Die Meldung, das bei Twitter über 250.000 Benutzer Accounts worden geknackt seien, war eigentlich nichts überraschendes. Immer wieder liest/hört man, das irgendeine Plattform gehackt wurde und eine große Anzahl von Benutzerdaten gestohlen wurden.
Aktuell wird sogar in einer Studie darauf verwiesen, das 2013 das Ende der sichern Passwörter wäre?
Googlet man nach „sicheren Passwörtern“ werden einem hunderte Seiten geliefert, so unter anderem vom BSI oder auch die ARD beschäftigt sich damit. Als Ergebnis kann man eigentlich zusammenfassen, das es das sichere Passwort nicht gibt. Auch die Zeitschrift c’t gibt in einem Artikel einige Empfehlungen zur Passwortsicherheit.
Es gibt ein paar Punkte, die es einem Angreifer schwer machen sollen:
- wenigstens 8 Zeichen
- Sonderzeichen, gemischte Groß-/Kleinschreibung, Ziffern
- keine realen Worte oder noch schlimmer Worte mit familiären Bezug
Solche Passwörter sollen sich aus einem Merksatz herleiten, den man, so der Name 😉 sich wirklich gut merken kann.
Wenn aber jetzt noch 2 weitere wichtige Regel befolgt,
- das Passwort regelmäßig zu ändern und
- für jeden Account/Login ein anderes Passwort zu benutzen
dann fängt die Geschichte mit dem Merksatz an schwierig zu werden. Trotzdem sollte man auf jeden Fall die beiden obigen Regeln beachten, damit nicht der Fall eintritt, das bei einem Passwortklau alle Accounts, worst case einschl. Online-Banking weg sind.
Wenn man mehrere EMail-Konten hat, vielleicht noch 1 bei einem Webmailer, soziale Netzwerke, Foren usw. dann kommt eine Fülle von Passwörtern zusammen.
Dann hilft nur noch ein Passwort-Safe weiter wie ich finde.
Ich habe lange Zeit einen Truecrypt-Container benutzt, in diesen Container kleine Text-Dateien abgelegt, die Passwörter, Anmeldenamen, evtl. sogar die auch wichtig falsche Angabe nach dem Geburtsnamen der Mutter enthält. Diesen Container auf einen USB-Stick und man ist auch der (relativ) sichern Seite. Für die Passphrase beim Erzeugen des Containers kann durchaus ein Passwort mit der obigen Merksatzregel genommen werden, allerdings empfiehlt Truecrypt solche mit 20 Zeichen und mehr.
Truecrypt wird nicht mehr weiterentwickelt, und selbst die Entwickler bezeichnen es als unsicher und empfehlen dringend auf andere Lösungen umzusteigen.
Das funktioniert recht gut und man kann ganz konsequent Passwörter, die ja dann auch relativ lang sein dürfen, z.B. mit PWGen generieren lassen und vor allem, auch recht regelmäßig ändern.
In letzter Zeit bin aber mehr und mehr dazu übergegangen, einen Passwort-Safe zu benutzen. Ich habe da mit KeePass gute Erfahrungen gemacht.
Zwar ist der erzeugte kdbx-File auch verschlüsselt, aber es noch ein bißchen schwieriger zu machen, benutze ich einen Truecrypt-Container, in dem sich ein Schlüssel-File für KeePass befindet. Nur mit beiden zusammen, einem recht langen Passwort und dem Key-File kommt man an die Passwörter ran.
Das ist zwar auch kein absoluter Schutz, aber es geht ja nur darum, es einem möglichen Angreifer möglichst schwer/aufwändig zu machen, an Passwörter ranzukommen.
Keypass hat einen Passwort-Generator eingebaut, der nach einstellbaren Parametern eine Liste von Passwörtern generieren kann.
In dem Beispiel hier habe ich einmal Passwörter aufgrund von MAC-Adressen genieren lassen. Es stehen verschiedene Optionen zur Verfügung, also z.B. auf Basis eines 40-,128- oder gar 256-Bit Hex Schlüssels, man kann bestimmte Zeichen ausschliessen usw.
Aber Achtung, dadurch werden solche Passwörter nicht per se sicherer, auch wenn sie dann nicht mehr so leicht z.B. von einem Wörterbuch Programm geknackt werden können.
Bewahrt man den Key-File wirklich getrennt von seinen restlichen Daten auf, dann wäre m.E. nur ein Angriffsszenario denkbar, das man sich einen Keylogger einfängt, der Tastendrücke, und damit natürlich auch Passwörter mitliest … besser mitschreibt, aber dann fehlt noch der KeyFile.
Mit einem solchen System komme ich bis jetzt gut klar. Vielleicht noch eine Sache, bei solchen Dingen bin ich absoluter Fan von Opensource Software, weil meiner jahrelangen Erfahrung nach z.B. mit Linux, dort Schwachstellen in jedem Fall dokumentiert und im Regelfall auch schneller gefixt werden. Ein einer solch empfindlichen Stelle kommt für mich keine Closed-Source, oder gar kommerzielle Software in Frage.
Das waren meine Gedanken hierzu, ich freue mich über Kommentare oder Hinweise.
ciao tuxoche
[tags]Passwörter, Truecrypt, KeyPass[/tags]