Aus gestohlenen Passwörtern lernen

Man kann aus den Vorfällen gestohlener Passwörter zum Beispiel das Folgende lernen und sich bewusst machen:

  1. Einzelne Passwörter sind nicht sicher. Sie können jederzeit gestohlen werden. Das passiert andauernd. Siehe hier, hier, hier, hier, hier, und das sind nur einige Beispiele.
  2. Daher müssen alle Passwörter verschieden sein. Verwenden Sie also auf jedem System ein anderes Passwort, verwenden Sie ein bestimmten Passwort nicht auf zwei Systemen. Sonst kann “die veröffentliche Liste gestohlener Passwörter” jedem als Nachschlüssel dienen. Ein neidischer Kollege muss in der Liste nur gucken, ob z.B. Ihre E-Mail-Adresse vorkommt. Baby-Hacker gehen die komplette Liste durch, einfach zur Gaudi. Mehr im Beitrag Warum man ein Passwort nie mehrfach verwenden sollte
  3. Wechseln Sie regelmässig Ihr Passwort, auch wenn Sie glauben, von sowas nicht betroffen zu sein. Die Erfahrung lehrt ja, dass ständig wo was leakt (siehe 1.), und ganz sicher kriegen wir von vielen Leaks nichts mit. Ergo sind wir garantiert dauernd irgendwo irgendwie betroffen. Also einfach sicherheitshalber einmal im Quartal wenigstens die Passwörter der wichtigsten Dienste (Hauptmail, Hauptshop, Fressenbuch) ändern.
  4. Reduzieren Sie die Zahl der genutzten Dienste. Damit sinkt zwangsläufig die Wahrscheinlichkeit, von einem Kennwort-Leak betroffen zu sein. So nützlich kann Mathematik sein…

Hier ein Blick in die Passwortliste:

Ausschnitt aus yahoo-disclosure.txt – asdf1234???

Ein Beitrag auf cnet jagte die Passwortliste durch Statistik und lernte daraus eine Menge, das für mich Wichtige & Interessante sei kurz genannt:

  • Die Zeichenkette “123456” war die am häufigsten verwendete Zeichenkette in einem Passwort. “111111” und “000000” waren auch keine Seltenheit. Jeder Passwort-Ratgeber predigt, keine Zeichenfolgen zu verwenden. Mag noch jemand kritisieren, wenn IT-Admins sich über “Dummuser” aufregen?
  • Fast tausend Mal war “password” ein Bestandteil des Kennworts, auch “welcome” war dabei. Dabei predigt jeder Passwort-Ratgeber, das nicht zu tun.
  • superman” wurde doppelt so oft verwendet wie “batman” und drei Mal so oft wie “spiderman“. Abgesehen vom sichtlich vorherrschenden schlechten Comic-Geschmack: Jeder Passwort-Ratgeber predigt, keine popkulturellen Begriffe oder Namen zu verwenden, auch nicht als Bestandteil.

Hier ein paar Tipps von uns:

PS:
Vorsicht übrigens, falls jemand in solchen Fällen sofort die Datei mit den gestohlenen Passwörtern haben will (etwa, um darin nach seinen eigenen Mail-Adressen zu suchen). Die heisst in diesem Fall yahoo-disclosure.txt; wer nach ihr suchtmaschint, findet u.U. ganz schnell eine falsche yahoo_disclosure_txt.exe, die man lieber nicht starten möchte…

Besser, aber ohne Gewähr und auf eigene Gefahr: Mirror der echten Datei, echter Torrent der echten Datei bei Piratebay.

Das könnte Dich auch interessieren …

6 Antworten

  1. Jörg sagt:

    Vielleicht kann mich mal jemand zum Thema “populäre Wörter” aufklären: wieso ist es unsicher, populäre Wörter als Teil des Passwortes zu wählen? Wenn ich z. B. drei Zeichen davor oder dahinter anhänge, dann habe ich knapp 175000 (26 Buchstaben + 10 Ziffern + 4 nationale Sonderzeichen + 16 Sonderzeichen = 56 mögliche Zeichen pro Stelle, = 56 * 56 * 56 Varianten) eines nicht bekannten, populären Wortes. Nehme ich mal “nur” 100 populäre Worte an, dann habe ich schon knapp 17,5 Millionen mögliche Passwörter! Mit der Variante davor oder dahinter sind es dann schon 35 Millionen!?

