So erstellen und merken Sie sich ein starkes Passwort

2024 Autor: Malcolm Clapton | [email protected]. Zuletzt bearbeitet: 2023-12-17 03:51

Die besten Möglichkeiten, ein Passwort zu erstellen, das niemand knacken kann.

Die meisten Angreifer kümmern sich nicht um ausgeklügelte Methoden des Passwortdiebstahls. Sie nehmen leicht zu erratende Kombinationen. Ungefähr 1% aller derzeit existierenden Passwörter können mit vier Versuchen Brute-Force sein.

Wie ist das möglich? Sehr einfach. Sie probieren die vier gängigsten Kombinationen der Welt aus: Passwort, 123456, 12345678, qwerty. Nach einer solchen Passage werden im Durchschnitt 1% aller "Truhen" geöffnet.

Nehmen wir an, Sie gehören zu den 99% der Benutzer, deren Passwort nicht so einfach ist. Trotzdem muss die Leistungsfähigkeit moderner Hacking-Software berücksichtigt werden.

Das kostenlose, frei verfügbare John the Ripper-Programm überprüft Millionen von Passwörtern pro Sekunde. Einige Beispiele für spezialisierte kommerzielle Software beanspruchen eine Kapazität von 2,8 Milliarden Passwörtern pro Sekunde.

Knackprogramme durchlaufen zunächst eine Liste der statistisch gängigsten Kombinationen und greifen dann auf das komplette Wörterbuch zurück. Im Laufe der Zeit können sich die Kennworttrends der Benutzer geringfügig ändern, und diese Änderungen werden bei der Aktualisierung solcher Listen berücksichtigt.

Im Laufe der Zeit haben alle Arten von Webdiensten und Anwendungen beschlossen, von Benutzern erstellte Passwörter gewaltsam zu komplizieren. Es wurden Anforderungen hinzugefügt, wonach das Passwort eine bestimmte Mindestlänge haben muss, Zahlen, Großbuchstaben und Sonderzeichen enthalten muss. Einige Dienste nahmen dies so ernst, dass es eine wirklich lange und mühsame Aufgabe dauert, ein Passwort zu finden, das das System akzeptiert.

Das Kernproblem besteht darin, dass fast jeder Benutzer kein echtes Brute-Force-Passwort generiert, sondern nur versucht, die Anforderungen des Systems an die Zusammensetzung des Passworts auf ein Minimum zu erfüllen.

Das Ergebnis sind Passwörter wie Passwort1, Passwort123, Passwort, PaSsWoRd, Passwort! und das unglaublich unberechenbare p @ ssword.

Stellen Sie sich vor, Sie müssen Ihr Spiderman-Passwort neu erstellen. Höchstwahrscheinlich wird es wie $pider_Man1 aussehen. Original? Tausende von Menschen werden es mit dem gleichen oder einem sehr ähnlichen Algorithmus ändern.

Wenn der Cracker diese Mindestanforderungen kennt, wird die Situation nur noch schlimmer. Aus diesem Grund bietet die auferlegte Anforderung, die Komplexität von Passwörtern zu erhöhen, nicht immer die beste Sicherheit und erzeugt oft ein falsches Gefühl von erhöhter Sicherheit.

Je leichter das Passwort zu merken ist, desto wahrscheinlicher landet es in Cracker-Wörterbüchern. Als Ergebnis stellt sich heraus, dass man sich ein wirklich starkes Passwort einfach nicht merken kann, was bedeutet, dass es irgendwo repariert werden muss.

Experten zufolge kann man sich auch im digitalen Zeitalter noch auf ein Stück Papier mit darauf geschriebenen Passwörtern verlassen. Es ist praktisch, ein solches Blatt an einem vor neugierigen Blicken verborgenen Ort aufzubewahren, beispielsweise in einer Brieftasche oder Brieftasche.

Das Kennwortblatt löst das Problem jedoch nicht. Lange Passwörter sind nicht nur schwer zu merken, sondern auch schwer einzugeben. Verschärft wird die Situation durch virtuelle Tastaturen mobiler Geräte.

Bei der Interaktion mit Dutzenden von Diensten und Websites hinterlassen viele Benutzer eine Reihe identischer Passwörter. Sie versuchen, für jede Site dasselbe Passwort zu verwenden, und ignorieren die Risiken vollständig.

