Einleitung
Auch wenn aktuelle Bestrebungen zunehmend darauf abzielen, den Einsatz von Passwörtern zu minimieren – beispielsweise durch Passkeys –, werden uns Passwörter noch für absehbare Zeit erhalten bleiben. Besonders im Bereich von Systemzugängen und Accounts, wo die Authentifizierung über ein Passwort oder Secret weiterhin die gängigste Methode sein wird, sind sie unverzichtbar.
Seit Jahrzehnten wurde uns eingebläut, Passwörter mit einer Kombination aus Zahlen, Gross- und Kleinbuchstaben sowie Sonderzeichen zu erstellen. Aber ist das tatsächlich der beste und sicherste Weg? Gibt es vielleicht andere Ansätze, um ein sicheres Passwort zu generieren? Diesen Fragen wollen wir in diesem Beitrag nachgehen.
Passwort Entropie
Grundsätzlich gilt: Ein sicheres Passwort zeichnet sich durch eine Komplexität aus, die es für Angreifer unwirtschaftlich macht, dieses zu knacken. Die Komplexität eines Passworts kann auf zwei Arten erhöht werden – entweder durch einen grösseren Zeichensatz oder durch die Länge respektive die Anzahl der Zeichen.
Zur Berechnung der Passwortkomplexität verwendet man den Begriff der Passwort-Entropie. Diese wird in Bits gemessen und gibt die tatsächliche Stärke eines Passworts an.
Bevor wir tiefer darauf eingehen, werfen wir zunächst einen Blick darauf, wie lange es dauert, Passwörter mit unterschiedlichen Zeichensätzen und Längen zu knacken. Die untenstehende Tabelle wird jährlich von Hive Systems veröffentlicht:
Es wird von einer sogenannten Brute-Force-Attacke ausgegangen. Das bedeutet, dass sämtliche möglichen Kombinationen systematisch ausprobiert werden. Mehr zu den verschiedenen Angriffsarten wird im nächsten Kapitel behandelt.
Was bedeuten diese Zahlen aus der Tabelle nun? Bedeutet das, dass es immer genau so lange dauert, ein Passwort mit entsprechender Komplexität zu knacken?
Nein, die Werte in der Tabelle stellen ein Worst-Case-Szenario dar. Das bedeutet, dass alle möglichen Kombinationen ausprobiert werden müssen, um die richtige zu finden.
Ein Beispiel: Ein Passwort mit 8 Gross- und Kleinbuchstaben könnte im schlimmsten Fall 8 Monate dauern, um geknackt zu werden. Es ist aber auch möglich, dass das Passwort viel früher gefunden wird. Je komplexer ein Passwort jedoch ist, desto geringer ist die Wahrscheinlichkeit, dass es zufällig schnell entschlüsselt wird. Aus diesem Grund ist es wichtig, bei der Komplexität einen gewissen Spielraum einzubauen.
Was lernen wir aus der Tabelle?
Die Tabelle zeigt, dass ein sicheres Passwort mit möglichst wenigen Zeichen erstellt werden kann, wenn ein komplexer Zeichensatz verwendet wird – bestehend aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Noch wichtiger jedoch: Wir erkennen, dass es auch möglich ist, sichere Passwörter mit einem kleineren Zeichensatz zu erstellen.
Zum Beispiel kann ein Passwort, das ausschliesslich aus Zahlen besteht, bei 18 Zeichen als sicher angesehen werden.
Warum ist das so?
Hier hilft uns die Passwort-Entropie.
Nehmen wir ein Passwort mit 10 Zeichen und einem Zeichensatz aus Gross- und Kleinbuchstaben, Zahlen und Symbolen (32). Dieses Passwort hat eine Entropie von aufgerundet 66 Bits oder etwa 1,8 × 10¹⁹ Möglichkeiten (18’446’744’073’709’551’616).
Vergleichen wir dies mit einem 18-stelligen Passwort, das nur aus Zahlen besteht, ergibt sich eine Entropie von 60 Bits – also nur 6 Bits weniger.
Wir stellen somit fest: Die Entropie eines Passworts ist entscheidend, nicht zwingend die Verwendung von verschiedenen Zeichentypen oder Symbolen.