    Denn es ist ja nicht so wie bei einem Ratespiel, bei dem ich eine Stelle rate und dann gesagt bekomme ob ich richtig bin oder nicht und mich dann der nächsten Stelle widme, sondern ich muss das komplette Passwort auf einmal komplett richtig haben.

    • Andreas sagt:

      Rein sachlich magst Du recht haben. Das Problem ist, dass solche Ratschläge für alle Zielgruppen gelten müssen. Und wenn Du populäre Wörter nicht generell verbietest, dann verwenden die Leute sie. Und zwar selten 609superman807 oder !#34sesam:#§6, sondern meist superman67 und sesam38. Letztere sind für Tools, die mit Wortlisten arbeiten, genau genommen dreistellige Passwörter, denn die gehen eine Wortliste durch und hängen vorne und hinten die sich ändernden Parameter dran

      sesam00
      sesam01
      sesam02

      beziehungsweise

      superman43
      sesam43
      paul43

      Anders gesagt: DU weisst, dass Du besser ans populäre Wort drei Zeichen vorne und hinten anhängst, und DU wirst nicht “123sesam123” wählen. Andere schon. Daher rät man man besser generell ab. Dsa hat also keine rein sachlichen, sondern eher praktisch-psychologische Gründe. Die meisten Frauen, die ich kenne, verwenden bei Amazon so was wie “Katze7” und sind Kombinatorik gegenüber wenig aufgeschlossen. (Teils nur “Katze”.) (Ich erfinde das nicht.) (Auch Admins tun das.)

      http://de.wikipedia.org/wiki/W%C3%B6rterbuchangriff

  2. Jörg sagt:

    Yes, well. Dabei ist es so einfach, sich simple Passwörter zu erstellen und merken. Denn wer weiß schon, dass das Passwort “MHtjNv3K.” der Merksatz “Mein Hund träumt jede Nacht von 3 Kauknochen.” ist?

    Wobei eigentlich jedes gute Loginsystem nach einigen Fehleingaben (3 bis 5) das Konto für einige Minuten sperren sollte. Damit hätte “Brute Force” keine reele Chance mehr.

    • Andreas sagt:

      Also, ich habe sofort erkannt, wofür “MHtjNv3K.” steht, da kriegt man nen Blick dafür. ;-) Du sicher auch – hier der Test:

      1. DPkDn!
      2. DPinvs!
      3. D3PidS!

      Was das Loginsystem angeht: Da hast Du vollkommen recht, und Brute-Force-Attacken gegen namhafte Onlinedienste können auch keine Millionen von Kombis durchspielen. Aber jenseits umfangreicherer Ratgeber wie http://passwortbibel.de/sicheres-passwort/, wo ich das mit der Längenfrage online versus lokal anspreche, muss man doch berücksichtigen, dass die meisten User geistig keinen Unterschied machen zwischen Online-Passwörtern und zum Beispiel einem ZIP- oder Excel-Passwort.

      Meiner Beobachtung nach verschwinden für immer mehr Nutzer sogar die Grenzen zwischen lokal und remote (oder “cloud”). Sie verstehen nicht, wo die Webseite sich befindet (für sie ist es eine Datei, die sie “öffnen”), sie verstehen nicht den Unterschied zwischen Webmail und Outlook. Wenn ich mit Problemen wie “Internet geht nicht” zu Hilfe gebeten werden, ist ratloses Schweigen im Telefon, wenn ich sage, starte doch mal Mail, Mail geht, aha, also geht Internet, ergo geht wohl nur Dein Browser nicht. Vor Ort pflege ich dann, ein OSI-Schichtenmodell auf ein Stück Papier zu zeichnen, danach wird man für einen Gott gehalten und erhält Opfergaben, meist Süßwaren.

