Ein Blog rund um Microsoft Windows und allem, was sonst noch so anfällt...

HowTo: Wie man sich sichere Passwörter merkt

von Georg Binder 28. August 2011 21:34

SicherheitPassMan weiß auch ohne den Bericht “Hacker-Angriff: Passwörter geklaut”, dass man unterschiedliche Passwörter verwenden soll. Außerdem sollen sie “stark” sein. Hier eine kleine Anleitung, wie man starke und merkbare Passwörter erstellt.

Folgende Kriterien sollte ein Passwort erfüllen:

  • Mindestlänge – Allerallerunterstes Limit wären wohl heute 10 Zeichen. Aber eigentlich sollten es deutlich mehr sein…
  • Kein Wort, das im Wörterbuch vorkommt
  • Keine Daten, die man aus persönlichen Informationen rekonstruieren könnte (Social Reengineering)
  • Keine obskuren Hollywood-“Verschlüsselungen” (Geburtsdatum umgedreht, ….)
  • Großbuchstaben und Kleinbuchstaben abCDE
  • Sonderzeichen wie &%$§!()[]
  • Zahlen 1234567

Und hält man sich daran, dann kommt so etwas raus wie: y2y<NVD]bxI36JAAfZnZk-

Das ist natürlich total super, und klarerweise muss man sich hier für jeden Account ein eigenes Passwort anlegen, damit ein Einbruch bei einem Dienstleister nicht die anderen Konten kompromittiert.

Merkbar?

Nein, das sind solche Passwörter nicht. Jedenfalls nicht ohne einen kleinen Trick. Man merkt sich nicht das Passwort selbst, sondern eine möglich “merkwürdigen” Satz bzw. eine Passphrase. Beispiel

I eat Elephants only at night!

Und jetzt ersetzt man einige Buchstaben durch Zahlen oder Sonderzeichen. Man kann auch was weglassen, Hauptsache der Satz selbst bleibt irgendwie noch erhalten. Man erhält dann so etwas wie:

13AT3l30nly@n8!

Solange man seinen “merkwürdigen” Satz kennt, kann man selbst das Passwort rekonstruieren. Bleibt nur noch das Problem, dass ja jetzt für jedes Konto ein solches Passwort braucht. Hier kann man sich behelfen, indem man einen Buchstaben einfügt um daraus ein einzigartiges Passwort zu machen, Beispiel:

  • 13AT3l3e0nly@n8! e für eBay
  • 13AT3l3f0nly@n8! f für Facebook
  • 13AT3l3w0nly@n8! w für Windows Live

Oder besser zwei, idealerweise nicht mal nebeneinanderliegend: 13ATw3l3b0nly@n8! für Windows Blog, usw… Klar, das Risiko ist, dass jemand, der eines dieser Passwort hat, die “üblichen” erraten kann, darunter Facebook, Amazon, ebay (also Konten, die fast jeder Internetbenutzer hat). Ich würde zumindest derzeit das Risiko hierfür als gering einschätzen. Solange die Passwörter nicht automatisierbar ausnutzbar sind, lohnt sich der Aufwand (noch) nicht. Dennoch würde ich es subtiler machen als 13AT3l3facebook0nly@n8!

Die Alternative

Man nutzt Software wie Kee Pass [Artikel kommt bald]. Bloß: das beste Passwort nützt nichts, wenn der Anbieter das Passwort unverschlüsselt speichert und per unverschlüsselter E-Mail quer durchs Netz sendet. Beispiel:

image

Ein Grund mehr unterschiedliche Passworte zu verwenden!

 

Comments (21) -

>

8/28/2011 10:05:17 PM#

Ich halte den Ansatz falsch "13AT3l3e0nly@n8!" als PW zu benutzen. Das ist wesentlich weniger sicher als "I eat Elephants only at night!" und viel schwerer zu merken. Bei 6 Wörtern kommst du auch mit einer Dictionary Attack nicht durch und es viel, viel einfacher zu merken.

Das PW soll für den Computer nicht erratbar sein, aber für den Menschen leicht sein und nicht umgekehrt. Dabei kommt es (wie so oft) nur auf die Länge an.

Der_VentilatorDeutschland | Reply

>
>

8/28/2011 10:09:59 PM#

Auch ok und stimme auch zu, nur braucht der Satz dennoch Sonderzeichen und - leider - unterstützen nicht alle Systeme Leerzeichen. Weiters ist bei einigen System die Passwortlänge BEGRENZT - und zwar auch da wieder so, dass man auf Verkürzungen zurückgreifen muss.