Grundsätze für sichere Passwörter
Bevor wir uns damit beschäftigen, worauf es bei der Erstellung sicherer Passwörter wirklich ankommt, werfen wir zunächst einen Blick auf einige grundlegende Best Practices:
Angriffstypen
Um Passwörter zu knacken, nutzen Angreifer unterschiedliche Methoden, die sich je nach Komplexität und Aufwand unterscheiden. Phising und Social-Engineering wurden bewusst weggelassen, da diese Angriffsmethoden nichts mit der Passwortkomplexität zu tun haben. Hier sind die häufigsten Angriffstypen:
Brute-Force-Attacke
Bei einer Brute-Force-Attacke werden alle möglichen Kombinationen von Zeichen systematisch ausprobiert, bis das richtige Passwort gefunden ist. Das ist die Methode, welche die meisten Leute mit Passwortcracking assozieren, jedoch von Angreifern nur selten verwendet wird.
Vorteil für Angreifer: Garantierter Erfolg, sofern genügend Zeit und Rechenleistung vorhanden sind.
Nachteil für Angreifer: Sehr zeit- und ressourcenintensiv, besonders bei Passwörtern mit hoher Entropie (langer und komplexer Kombination).
Mask-Attacke
Eine Mask-Attacke ist eine optimierte Form der Brute-Force-Attacke. Statt alle möglichen Kombinationen von Zeichen zu testen, nutzen Angreifer bestimmte Muster oder Regeln, um gezielt Passwörter zu erraten. Diese Regeln basieren oft auf typischen Verhaltensweisen und bekannten Passwort-Formaten, wie sie in der Praxis häufig verwendet werden oder wenn durch durch einen Enumerationsangriff gewisse Informationen eines Passworts, wie z.B Passwortlänge oder Zeichensatz, bereits offengelegt wurde.
Vorteil für Angreifer: Erheblich schneller als Brute-Force-Attacke
Nachteil für Angreifer: Je nach Informationsgrad immer noch sehr zeit- und ressourcenintensiv
Dictionary-Attacke
Bei einer Dictionary-Attacke werden Passwörter anhand von Wörterbüchern oder vorgefertigten Listen mit häufig verwendeten Begriffen ausprobiert. Diese Methode ist schneller als eine Brute-Force-Attacke, da sie nur wahrscheinliche Passwörter testet.
Vorteil für Angreifer: Passwort kann meistens innerhalb weniger Minuten geknacht werden, sofern diese auf der Liste ist.
Nachteil für Angreifer: Funktioniert nur bei schwachen Passwörtern, die auf Wörterbuch-Einträgen basieren oder geleakten Passwörter.
Gefahr: Solche Listen werden ständig aktualisiert und optimiert.
Erstellung von sicheren Passwörtern
Mit den gewonnenen Erkenntnissen, wie sollen wir nun Passwörter erstellen?
Um diese Frage zu beantworten, müssen wir zwischen verschiedenen Anwendungsfällen unterscheiden:
Benutzerpasswörter für manuelle Eingabe
Es gibt Passwörter, die vom Benutzer manuell eingegeben werden müssen. Bei konsequenter Nutzung eines Passwortmanagers sollte dies in der Regel nur das Masterpasswort des Passwortmanagers selbst sein. Egal welche technologischen Massnahmen zur digitalen Accountverwaltung eingesetzt werden – es wird immer ein Account bzw. Passwort geben, das manuell eingegeben werden muss. Dieses Masterpasswort sollten Sie unbedingt auswendig kennen. Zur zusätzlichen Absicherung kann es als Backup im Passwortmanager hinterlegt werden.
Aus den bisherigen Erkenntnissen wissen wir, dass Sonderzeichen oder Symbole nicht zwingend notwendig sind, um ein Passwort sicher zu gestalten. Für diesen speziellen Anwendungsfall sollte ein Passwort gewählt werden, das leicht zu merken ist, aus möglichst vielen Zeichen besteht und keine persönliche Verbindung zu Ihnen hat. Eine bewährte Methode ist die Verwendung einer sogenannten Passphrase – ein Passwort, das aus mehreren Wörtern besteht.