In diesem Fall fungieren einige Websites als Kindermädchen, was die Kombination erzwingt. Infolgedessen kann sich der Benutzer einfach nicht mehr erinnern, wie er sein Standard-Einzelpasswort für diese Site ändern musste.

Das Ausmaß des Problems wurde 2009 vollständig erkannt. Dann gelang es dem Hacker aufgrund einer Sicherheitslücke, die Datenbank mit Logins und Passwörtern von RockYou.com, dem Unternehmen, das Spiele auf Facebook veröffentlicht, zu stehlen. Der Angreifer hat die Datenbank öffentlich zugänglich gemacht. Insgesamt enthielt es 32,5 Millionen Einträge mit Benutzernamen und Passwörtern zu Konten. Es gab schon einmal Lecks, aber das Ausmaß dieses besonderen Ereignisses zeigte das ganze Bild.

Das beliebteste Passwort auf RockYou.com war 123456, das von fast 291.000 Menschen verwendet wurde. Männer unter 30 bevorzugten häufiger sexuelle Themen und Vulgaritäten. Ältere Menschen beiderlei Geschlechts haben sich bei der Passwortwahl oft an einen bestimmten Kulturbereich gewandt. Epsilon793 zum Beispiel scheint keine so schlechte Option zu sein, nur diese Kombination gab es in Star Trek. Die siebenstellige 8675309 tauchte oft auf, weil diese Nummer in einem der Tommy Tutone-Songs vorkam.

Tatsächlich ist das Erstellen eines starken Passworts eine einfache Aufgabe, es reicht aus, eine Kombination aus zufälligen Zeichen zusammenzustellen.

Sie können keine vollkommen zufällige Kombination in mathematischer Hinsicht in Ihrem Kopf erstellen, aber Sie müssen es auch nicht. Es gibt spezielle Dienste, die wirklich zufällige Kombinationen generieren. Es kann beispielsweise Passwörter wie diese erstellen:

• mvAWzbvf;
• 83cpzBgA;
• tn6kDB4T;
• 2T9UPPd4;
• BLJbsf6r.

Dies ist eine einfache und elegante Lösung, insbesondere für diejenigen, die einen Manager zum Speichern von Passwörtern verwenden.

Leider verwenden die meisten Benutzer weiterhin einfache, schwache Passwörter und ignorieren sogar die Regel „unterschiedliche Passwörter für jede Site“. Für sie ist Komfort wichtiger als Sicherheit.

Situationen, in denen die Passwortsicherheit kompromittiert werden kann, können in drei große Kategorien eingeteilt werden:

• Willkürlich, in dem eine Ihnen bekannte Person versucht, das Passwort herauszufinden, indem sie sich auf Informationen verlässt, die sie über Sie kennt. Oft will ein solcher Knaller nur einen Streich spielen, etwas über dich herausfinden oder Chaos anrichten.
• Massenangriffewenn absolut jeder Benutzer bestimmter Dienste zum Opfer werden kann. In diesem Fall wird spezielle Software verwendet. Für den Angriff werden die am wenigsten sicheren Seiten ausgewählt, die es Ihnen ermöglichen, in kurzer Zeit wiederholt Passwortoptionen einzugeben.
• Zielgerichtetdie den Erhalt von Hinweisen (wie im ersten Fall) und den Einsatz spezialisierter Software (wie bei einem Massenangriff) kombinieren. Hier geht es darum, wirklich wertvolle Informationen zu erhalten. Nur ein ausreichend langes Zufallspasswort hilft zu Ihrem Schutz, dessen Auswahl vergleichbare Zeit in Anspruch nehmen wird wie die Dauer Ihres Lebens.

Wie Sie sehen, kann absolut jeder zum Opfer werden. Aussagen wie „Mein Passwort wird nicht gestohlen, weil mich niemand braucht“sind nicht relevant, da man ganz zufällig, ohne ersichtlichen Grund in eine ähnliche Situation geraten kann.

Noch ernster ist es, den Passwortschutz für diejenigen zu nehmen, die über wertvolle Informationen verfügen, mit einem Unternehmen verbunden sind oder aus finanziellen Gründen mit jemandem in Konflikt geraten (z.