Georg BinderÖsterreich | Reply

>
>
>

8/28/2011 11:09:51 PM#

Hier zur Untermauerung dessen, was Der_Ventilator gemeint hat: http://xkcd.com/936/

Georg BinderÖsterreich | Reply

>
>
>
>

8/29/2011 12:18:09 AM#

Genau den wollte ich auch gerade posten! Schön zu sehen, dass ich nicht der einzige XKCD-Leser bin, der auch hier mitliest Smile

HoazlÖsterreich | Reply

>

8/28/2011 10:16:00 PM#

Wobei es ja auch nicht so einfach ist sich einen solchen Satz zu merken und welche Buchstaben man durch die Zahlen ersetzt hat oder welche Änderungen und Abkürzungen man noch in den Satz eingebaut hat.

Da ist der Ansatz mit der Software zur Passwortverwaltung schon besser. Oder aber der gute alte Zettel mit allen Passwörtern, jedenfalls wenn niemand die Chance hat diesen Zettel in die Finger zu bekommen...

DirkDeutschland | Reply

>

8/28/2011 11:20:23 PM#

Hätte nicht schon jemand den XKCD Link geposted, ich hätte es genau jetzt getan. Mir ist absolut unverständlich warum sich dieser Schwachsinn mit den Sonderzeichen und ähnlichem Kram noch immer so hartnäckig hält.

http://xkcd.com/936/

VelocetDeutschland | Reply

>
>

8/28/2011 11:34:09 PM#

Na eben weil es in der Praxis noch genug Login Felder gibt, die keine Leerzeichen zulassen und eine begrenzte Länge haben, sodass sich eben keine vier Worte ausgehen ;)

Georg BinderÖsterreich | Reply

>

8/29/2011 12:00:26 AM#

...und bei manchen Shop, etc., die keine Sonderzeichen, keine Umlaute oder sogar die Paswortlänge mit mehr als 8 Zeichen gar nicht zulassen greift dann dein Beispiel leider nicht mehr. :-(

Da hilft nur das gute alte Passwort-Buch und/oder KeePass Wink

HerbertDeutschland | Reply

>

8/29/2011 12:42:06 AM#

Hier wird nochmal der Inhalt des XKCD Comics erklärt: https://www.grc.com/haystack.htm

MichaelDeutschland | Reply

>

8/29/2011 9:15:55 AM#

Hey,

es geht auch einfacher. Dieser Artikel beschreibt es. Wichtig ist nur, das man jede Entropie-Klasse benutzt, also es muss mind. 1x Kleinbuchstabe, 1x Großbuchstabe, 1x Zahl, 1x Sonderzeichen vorkommen. Dann kommt es nur auf die Länge an.

websicherheit.wordpress.com/.../

Benjamin HönerDeutschland | Reply

>

8/29/2011 2:47:48 PM#

Eine andere Methode wäre, statt über die tatsächlichen Zeichen zu gehen, das Passwort so zusammenzusetzen, dass es bei der Eingabe einem bestimmten Muster auf der Tastatur folgt - etwa einmal die Zahlenreihe entlang rückwärts beginnend bei 0, jeder 3. Charakter geshifted, zwischen 5 und 6 ein Buchstabenmodifier, der individuell für jede Seite ist. Dann muss man sich prinzipiell nur noch die Buchstaben für die jeweilige Seite merken.

SusannDeutschland | Reply

>

8/29/2011 10:56:41 PM#

http://xkcd.com/936/

Martin LeyrerÖsterreich | Reply

>

8/30/2011 5:18:05 AM#

Tja, wo bleibt der in der Webcam integrierte Retinascanner, der zum sicheren Login verwendet werden kann...? Laughing

Oder aber man lässt sich einfach die komplizierten Kennwörter an bestimmte, nicht so leicht einsehbare Körperstellen tätowieren, was allerdings, je nachdem welchen Umgang man so pflegt, auch nicht besonders sicher ist und auch nicht unendlich viel Platz für neue Kennwörter, geschweige denn Kennwortänderungen, an den entsprechenden Stellen vorhanden ist. Ich sehe schon, die aus Drogenkreisen altbekannte Methode mit dem Kondom im Anus, in welchem sich der Zettel mit den Passwörtern befindet, scheint nach den jüngsten Meldungen zu kompromittierten Benutzerkonten nun doch auch für abstinente, unbescholtene Surfer attraktiv zu werden...