  3. M.Baumann sagt:

    Guten Tag Herr Winterer,

    von ihren Beiträgen über Passwort-Sicherheit hab ich mir mal den frischesten rausgesucht, in der Hoffnung mein Kommentar mit bald 1 Jahr Verspätung entgeht ihrer elektronischen Wahrnehmung nicht.

    Denn http://wijjo.com/passhash/ finde ich praktisch. Die Einstellungen kann man soweit regulieren das sich das addon ‘nur’ den Site Tag oder auch gar nichts merkt.
    Baugleich gibt es das auch für Chrome. https://chrome.google.com/webstore/detail/password-hasher/ofkjchnllgieeelebblgjefibkheohpk

    1)Allerdings scheinen beide Erweiterungen etwas veraltet bzw verwaist. Schlimm?

    2)Was kann passieren,im Gegensatz zu http://wijjo.com/passhash/passhash.html
    welche ich ja nach Bedarf theoretisch auch “vorher” offline benutzen könnte,wenn ich online brav mein Master Passwort eingebe?

    Könnte, (nur mal angenommen) z.B. der Addon/Erweiterungsmensch bei mir rumspionieren? Oder ein anderer Gewitzter an der Stelle “addon” Daten abfangen? Egal wie ich das addon einstelle(merkt sich was/merkt sich nichts) überkommt mich manchmal das Gefühl, dem >Steve Cooper< bei der Eingabe jeweils ne Kopie auf den Tisch zu legen..

    Freue mich über eine Antwort. Auch in ner Kurzversion.

    mfG. Baumann

    • Andreas sagt:

      Hallo Herr Baumann,

      prinzipiell kann jede Erweiterung spionieren. Man sollte daher so wenige wie möglich nutzen, und nur vertrauenswürdige, wobei “vertrauenswürdig” natürlich ein dehnbarer Begriff ist…

      Prinzipiell sind veraltete Tools mit einer geringeren Wahrscheinlichkeit vertrauenswürdig, denn offenbar kümmert sich der Entwickler dann nicht aktiv darum, d.h.: das Tool kann neue Sicherheitslücken haben; die Seite mit seinem Tool kann inzwischen kompromittiert sein; er kann das Tool samt Site an einen Malware-Verbreiter verkauft haben; usw. Doch das alles muss nicht so sein: Das Tool kann nach wie vor sehr gute Dienste leisten. Es ist stets eine Frage des individuellen Vertrauens und Sicherheitsbedürfnisses.

      Die Idee von PassHash ist prinzipiell gut, Vorteile und angreifbare Stellen werden in zum Beispiel in http://crypto.stanford.edu/PwdHash/pwdhash.pdf von 2005 dargestellt.

      Für mich persönlich wäre das Problem, dass ich von einem Tool abhängig wäre, um Passwörter einzugeben, weil ja nicht mehr meine Passwörter, sondern diese Hashes eingegeben werden. Hätte ich das Tool mal nicht, müsste ich zu http://wijjo.com/passhash/passhash.html greifen, dort meinen Master Key preisgeben und so das Passwort der Seite http://www.X.com dem Betreiber preisgeben. Wer dauerhaft wijjo.com/passhash/passhash.html nutzt, gibt alle seine dort gehashten Passwörter preis. Und das alles über eine unverschlüsselte Verbindung! In einem Firmennetz könnte jeder Rechner im Netzwerksegment diese Übertragung abhören, ein Admin könnte wijjo.com/passhash als Trigger definieren und warten, bis ein Passwort vorbeischwimmt, etc.

      Prinzipiell also eher unsicher, weil angreifbar. Aber zugleich so exotisch, dass die Wahrscheinlichkeit für einen Angriff eher gering ist. Ich würde dennoch niemandem zuraten.

      Bleibt die Frage: Kriegt Steve Cooper jeweils eine Kopie der Passworte auf den Tisch? Glaube ich nicht. Der sieht nach einem normalen Entwickler aus. Warum sollte er seinen Ruf gefährden? Seine Seite könnte aber auch Fake sein, um genau diesen Eindruck zu erwecken.