Home » Blog » Sichere Passwörter im AI Zeitalter: Was wirklich zählt

Sichere Passwörter im AI Zeitalter: Was wirklich zählt

sicheres Passwort

Einleitung

Auch wenn aktuelle Bestrebungen zunehmend darauf abzielen, den Einsatz von Passwörtern zu minimieren – beispielsweise durch Passkeys –, werden uns Passwörter noch für absehbare Zeit erhalten bleiben. Besonders im Bereich von Systemzugängen und Accounts, wo die Authentifizierung über ein Passwort oder Secret weiterhin die gängigste Methode sein wird, sind sie unverzichtbar.

Seit Jahrzehnten wurde uns eingebläut, Passwörter mit einer Kombination aus Zahlen, Gross- und Kleinbuchstaben sowie Sonderzeichen zu erstellen. Aber ist das tatsächlich der beste und sicherste Weg? Gibt es vielleicht andere Ansätze, um ein sicheres Passwort zu generieren? Diesen Fragen wollen wir in diesem Beitrag nachgehen.

Passwort Entropie

Grundsätzlich gilt: Ein sicheres Passwort zeichnet sich durch eine Komplexität aus, die es für Angreifer unwirtschaftlich macht, dieses zu knacken. Die Komplexität eines Passworts kann auf zwei Arten erhöht werden – entweder durch einen grösseren Zeichensatz oder durch die Länge respektive die Anzahl der Zeichen.

Zur Berechnung der Passwortkomplexität verwendet man den Begriff der Passwort-Entropie. Diese wird in Bits gemessen und gibt die tatsächliche Stärke eines Passworts an.

Bevor wir tiefer darauf eingehen, werfen wir zunächst einen Blick darauf, wie lange es dauert, Passwörter mit unterschiedlichen Zeichensätzen und Längen zu knacken. Die untenstehende Tabelle wird jährlich von Hive Systems veröffentlicht:

Passwort Tabelle

Es wird von einer sogenannten Brute-Force-Attacke ausgegangen. Das bedeutet, dass sämtliche möglichen Kombinationen systematisch ausprobiert werden. Mehr zu den verschiedenen Angriffsarten wird im nächsten Kapitel behandelt.

Was bedeuten diese Zahlen aus der Tabelle nun? Bedeutet das, dass es immer genau so lange dauert, ein Passwort mit entsprechender Komplexität zu knacken?

Nein, die Werte in der Tabelle stellen ein Worst-Case-Szenario dar. Das bedeutet, dass alle möglichen Kombinationen ausprobiert werden müssen, um die richtige zu finden.

Ein Beispiel: Ein Passwort mit 8 Gross- und Kleinbuchstaben könnte im schlimmsten Fall 8 Monate dauern, um geknackt zu werden. Es ist aber auch möglich, dass das Passwort viel früher gefunden wird. Je komplexer ein Passwort jedoch ist, desto geringer ist die Wahrscheinlichkeit, dass es zufällig schnell entschlüsselt wird. Aus diesem Grund ist es wichtig, bei der Komplexität einen gewissen Spielraum einzubauen.

Was lernen wir aus der Tabelle?

Die Tabelle zeigt, dass ein sicheres Passwort mit möglichst wenigen Zeichen erstellt werden kann, wenn ein komplexer Zeichensatz verwendet wird – bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Noch wichtiger jedoch: Wir erkennen, dass es auch möglich ist, sichere Passwörter mit einem kleineren Zeichensatz zu erstellen.

Zum Beispiel kann ein Passwort, das ausschliesslich aus Zahlen besteht, bei 18 Zeichen als sicher angesehen werden.

Warum ist das so?

Hier hilft uns die Passwort-Entropie.

Nehmen wir ein Passwort mit 10 Zeichen und einem Zeichensatz aus Gross- und Kleinbuchstaben, Zahlen und Symbolen (32). Dieses Passwort hat eine Entropie von aufgerundet 66 Bits oder etwa 1,8 × 10¹⁹ Möglichkeiten (18’446’744’073’709’551’616).

Vergleichen wir dies mit einem 18-stelligen Passwort, das nur aus Zahlen besteht, ergibt sich eine Entropie von 60 Bits – also nur 6 Bits weniger.

Wir stellen somit fest: Die Entropie eines Passworts ist entscheidend, nicht zwingend die Verwendung von verschiedenen Zeichentypen oder Symbolen.

