Ein paar Entwicklungen der letzten Zeit sind Anlass, Hinweise zum Thema Passwörter zu schreiben.
Wie kompliziert muss ein Passwort sein?
Dazu gibt es mehrere Gesichtspunkte. Es darf auf jeden Fall nicht ganz einfach ("12345", "Snoopy"...) oder
für die unmittelbare Umgebung einfach zu erraten sein - etwa der Mädchenname der Mutter. Mit acht Zeichen, die kein
übliches Wort ergeben, ist man schon ganz gut. Die eine oder andere Ziffer oder mal ein Sonderzeichen hilft auch.
Umlaute sind unpraktisch, wenn man z.B. mal von Ausland aus seine Mails bei Web.de abrufen will.
Wenn ein Mensch so ein Passwort erraten will, hat er erst mal zu tun :-)
Der wichtigste Grundsatz: Kein Passwort an mehreren Stellen verwenden
Eine ganz andere Dimension bekommt das Thema, wenn man die mittlerweile recht häufigen Einbrüche in Server
betrachtet: Da werden mal schnell ein paar Millionen Datensätze geklaut, die der Räuber dann lokal in aller Ruhe
auswerten kann. Eine beliebte Übung ist dann, die erbeuteten Benutzerkennungen und Passwörter bei Ebay, Facebook
usw. auszuprobieren.
Früher sah man solche Einbrüche relativ gelassen, weil die Passwörter gewöhnlich verschlüsselt gespeichert werden.
Genau gesagt: Mit einer speziellen Rechenvorschrift wird aus dem Passwort ein so genannter "Hash" errechnet. Diese
Rechenvoschrift ist so gewählt, dass man aus einem Hash das Passwort eben nicht errechnen kann. Beim Einloggen wird
der Hash der Eingabe berechnet und mit dem gespeicherten Hash verglichen.
Mittlerweile gibt es aber so viel billige Rechenleistung, dass dieses Zurückrechnen überflüssig wurde: Man nimmt
beispielsweise alle möglichen Kombinationen aus acht Zeichen und berechnet die zugehörigen Hashes. Speicherplatz ist
bei den heutigen Festplattenpreisen auch kein Problem mehr, so dass man einfach eine vollständie Tabelle berechet
und doch aus dem Hash das Passwort ableiten kann. Es gibt auch Algorithmen, die mit wesentlich längeren Passwörtern
klar kommen. Ganz wichtig: Wenn man ein einem Einbruch bei einem Dienst erfährt, den man selber nutzt,
muss man sofort das Passwort ändern!
Empfehlung
Ehe ihr euch mit schrecklich komplizierten Passwörtern verkünstelt: Nehmt lieber etwas einfachere, aber für jeden
Zweck andere Passwörter. Dabei ist es keine gute Idee, an ein Standard-Passwort einfach den Namen des entsprechenden
Dienstes anzuhängen. Aus "MeinPasswortBeiEbay" machen Kriminelle schnell "MeinPasswortBeiFacebook". Aber
"MEeBiAnYPasswortBei" ist schon nicht mehr so leicht auf Facebook umzubauen.
Dieser Text ist urheberrechtlich geschützt. Die Weitergabe ist aber gerne gestattet, sofern:
- Die Weitergabe per E-Mail, als Ausdruck usw. erfolgt,
- für die Weitergabe keine Gegenleistung verlangt wird, und
- die Quellenangabe "http://www.techwriter.de/thema/newsletter_pc-tipps.htm" angefügt wird.
Wer dieses Dokument, oder Teile davon, veröffentlichen will, hat mich vorher um Erlaubnis zu fragen.
Die Inhalte habe ich nach bestem Wissen und Gewissen zusammengestellt. Irgendwelche Haftung oder Gewährleistung
lehne ich aber ab.
|