Mindynamic empfiehlt die Erstellung einer Passphrase aus 16 Zeichen oder mehr, die keine Sonderzeichen enthält, um Benutzerfreundlichkeit, Sicherheit und Merkbarkeit optimal zu vereinen.
Benutzerpassworter im Passwortmanager
Jeder Passwortmanager ermöglicht die Konfiguration einer Standardrichtlinie für den Passwortgenerator. Da viele Dienste weiterhin Sonderzeichen vorschreiben und häufig eine maximale Passwortlänge begrenzen, empfehlen wir eine Standardrichtlinie von 14 Zeichen, die Gross- und Kleinschreibung, Ziffern sowie Sonderzeichen umfasst. Dabei ist es ratsam, die Sonderzeichen auf unproblematische Zeichen zu beschränken (z. B. !
, ?
, $
, *
, #
, +
, @
), um Kompatibilitätsprobleme zu vermeiden.
Diese Richtlinie gewährleistet ein hohes Maß an Sicherheit und erfüllt gleichzeitig die Anforderungen der meisten Plattformen.
Systemaccounts und Serviceprincipals
Da solche Accounts häufig zur autonomen Authentifizierung von Programmen, Skripten und Diensten verwendet werden und eine Multifaktorauthentifizierung hierbei nicht möglich ist, empfehlen wir die Verwendung von Passwörtern mit mindestens 20 Zeichen. Diese sollten aus Gross- und Kleinbuchstaben sowie Ziffern bestehen, jedoch keine Sonderzeichen enthalten. Sonderzeichen können unter Umständen zu Problemen führen, da sie von ausführenden Programmen als „special characters“ interpretiert werden könnten, was die fehlerfreie Ausführung behindert.
Sind Sie unsicher, ob Ihr gewähltes Passwort ausreichend sicher ist? Wir empfehlen die Verwendung des Passwort-Entropie-Rechners von Omnicalculator. Dieses Tool hilft Ihnen dabei, die Stärke Ihres Passworts zu bewerten: Password Entropy Calculator
Passwortwechsel
Vielleicht haben sich jetzt manche gefragt, wie es denn mit der heute immer noch häufig verwendeten Passwortwechsel aussieht, um die Sicherheit zu erhöhen?
Dieses und weitere Topics zum Thema Anwendung von Sicherheitsrichtlinien werden wir in einem weiter Beitrag ausführlich erläutern.
Stay tuned!
Fazit
Brute-Force-Attacken werden heutzutage nur noch selten eingesetzt, da sie sehr ressourcenintensiv, kostspielig, langsam und oft ineffektiv sind. Stattdessen setzen Angreifer bevorzugt auf Phishing- und Social-Engineering-Attacken. Verwenden Sie jedoch ein schwaches oder geleaktes Passwort, kann dieses innerhalb kurzer Zeit geknackt werden. Die Verwendung sicherer Passwörter bleibt daher unerlässlich.
Sichere Passwörter müssen nicht zwangsläufig aus einem besonders großen Zeichensatz bestehen. Viel entscheidender für die Sicherheit ist die Länge des Passworts, da mehr Zeichen einen deutlich grösseren Einfluss auf die Entropie und somit auf die Widerstandsfähigkeit gegen Angriffe haben als die Vielfalt des Zeichensatzes.
Leider prüfen die meisten Dienste immer noch den verwendeten Zeichensatz, wie Gross- und Kleinschreibung sowie die Verwendung von Symbolen, anstatt die tatsächliche Entropie des Passworts zu bewerten.
Die überarbeiteten Passwortempfehlungen des National Institute of Standards and Technology (NIST) untermauern die in diesem Beitrag erläuterten Ansätze. Eine Zusammenfassung dieser Empfehlungen und ihrer wichtigsten Änderungen finden Sie hier: NIST Password Guidelines: Updated as per the Recent Version
Empfehlungen
Wie bereits erwähnt ist die Verwendung eines guten Passwortmanagers essentiell. Mindynamic empfiehlt Bitwarden aus den folgenden Gründen:
Und für Enterprise Benutzer:
Schreiben Sie einen Kommentar