Grundsätze für sichere Passwörter

Bevor wir uns damit beschäftigen, worauf es bei der Erstellung sicherer Passwörter wirklich ankommt, werfen wir zunächst einen Blick auf einige grundlegende Best Practices:

  • Separates Passwort pro Zugang
  • Die Verwendung desselben Passworts für mehrere Zugänge ist einer der grössten Fehler, die man machen kann – und dennoch sehr verbreitet. Ein separates Passwort für jeden Zugang schützt vor bösen Überraschungen.
  • Passwort Manager verwenden
  • Angesichts der Vielzahl an Accounts und Zugängen, die wir heutzutage benötigen, sowie der Best Practice, für jeden Zugang ein eigenes Passwort zu verwenden, ist ein Passwortmanager unverzichtbar. Er ermöglicht die sichere Verwaltung von Passwörtern und generiert für jeden Zugang einzigartige Kombinationen.
  • Überprüfung für Passwort Leaks
  • Leaked oder pwned Passwörter sind solche, die bei früheren Angriffen gestohlen wurden. Sie stellen ein grosses Risiko dar, da sie gezielt bei weiteren Angriffen verwendet werden können. Ein guter Passwortmanager bietet eine automatische Prüfung auf solche Leaks.
  • Keine Passwörter aus Passwortlisten verwenden
  • Häufig verwendete Passwörter werden in sogenannten Passwortlisten zusammengefasst, die es Angreifern ermöglichen, effizient und schnell Passwörter zu knacken.
    Die Verwendung von automatisch generierten Passwörtern aus einem Passwortmanager hilft, dieses Risiko zu minimieren.

Angriffstypen

Um Passwörter zu knacken, nutzen Angreifer unterschiedliche Methoden, die sich je nach Komplexität und Aufwand unterscheiden. Phising und Social-Engineering wurden bewusst weggelassen, da diese Angriffsmethoden nichts mit der Passwortkomplexität zu tun haben. Hier sind die häufigsten Angriffstypen:

Brute-Force-Attacke

Bei einer Brute-Force-Attacke werden alle möglichen Kombinationen von Zeichen systematisch ausprobiert, bis das richtige Passwort gefunden ist. Das ist die Methode, welche die meisten Leute mit Passwortcracking assozieren, jedoch von Angreifern nur selten verwendet wird.

Vorteil für Angreifer: Garantierter Erfolg, sofern genügend Zeit und Rechenleistung vorhanden sind.

Nachteil für Angreifer: Sehr zeit- und ressourcenintensiv, besonders bei Passwörtern mit hoher Entropie (langer und komplexer Kombination).

Mask-Attacke

Eine Mask-Attacke ist eine optimierte Form der Brute-Force-Attacke. Statt alle möglichen Kombinationen von Zeichen zu testen, nutzen Angreifer bestimmte Muster oder Regeln, um gezielt Passwörter zu erraten. Diese Regeln basieren oft auf typischen Verhaltensweisen und bekannten Passwort-Formaten, wie sie in der Praxis häufig verwendet werden oder wenn durch durch einen Enumerationsangriff gewisse Informationen eines Passworts, wie z.B Passwortlänge oder Zeichensatz, bereits offengelegt wurde.

Vorteil für Angreifer: Erheblich schneller als Brute-Force-Attacke

Nachteil für Angreifer: Je nach Informationsgrad immer noch sehr zeit- und ressourcenintensiv

Dictionary-Attacke

Bei einer Dictionary-Attacke werden Passwörter anhand von Wörterbüchern oder vorgefertigten Listen mit häufig verwendeten Begriffen ausprobiert. Diese Methode ist schneller als eine Brute-Force-Attacke, da sie nur wahrscheinliche Passwörter testet.

Vorteil für Angreifer: Passwort kann meistens innerhalb weniger Minuten geknacht werden, sofern diese auf der Liste ist.

Nachteil für Angreifer: Funktioniert nur bei schwachen Passwörtern, die auf Wörterbuch-Einträgen basieren oder geleakten Passwörter.

Gefahr: Solche Listen werden ständig aktualisiert und optimiert.

Erstellung von sicheren Passwörtern

Mit den gewonnenen Erkenntnissen, wie sollen wir nun Passwörter erstellen?

Um diese Frage zu beantworten, müssen wir zwischen verschiedenen Anwendungsfällen unterscheiden:

Benutzerpasswörter für manuelle Eingabe

Es gibt Passwörter, die vom Benutzer manuell eingegeben werden müssen. Bei konsequenter Nutzung eines Passwortmanagers sollte dies in der Regel nur das Masterpasswort des Passwortmanagers selbst sein. Egal welche technologischen Massnahmen zur digitalen Accountverwaltung eingesetzt werden – es wird immer ein Account bzw. Passwort geben, das manuell eingegeben werden muss. Dieses Masterpasswort sollten Sie unbedingt auswendig kennen. Zur zusätzlichen Absicherung kann es als Backup im Passwortmanager hinterlegt werden.
Aus den bisherigen Erkenntnissen wissen wir, dass Sonderzeichen oder Symbole nicht zwingend notwendig sind, um ein Passwort sicher zu gestalten. Für diesen speziellen Anwendungsfall sollte ein Passwort gewählt werden, das leicht zu merken ist, aus möglichst vielen Zeichen besteht und keine persönliche Verbindung zu Ihnen hat. Eine bewährte Methode ist die Verwendung einer sogenannten Passphrase – ein Passwort, das aus mehreren Wörtern besteht.

