Zahlen (N) sowie Groß- (C) und Kleinbuchstaben (L) enthält (Abbildung 2).

Abbildung 2: APG liefert sogar Hinweise auf die Aussprache der erzeugten Passwörter.

Wenn Sie eine grafische Oberfläche bevorzugen, greifen Sie am besten zum Java Password Generator [3]. Da er in Java geschrieben ist, müssen Sie zunächst via Paketmanager das Java Runtime Environment installieren. Anschließend laden Sie die aktuelle Version des Java Password Generators herunter, entpacken das Archiv und starten das Skript javaPwordGen.sh.

Im neuen Fenster wählen Sie unter Character Set den Punkt Alpha-Numeric Easy to Read, tippen in das Feld Include Characters ein paar Sonderzeichen, stellen Length of Password auf 12 ein und klicken auf Generate. Rechts im weißen Feld erscheinen nun einige Vorschläge (Abbildung 3).

Abbildung 3: Der Java Password Generator bietet als einer der wenigen Passwortgeneratoren eine grafische Oberfläche.

Neben den drei hier vorgestellten Passwort-Generatoren gibt es noch einige weitere, die alle nach dem gleichen Prinzip arbeiten, wie etwa Makepasswd oder Jpwgen [4]. Vom in vielen Debian-basierten Distributionen ebenfalls anzutreffenden Gpw sollten Sie hingegen Abstand nehmen: Es stammt aus dem Jahr 1994 und nutzt in seinen Ausgaben nur Kleinbuchstaben.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

Lu07/2016: GIMP FÜR PROFIS

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Aktuelle Fragen

Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...
thema ändern
a b, 29.05.2016 16:34, 0 Antworten
Hallo Linuxer zuerst alle eine schönen Sonntag, bevor ich meine Frage stelle. Ich habe Ubuntu 1...
Ideenwettbewerb
G.-P. Möller, 28.05.2016 10:57, 0 Antworten
Liebe User, im Rahmen eines großen Forschungsprojekts am Lehrstuhl für Technologie- und Innova...
Welche Drucker sind Linux-mint kompatibel?
Johannes Nacke, 20.05.2016 07:32, 6 Antworten
Hallo Ihr Lieben, ich bitte um mitteilung welche Drucker Kompatibel sind mit Linux-Mint. LG Joh...