2009 wurde Twitter (im Verständnis des gesamten Dienstes) nur gehackt, weil der Administrator das Wort Glück als Passwort benutzte. Der Hacker nahm es auf und veröffentlichte es auf der Digital Gangster-Website, was zur Entführung der Konten von Obama, Britney Spears, Facebook und Fox News führte.

Akronyme

Wie in jedem anderen Lebensbereich müssen wir immer einen Kompromiss zwischen maximaler Sicherheit und maximalem Komfort finden. Wie findet man einen Mittelweg? Mit welcher Strategie zum Generieren von Passwörtern können Sie starke Kombinationen erstellen, die Sie sich leicht merken können?

Im Moment besteht die beste Kombination aus Zuverlässigkeit und Komfort darin, eine Phrase oder eine Phrase in ein Passwort umzuwandeln.

Es wird ein Satz von Wörtern ausgewählt, an den Sie sich immer erinnern können, und eine Kombination der ersten Buchstaben jedes Wortes wird als Passwort verwendet. Möge die Macht zum Beispiel mit dir sein, verwandelt sich in Mtfbwy.

Da jedoch die berühmtesten als Anfangsphrasen verwendet werden, erhalten Programme diese Akronyme schließlich in ihren Listen. Tatsächlich enthält das Akronym nur Buchstaben und ist daher objektiv weniger zuverlässig als eine zufällige Kombination von Zeichen.

Die Wahl des richtigen Satzes wird Ihnen helfen, das erste Problem loszuwerden. Warum einen weltberühmten Ausdruck in ein Akronym-Passwort verwandeln? Sie erinnern sich wahrscheinlich an einige Witze und Sprüche, die nur für Ihren engen Kreis relevant sind. Nehmen wir an, Sie haben einen sehr eingängigen Satz von einem Barkeeper in einem lokalen Restaurant gehört. Benutze es.

Dennoch ist es unwahrscheinlich, dass das von Ihnen generierte Akronym-Passwort eindeutig ist. Das Problem bei Akronymen ist, dass verschiedene Phrasen aus Wörtern bestehen können, die mit den gleichen Buchstaben und in der gleichen Reihenfolge beginnen. Statistisch gesehen treten in verschiedenen Sprachen vermehrt bestimmte Buchstaben als Wortanfang auf. Die Programme werden diese Faktoren berücksichtigen und die Wirksamkeit der Akronyme in der Originalversion wird reduziert.

Umgekehrter Weg

Der Ausweg kann der entgegengesetzte Weg der Erzeugung sein. Sie erstellen auf random.org ein völlig zufälliges Passwort und verwandeln seine Zeichen dann in einen bedeutungsvollen einprägsamen Satz.

Oft stellen Dienste und Websites Benutzern temporäre Passwörter zur Verfügung, die genau die gleichen, vollkommen zufälligen Kombinationen sind. Sie werden sie ändern wollen, weil Sie sich nicht mehr daran erinnern können, aber schauen Sie genau hin, und es wird klar: Sie müssen sich das Passwort nicht merken. Nehmen wir zum Beispiel eine andere Option von random.org - RPM8t4ka.

Obwohl es bedeutungslos erscheint, ist unser Gehirn in der Lage, auch in einem solchen Chaos bestimmte Muster und Übereinstimmungen zu finden. Zunächst können Sie feststellen, dass die ersten drei Buchstaben groß und die nächsten drei Kleinbuchstaben sind. 8 ist zweimal (auf Englisch zweimal - t) 4. Schauen Sie sich dieses Passwort ein wenig an, und Sie werden sicherlich Ihre eigenen Assoziationen mit der vorgeschlagenen Buchstaben- und Zahlenkombination finden.

Wenn Sie sich unsinnige Wortgruppen merken können, dann verwenden Sie diese. Lassen Sie das Passwort in Umdrehungen pro Minute verwandeln 8 track 4 katty. Jede Umwandlung, in der Ihr Gehirn besser ist, wird es tun.

Ein zufälliges Passwort ist der Goldstandard in der Informationssicherheit. Es ist per Definition besser als jedes von Menschen erstellte Passwort.

Der Nachteil von Akronymen besteht darin, dass die Verbreitung einer solchen Technik mit der Zeit ihre Wirksamkeit verringert und die umgekehrte Methode genauso zuverlässig bleibt, selbst wenn alle Menschen auf der Erde sie tausend Jahre lang verwenden.

