Passwörter

Wenn Sie Ihren Computer einschalten, Ihre Mails abrufen, eine private Website besuchen oder eine vertrauliche Datei einsehen möchten, müssen Sie meist ein Passwort eingeben, d.h. Sie werden um Authentifizierung gebeten, bevor Sie auf eine Ressource zugreifen dürfen.

Dieses Dokument steht in enger Verbindung mit demjenigen über die Authentifizierung der Benutzer in einem EDV-System. Allerdings geht dieses Dokument ausführlicher auf die Passwörter und deren kritische Aspekte ein.

Ein Passwort ist eine Authentifizierungstechnik, die sich nicht nur auf die Informatik beschränkt. Viele dieser Techniken beruhen darauf, dass ein Geheimnis nur demjenigen, der sich authentifizieren möchte (dem Anwender) und demjenigen, der die Authentifizierung verlangt (das Gerät, die Software), bekannt ist.

Dieses Geheimnis besteht entweder : aus etwas, das der Anwender besitzt (Karten, Abzeichen, Dokumente...) aus etwas, das der Anwender ist (Biometrie usw.) aus etwas, das nur der Anwender weiß (Passwörter usw.) aus einer Kombination dieser Techniken (Kreditkarten usw.)

Im Allgemeinen speichert das System, das die Authentifizierung verlangt, die Passwörter nicht im Klartext, sondern in einer mittels hochkomplexer mathematischer Strukturen verschlüsselten Form (Hash). Ihr Passwort und diese Hash-Funktion und nicht etwa das Paswort alleine, ermöglichen gemeinsam Ihre Authentifizierung.

Wenn jemand Ihr Passwort herausfindet, besteht das Hauptrisiko darin, dass diese Person Ihre Identität benutzt. Sie kann sich für Sie ausgeben und z.B. Ihre Mails lesen und beantworten, Ihr Mobiltelefon benutzen, Ihr gesamtes Geld auf ein anderes Bankkonto überweisen, Ihren Rechner zu kriminellen Handlungen missbrauchen oder Sie überwachen bzw. Ihre Firma ausspionieren für die Sie dann zur Verantwortung gezogen werden. Da diese Handlungen unter Vorspiegelung Ihrer Identität ausgeführt werden, müssen Sie später beweisen, dass nicht Sie für diese Handlungen verantwortlich sind, und das ist in manchen Fällen unmöglich!

Wenn Sie den Verdacht haben, dass jemand anderes Ihr Geheimnis kennt, wenden Sie sich unverzüglich an den zuständigen Verantwortlichen für dieses System, z.B. Ihren Systemadministrator, Ihre Bank oder Ihren Internet-Provider und ändern Sie sofort Ihr Passwort.

Geben Sie Ihre Kennungen so ein, dass Sie vor neugierigen Blicken geschützt sind, und verraten Sie sie niemandem. Seien Sie misstrauisch, wenn z.B. jemand behauptet, er sei der Netzwerktechniker und benötige Ihr Passwort für eine sehr dringende Arbeit. Solche Anfragen stammen in der Regel von Personen mit unlauteren Absichten!

Man neigt im Allgemeinen dazu, stets die gleichen bzw. leicht zu merkende Passwörter zu wählen, wie z.B. die Namen der Kinder, das Lieblingstier, das Geburtsdatum oder den Zunamen. Jemand, der Sie auch nur ein wenig besser kennt, ist daher in der Lage, Ihr Passwort zu knacken. Man muss daher ein möglichst willkürliches Passwort wählen.

Neben dieser Sicherheitslücke gibt es zwei andere gängige Arten von Attacken:

Wörterbuchangriffe

Die in einem Wörterbuch enthaltenen Wörter sind zu meiden. Sie sind sehr anfällig, weil sie aus einem allen bekannten Wortschatz stammen. Kurz gesagt versucht der Hacker, Ihren Code zu knacken, indem er alle im Wörterbuch enthaltenen Wörter durchprobiert (solche Attacken können mit Hilfe hoch leistungsfähiger Computer-Tools durchgeführt werden).

Brute-Force-Angriffe

Der Hacker versucht Ihren Code zu knacken, indem er alle möglichen Kombinationen durchprobiert. Um sich dagegen zu schützen, sollte man ein aus mindestens 8 Zeichen bestehendes Passwort wählen, das Ziffern, Buchstaben und Sonderzeichen enthält. Je länger Ihr Passwort ist, um so mehr Zeit benötigt der Hacker und kann solange mit seinem Gerät nicht darauf zugreifen.

Sie müssen Ihr Passwort auswendig kennen. Im Übrigen gibt es spezielle Software, die Sie auf diesem Gebiet unterstützt. Die Authentifizierungssysteme sind nämlich so konstruiert, dass sie nur eine begrenzte Anzahl falscher Eingaben zulassen, bevor der Zugang zum betreffenden Benutzerkonto vorübergehend oder ganz gesperrt wird.

Merkmale eines guten Passworts: Mindestens 8 Zeichen (je mehr, desto besser). Zusammengesetzt aus Ziffern, Groß- und Kleinbuchstaben und Sonderzeichen. Es darf nicht auf einem Wort aus dem Wörterbuch basieren. Es darf sich nicht auf persönliche Daten stützen. Für jede verwendete Anwendung, Datei oder System muss ein anderes Passwort benutzt werden. Es muss willkürlich sein. Ändern Sie das Passwort öfters, je nach seiner Funktion, unbedingt aber alle sechs Monate.

Notieren Sie Ihre Passwörter nicht auf einen Zettel, der an den Monitor geklebt, unter der Tastatur oder als Telefonnummer getarnt in Ihrer Brieftasche versteckt wird. Personen mit unlauteren Absichten kennen all diese kleinen Tricks und wissen, wie man sich diese zunutze macht. Ihr bester Trumpf sind Sie selbst! Und Ihr Gedächtnis.

Ein gutes Mittel, um sich seine Passwörter zu merken, ist ein mnemotechnisches Verfahren wie z.B. der so genannte "magische Satz". Bilden Sie einen Satz, bei dem die Anfangsbuchstaben jedes Wortes den Zeichen Ihres Passworts entsprechen. " Es waren einmal 3 kleine Schweinchen: Pim Pam Pum" ergibt das (hochsichere) Passwort Ewe3kS:PPP.

Falls die Liste Ihrer Passwörter zu umfangreich wird, können Sie immer noch eine Spezialsoftware zum Speichern der Passwörter verwenden (siehe Links). Das ist eine gute Lösung, bei der man aber ein Passwort braucht, damit sie funktioniert. Dieses Passwort muss also sehr sorgfältig gewählt werden, da man sonst Ihre gesamten Passwörter entdecken kann.

Wenn Sie Ihr Passwort vergessen haben, keine Panik! Lassen Sie sich vom zuständigen Verantwortlichen für das System sofort ein neues Passwort geben. Wenn es sich um ein Standard-Passwort handelt, nehmen Sie unverzüglich persönliche Anpassungen vor.

Bei der Authentifizierung im Internet gibt es in der Regel eine Wiederherstellungsfunktion. Es genügt, wenn Sie Ihre Identität angeben. Sie erhalten dann eine Mail mit der Wiederherstellungsfunktion an die bei Ihrer Eintragung angegebene E-Mail-Adresse. Diese Mail ist nach Gebrauch zu löschen.