FlorianDeutschland | Reply

>

8/30/2011 8:35:14 AM#

Wie wäre es mit einem "Master Account" mit dem du all deine Passwörter verwalten kannst?
Um dich selbst im Master Account einzuloggen sollte die Sicherheit aber sehr hoch sein, ein generiertes passwort dass dir per SMS zugeschickt wird oder so.

Oder der USB Stick ist dein Master Passwort damit du dich überhaupt irgendwo einloggen kannst.

KevinSchweiz | Reply

>

8/30/2011 8:42:42 AM#

Was vielleicht noch zu beachten ist, dass nicht nur die reine Länge ausschlaggebend ist, sondern auch die Anzahl der pro Stelle möglichen Zeichen.

TobiasDeutschland | Reply

>

8/30/2011 11:28:01 AM#

Schützem muss man sich ja vor beidem - vor Computern und Menschen. Insofern komplizierte Angelegenheit, denn soweit ich das sehe sind da die Unterschiede groß, wer was besser knacken kann!

TelmoDeutschland | Reply

>
>

8/30/2011 12:01:45 PM#

Also dann doch wieder die Webcam mit integriertem Retinascanner ;)

KevinSchweiz | Reply

>

8/30/2011 11:25:39 PM#

Wo gibt es denn die Möglichkeit, mehrere einzelne Wörter als Passwort zu verwenden? Das würde mich mal interessieren.

MarkusDeutschland | Reply

>

9/1/2011 2:15:02 PM#

Sehr sehr guter Beitrag, heutzutage kann man sich gar nicht genug schützen. Gerade mit den ganzen Gestalten die sich im Internet lümmeln und da nur auf die schnelle Mark aus sind, egal ob legal oder illegal, ists immer wichtiger sich selber und sein Unternehmen zu schützen.

StefanoDeutschland | Reply

>

9/1/2011 5:22:59 PM#

Guter Artikel Georg !

Ich mache das mit Fremdsprachen in deutscher Diktion + mindestens 2 x Gross/klein und 2 Sonderzeichen - also so in etwa

J'aimeO365 ---> PW: J'eeemO365 oder I love Office 365 --> Ei#Laaaf'O365 - da bekommen die Schulterblicker im Kaffeehaus wenigstens Probleme - ich verwende allerdings für meine PW's eine asiatische Sprache, die in Europa nicht gängig ist Winkbzw. mische ich Englisch dazu - also erstes Wort Kauderwelsch, zweites Wort Englisch und dazwischen Sonderzeichen

Ich weiß - is net so toll und sophistcated aber es funktioniert ganz gut und ich merk es mir    

manfredÖsterreich | Reply

>

9/2/2011 1:03:54 PM#

Bei so viele zeichen verliehrt man doch schnell denn überbilck. Wenn ich mal so ne grobe auflistung machen müsste wieviele pw habe und jede bekommt ein neues pw mit allen sonderzeichen und co, dann würde ich nie wieder rein kommen. Hab mir ihrgend wann ein wort zugelegt und das wird nur am ende umgeendert. Muss auch dazusagen das mir noch nie ein pw gehackt wurde. Zm glück.

Aber das mit der Fremdsprache ist ganz cool, muss ich mir mal ein paar gedanken machen.

gruß alex

Alexander Deutschland | Reply

Pingbacks and trackbacks (1)+

>

10/19/2011 5:53:00 PM#

Eselsbrücken halfen schon bei den Latein-Vokabeln

Im September hat uns im KMU-Portal interessiert, wie Sie mit der Sicherheit bei der Vergabe Ihrer Passwörter

Microsoft für kleine und mittelständische Unternehmen | Reply

Add comment

  Country flag

biuquote
Loading

Datenschutzhinweis: Sie stimmen durch "Kommentar speichern" der Speicherung Ihrer Angaben durch Microsoft Österreich für die Beantwortung der Anfrage zu. Sie erhalten dadurch keine unerwünschten Werbezusendungen. Ihre Emailadresse wird auf Ihren Wunsch dazu verwendet Sie über neue Kommentare zu informieren.

Microsoft respektiert den Datenschutz. Datenschutz & Cookies