Ein zufälliges Passwort wird nicht in die Liste der gängigen Kombinationen aufgenommen, und ein Angreifer, der eine Massenangriffsmethode verwendet, wird ein solches Passwort nur mit Brute-Force-Methoden verwenden.

Nehmen wir ein einfaches zufälliges Passwort, das Großbuchstaben und Zahlen berücksichtigt - das sind 62 mögliche Zeichen für jede Position. Wenn wir das Passwort nur 8-stellig machen, erhalten wir 62 ^ 8 = 218 Billionen Optionen.

Auch wenn die Anzahl der Versuche innerhalb eines bestimmten Zeitintervalls nicht begrenzt ist, wird die kommerziellste Spezialsoftware mit einer Kapazität von 2,8 Milliarden Passwörtern pro Sekunde durchschnittlich 22 Stunden damit verbringen, die richtige Kombination zu finden. Natürlich fügen wir einem solchen Passwort nur 1 zusätzliches Zeichen hinzu - und es wird viele Jahre dauern, es zu knacken.

Ein zufälliges Passwort ist nicht unverwundbar, da es gestohlen werden kann. Die Optionen sind zahlreich, vom Lesen der Tastatureingaben bis hin zum Tragen einer Kamera über der Schulter.

Ein Hacker kann den Dienst selbst treffen und Daten direkt von seinen Servern abrufen. In dieser Situation hängt nichts vom Benutzer ab.

Eine zuverlässige Grundlage

Damit sind wir bei der Hauptsache. Welche zufälligen Passwort-Taktiken gibt es im wirklichen Leben? Unter dem Gesichtspunkt der Balance von Zuverlässigkeit und Komfort wird sich die "Philosophie eines starken Passworts" gut zeigen.

Das Prinzip ist, dass Sie dieselbe Grundlage verwenden - ein superstarkes Passwort (seine Variationen) für die Dienste und Websites, die für Sie am wichtigsten sind.

Denken Sie an eine lange und schwierige Kombination für alle.

Nick Berry, ein Berater für Informationssicherheit, lässt dieses Prinzip zu, wenn das Passwort sehr gut geschützt ist.

Das Vorhandensein von Malware auf dem Computer, von dem aus Sie das Kennwort eingeben, ist nicht zulässig. Für weniger wichtige und unterhaltsame Seiten ist es nicht erlaubt, dasselbe Passwort zu verwenden – einfachere Passwörter reichen für sie völlig aus, da das Hacken eines Kontos hier keine fatalen Folgen hat.

Es ist klar, dass die zuverlässige Basis für jeden Standort irgendwie geändert werden muss. Als einfache Option können Sie am Anfang einen einzelnen Buchstaben hinzufügen, der den Namen der Site oder des Dienstes beendet. Wenn wir zu diesem zufälligen RPM8t4ka-Passwort zurückkehren, wird es für die Facebook-Autorisierung zu kRPM8t4ka.

Ein Angreifer, der ein solches Passwort sieht, kann nicht verstehen, wie das Passwort für Ihr Bankkonto generiert wird. Probleme treten auf, wenn jemand Zugriff auf zwei oder mehr Ihrer auf diese Weise generierten Passwörter erhält.

Geheime Frage

Einige Entführer ignorieren Passwörter ganz. Sie agieren im Auftrag des Kontoinhabers und simulieren eine Situation, in der Sie Ihr Passwort vergessen haben und mit einer geheimen Frage wiederherstellen möchten. In diesem Szenario kann er das Passwort nach Belieben ändern und der wahre Besitzer verliert den Zugriff auf sein Konto.

2008 bekam jemand Zugriff auf die E-Mail von Sarah Palin, der Gouverneurin von Alaska und damals auch Präsidentschaftskandidatin. Der Einbrecher beantwortete die geheime Frage, die so klang: "Wo haben Sie Ihren Mann kennengelernt?"

Nach 4 Jahren verlor Mitt Romney, der zu dieser Zeit auch US-Präsidentschaftskandidat war, mehrere seiner Konten bei verschiedenen Diensten. Jemand beantwortete eine geheime Frage nach dem Namen von Mitt Romneys Haustier.

Sie haben den Punkt bereits erraten.

Sie können öffentliche und leicht zu erratende Daten nicht als geheime Frage und Antwort verwenden.

Die Frage ist nicht einmal, ob diese Informationen sorgfältig aus dem Internet oder von den engen Mitarbeitern der Person herausgefischt werden können. Antworten auf Fragen im Stil von "Tiername", "Lieblingshockeyteam" usw. werden perfekt aus den entsprechenden Wörterbüchern beliebter Optionen ausgewählt.

Als vorübergehende Option können Sie die Taktik der Absurdität der Antwort verwenden. Vereinfacht gesagt sollte die Antwort nichts mit der geheimen Frage zu tun haben. Mädchenname der Mutter? Diphenhydramin. Haustiername? 1991.

Eine solche Technik wird jedoch, wenn sie weit verbreitet ist, in den entsprechenden Programmen berücksichtigt. Absurde Antworten sind oft stereotyp, d. h. einige Sätze werden viel häufiger angetroffen als andere.

Tatsächlich ist es nicht schlimm, echte Antworten zu verwenden, Sie müssen nur die Frage mit Bedacht wählen. Wenn die Frage nicht standardmäßig ist und die Antwort nur Ihnen bekannt ist und nach drei Versuchen nicht erraten werden kann, ist alles in Ordnung. Der Vorteil der Wahrheit ist, dass Sie es mit der Zeit nicht vergessen werden.

STIFT

Die persönliche Identifikationsnummer (PIN) ist ein billiges Schloss, das unserem Geld anvertraut wird. Niemand macht sich die Mühe, eine zuverlässigere Kombination aus mindestens diesen vier Zahlen zu erstellen.

Jetzt stoppen. Im Augenblick. Versuchen Sie jetzt, ohne den nächsten Absatz zu lesen, die beliebteste PIN zu erraten. Bereit?

Nick Berry schätzt, dass 11 % der US-Bevölkerung 1234 als PIN verwenden (wo sie diese selbst ändern können).

Hacker achten nicht auf PIN-Codes, da der Code ohne das physische Vorhandensein der Karte nutzlos ist (dies kann die geringe Länge des Codes teilweise rechtfertigen).

Berry nahm die Listen mit vierstelligen Passwörtern, die nach den Lecks im Netzwerk aufgetaucht waren. Die Person, die das Passwort von 1967 verwendet, hat es wahrscheinlich aus einem bestimmten Grund gewählt. Die zweitbeliebteste PIN ist 1111, und 6% der Menschen bevorzugen diesen Code. An dritter Stelle steht 0000 (2%).

Angenommen, eine Person, die diese Informationen kennt, hat eine Bankkarte in der Hand. Drei Versuche, die Karte zu sperren. Einfache Mathematik zeigt, dass diese Person eine Chance von 19% hat, ihre PIN zu erraten, wenn sie 1234, 1111 und 0000 nacheinander eingibt.

Vermutlich aus diesem Grund vergibt die überwiegende Mehrheit der Banken selbst PIN-Codes an ausgegebene Plastikkarten.

Viele Menschen schützen Smartphones jedoch mit einem PIN-Code, und hier gilt folgende Beliebtheitsskala: 1234, 1111, 0000, 1212, 7777, 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1313, 8888, 4321, 2001, 1010.

Häufig steht die PIN für ein Jahr (Geburtsjahr oder historisches Datum).

Viele Leute erstellen PINs gerne in Form von sich wiederholenden Zahlenpaaren (besonders beliebt sind Paare, bei denen sich die erste und die zweite Zahl um eins unterscheiden).

Numerische Tastaturen mobiler Geräte zeigen oben Kombinationen wie 2580 an - zum Tippen reicht es, in der Mitte direkt von oben nach unten zu gehen.

In Korea ist die Zahl 1004 gleichbedeutend mit dem Wort "Engel", was diese Kombination dort sehr beliebt macht.

Ergebnis

1. Gehen Sie zu random.org und erstellen Sie dort 5-10 Kandidaten-Passwörter.
2. Wählen Sie ein Passwort, das Sie in einen einprägsamen Satz verwandeln können.
3. Verwenden Sie diesen Satz, um sich Ihr Passwort zu merken.