Passwörter werden auch im Internet oftmals nicht in reiner Textform angeboten, sondern als gehashte Werte. D.h. wenn Ihr Passwort 123456 ist, legt der Online-Anbieter etwas wie f447b20a7fcbf53a5d5be013ea0b15af ab (für die Nerds: das ist der md5 Hash). Das ist ein sog. Hash, der aus dem ursprünglichen Wert diesen erzeugt. Das hat mit Verschlüsselung nichts zu tun. Der Hash ist eine Einbahnstrasse. Es ist einfach ein Algorithmus, der die Zeichenkette erzeugt. Aus dem Hash kann das Passwort nicht auf einfache Weise ermittelt werden. Und jeder Hashwert ist eindeutig. Egal welche andere Zeichenkette Sie eingeben, es kann nicht derselbe Hashwert erzeugt werden. Nett, oder? Ich bin immer wieder begeistert, auf welche Ideen kluge Menschen kommen.
Manche Anbieter verwenden zusätzlich einen sogenannten Salt. Das bedeutet, Ihr Passwort wird um meist vier Zeichen mit einer festen Zeichenkette verlängert. Dieser Salt kann für jedes Passwort neu erzeugt werden und ist zufällig. Das erhöht die Sicherheit weiter, wie wir gleich sehen werden. Der Hashwert ist für Kriminelle trotzdem wertvoll. Denn es gibt Tools (John the Ripper, oclHashcat), die das finden von Passwörtern anhand von Hashwerten vereinfachen. Es ist immer noch schwierig, aber nicht unmöglich. Eigentlich gehen diese Tools den umgekehrten Weg: Sie nehmen Passwörter an, hashen diese und vergleichen das Ergebnis. Das geht mit roher Gewalt, sprich Computerpower (alle Kombinationen werden einfach endlos durchprobiert, das nennt sich Brute Force) oder mit Logik. Welche Buchstaben werden in Worten am meisten verwendet, was sind beliebte Worte (Liebe, Schatz), Wörter aus Wörterbüchern usw. Mit einem Salt wird das jedoch schwieriger, denn selbst wenn Ihr Passwort Liebe123 war, kommen noch die vier zufälligen Zeichen des Anbieters dazu, also z.B. Liebe123tz18. Das ist sehr viel besser. Also sind sie dem Knacken nicht ausgeliefert? Doch. Denn:
- Viele Online-Anbieter verwenden keinen Salt.
- Viele Online-Anbieter hashen Ihr Passwort nicht.
Bei letzterem ist es egal, da haben Sie keine Chance und diese Anbieter gehören meiner Meinung nach ins Gefängnis. Das ist unverantwortlich. Der Regelfall ist: Hash ohne Salt.
Und hier hilft ein langes Passwort. Es macht es der Software schwerer als ein kurzes. Ein absolut zufälliges, wie ein Passwortmanager es generiert, macht es den Tools schwerer. Daraus resultiert: Ein langes, absolut zufälliges Passwort schützt Sie besser, selbst wenn es einen Datenbreach wie zum Beispiel bei MGM, gab, als ein einfaches kurzes.
Leider höre ich immer noch die leidige Diskussion, ob die Länge wichtiger ist als die Sondernzeichen. Wer mal Mathe in der Schule hatte, der kann sich das selber beantworten. Beides sollte es sein. Ein „Lang oder mit Sonderzeichen“ ist die falsche Frage. Obwohl mehr und mehr Empfehlungen in die Richtung von Passwörtern gehen, die nur Wörter enthalten und richtig lang sind, Richtung Ken Follett Romane.
Mittlerweile haben die Passwortsuchenden (sprich Kriminellen) eine weitere Idee hinzugefügt: Die Erzeugung von Hashes ist recht rechenintensiv, d.h. es dauert lange und kostet Strom. Warum nicht die Hashes für viele denkbaren Wörter, Kombinationen, Eingaben einfach schon mal „vorkochen“ und dann nur noch die Hashes vergleichen. Gesagt, getan, Sie können sich grosse Datenbanken von erzeugten Hashes herunterladen und brauchen das gestohlene Passwort nur noch gegen die Datenbankeinträge zu vergleichen. Es sind keine komplizierten Berechnungen mehr nötig. Daher ist es umso wichtiger, wirklich einmalige, nicht zu erratene Passwörter zu verwenden.
Regel 4: Verwenden Sie wirklich zufällige, nicht im entferntesten zu erratene Passwörter die lang sind und Sonderzeichen enthalten.
Nun denken Sie vielleicht, dass Sie, weil das mal im Internet stand oder Ihnen das jemand gesagt hat, einfach bestimmte Buchstaben mit Zahlen ersetzen. I mit einer 1, das S mit einer 2 usw. Das nennt sich leetspeak und kann bei den Tools zum finden der Passwörter als Option eingestellt werden. Von normalen Wörterbüchern und bekannten Namen sind die in den o.g. Datenbanken auch schon als Hash hinterlegt.
Regel 5: Vergessen Sie leetspeak.