Mindynamic empfiehlt die Erstellung einer Passphrase aus 16 Zeichen oder mehr, die keine Sonderzeichen enthält, um Benutzerfreundlichkeit, Sicherheit und Merkbarkeit optimal zu vereinen.

Benutzerpassworter im Passwortmanager

Jeder Passwortmanager ermöglicht die Konfiguration einer Standardrichtlinie für den Passwortgenerator. Da viele Dienste weiterhin Sonderzeichen vorschreiben und häufig eine maximale Passwortlänge begrenzen, empfehlen wir eine Standardrichtlinie von 14 Zeichen, die Gross- und Kleinschreibung, Ziffern sowie Sonderzeichen umfasst. Dabei ist es ratsam, die Sonderzeichen auf unproblematische Zeichen zu beschränken (z. B. !, ?, $, *, #, +, @), um Kompatibilitätsprobleme zu vermeiden.

Diese Richtlinie gewährleistet ein hohes Maß an Sicherheit und erfüllt gleichzeitig die Anforderungen der meisten Plattformen.

Systemaccounts und Serviceprincipals

Da solche Accounts häufig zur autonomen Authentifizierung von Programmen, Skripten und Diensten verwendet werden und eine Multifaktorauthentifizierung hierbei nicht möglich ist, empfehlen wir die Verwendung von Passwörtern mit mindestens 20 Zeichen. Diese sollten aus Gross- und Kleinbuchstaben sowie Ziffern bestehen, jedoch keine Sonderzeichen enthalten. Sonderzeichen können unter Umständen zu Problemen führen, da sie von ausführenden Programmen als „special characters“ interpretiert werden könnten, was die fehlerfreie Ausführung behindert.

Sind Sie unsicher, ob Ihr gewähltes Passwort ausreichend sicher ist? Wir empfehlen die Verwendung des Passwort-Entropie-Rechners von Omnicalculator. Dieses Tool hilft Ihnen dabei, die Stärke Ihres Passworts zu bewerten: Password Entropy Calculator

Passwortwechsel

Vielleicht haben sich jetzt manche gefragt, wie es denn mit der heute immer noch häufig verwendeten Passwortwechsel aussieht, um die Sicherheit zu erhöhen?

Dieses und weitere Topics zum Thema Anwendung von Sicherheitsrichtlinien werden wir in einem weiter Beitrag ausführlich erläutern.

Stay tuned!

Fazit

Brute-Force-Attacken werden heutzutage nur noch selten eingesetzt, da sie sehr ressourcenintensiv, kostspielig, langsam und oft ineffektiv sind. Stattdessen setzen Angreifer bevorzugt auf Phishing- und Social-Engineering-Attacken. Verwenden Sie jedoch ein schwaches oder geleaktes Passwort, kann dieses innerhalb kurzer Zeit geknackt werden. Die Verwendung sicherer Passwörter bleibt daher unerlässlich.

Sichere Passwörter müssen nicht zwangsläufig aus einem besonders großen Zeichensatz bestehen. Viel entscheidender für die Sicherheit ist die Länge des Passworts, da mehr Zeichen einen deutlich grösseren Einfluss auf die Entropie und somit auf die Widerstandsfähigkeit gegen Angriffe haben als die Vielfalt des Zeichensatzes.

Leider prüfen die meisten Dienste immer noch den verwendeten Zeichensatz, wie Gross- und Kleinschreibung sowie die Verwendung von Symbolen, anstatt die tatsächliche Entropie des Passworts zu bewerten.

Die überarbeiteten Passwortempfehlungen des National Institute of Standards and Technology (NIST) untermauern die in diesem Beitrag erläuterten Ansätze. Eine Zusammenfassung dieser Empfehlungen und ihrer wichtigsten Änderungen finden Sie hier: NIST Password Guidelines: Updated as per the Recent Version

Empfehlungen

Wie bereits erwähnt ist die Verwendung eines guten Passwortmanagers essentiell. Mindynamic empfiehlt Bitwarden aus den folgenden Gründen:

  • Open-Source
  • Integration mit allen gängigen Browsern
  • Mobile- und Desktop Apps
  • Passkey Support
  • Custom Fields
  • Biometric Support
  • Dark Web Monitoring

Und für Enterprise Benutzer:

  • Entra-ID Integration
  • Company Vault
  • Unternehmensrichtlinien
  • SIEM-Integration
  • Account Recovery
  • CLI und API

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert