Grundlagen – Sichere Passwörter, wofür eigentlich?


Nachdem das ein Thema ist, das für viele ein rotes Tuch ist, weil sie es als anstrengend, zeitraubend und unmöglich empfinden, hier richtig zu handeln, noch ein Paar Worte zu sicheren Passwörtern.

Wenn man sich Gedanken um Passwörter macht gibt es diverse Dinge, die man immer wieder hört.
Beispielsweise, soll man nie ein Passwort doppelt verwenden, man soll sein Passwort nirgendwo speichern und so weiter.
Dies sind Dinge die nicht grundsätzlich falsch sind, aber auch nicht ausnahmslos immer gelten.
Die Grundfrage muss sein, wogegen das jeweilige Passwort denn schützen soll und wie es angegriffen werden kann.

Ein paar Beispiele zur Veranschaulichung:
a) Das Passwort beim E-Mailprovider dient dazu, sich selbst den Zugang zum Postfach zu ermöglichen. Gäbe es keinen Passwortschutz, könnte jeder jedes beliebige E-Mail-Konto abrufen.
b) Das Passwort für einen Account bei einem Forum sichert lediglich diesen Account ab. Abhängig davon, ob es sich um ein beruflich genutztes Forum handelt, in dem man viel schreibt und bekannt ist oder um ein Forum handelt, bei dem man nur eingeloggt mitlesen will, kann man auch hier bei der Passwortqualität differenzieren.
Hier soll das Passwort in der Regel schlicht den Accountdiebstahl verhindern, ganz ähnlich wie bei einem E-Mail-Konto.
c) Das Benutzerpasswort für einen Computer eines normalen Benutzers hat diverse Funktionen. Keine davon ist es, die Daten des Benutzers vor neugierigen Blicken Dritter zu schützen. Ein besonders kompliziertes Benutzerpasswort für einen Heimcomputer, der mit der Familie geteilt wird hat in der Regel also keinen Mehrwert.
Anders hingegen, wenn es sich um einen Administratoraccount handelt, mit dem man auch diverse grundlegende Systemeinstellungen verändern und Software installieren oder deinstallieren kann. Dann besteht der Zweck des Passworts primär darin, diese Handlungen nur den Berechtigten zu ermöglichen. Hier sollte man auf ein sicheres Passwort achten.
d) Das Passwort für eine Verschlüsselte Datei/Festplatte dient als Schlüssel. Ohne diesen ist der Inhalt der Datei/Festplatte nicht lesbar.
Bei den obigen Beispielen gibt es auch unterschiedliche Szenarien, wie ein solches Passwort angegriffen werden kann.

Ein Angriffsszenario bei Onlinekonten ist ein Bruteforceangriff (also das einfache Durchprobieren aller Möglichkeiten durch den Angreifer). Dieser ist aber wenig erfolgversprechend. Dies liegt zum einen daran, dass viele Anbieter Schutzmechanismen hiergegen haben (Accountsperre, IP-Blocks und ähnliches). Weiterhin fällt ein solcher Angriff auch deutlich auf (zumindest, wenn der Provider des Services halbwegs fähige Leute hat, die auf soetwas achten), denn es gibt dann unzähliche erfolglose Loginversuche in kurzen Zeiträumen. Normalerweise wird sich ein Angreifer dieses Mittels nicht bedienen, da der Aufwand im Verhältnis zum Nutzen sehr groß ist.
Ein weiteres Angriffsszenario ist ein Einbruch auf dem Server. Davor kann man sich mit einem sicheren Passwort nicht schützen. Davor schützt man sich, indem man möglichst fähige Provider verwendet oder selbst zu einem möglichst fähigen Provider wird. Dieser Angriff ist relativ zu einer Bruteforceattacke weniger Aufwändig und man bekommt jede Menge Passwörter geliefert, nicht nur eines.
Daher ist die Passwortsicherheit bei solchen Onlinekonten gar nicht so schwerwiegend, wie man vielleicht immer denken möchte.

Anders sieht es aber aus, wenn verschlüsselte Dateien mit einem Passwort gesichert werden sollen. Hier ist ein möglichst sicheres Passwort nämlich der einzige Schutz, sobald ein Angreifer Zugriff auf diese Daten hat, weil er beispielsweise die verschlüsselte Datei auf einem USB-Stick gefunden hat oder die E-Mail mit der sie versendet wurde abgefangen hat oder … oder …, ist die letzte Hürde, die ein Angreifer zu überwinden hat das Passwort. Hier gibt es auch keine Abwehrmechanismen mehr, die verhindern, dass der Angreifer einen Bruteforceangriff erfolgreich und unentdeckt durchführen kann. Denn, wenn der Angreifer eine Kopie der Datei hat, bekommt niemand den Angriff mehr mit.
Wenn man sein Passwort für das E-Mailkonto auf dem Computer speichert (beispielsweise in Thunderbird oder Firefox), dann hat der Angreifer, der sich am Server des Providers versucht hiervon keinen potentiellen Vorteil. Auch ein Bruteforceangriff wird nicht erleichtert. Der Angreifer müsste den Computer selbst angreifen, um davon zu profitieren. Sobald allerdings ein Angriff auf den Computer erfolg hat und die Passwörter unverschlüsselt gespeichert wurden, hat ein Angreifer den Jackpot.
Wenn ein Angreifer bereits auf den lokalen Computer eingedrungen ist und sich eine verschlüsselte Datei kopiert hat, hindert ihn nichts daran, das dort gespeicherte Passwort auch gleich mit zu kopieren.
Daher sollte man, wenn man Passwörter speichert diese möglichst nicht unverschlüsselt speichern. Um dies möglichst zentral und einfach zu machen gibt es einige gute Programme. Wir empfehlen hier ein möglichst plattformübergreifendes Programm, wie KeePassX (das gibt es für jedes Betriebssystem), so dass man auch bei einem zukünftigen Wechsel beim diesem Programm bleiben kann.

Die genannten Szenarien und Differenzierungen sollen nur als Beispiele zum Einstieg dienen und sind keines Falls abschließend.

Für Fragen und Anregungen in den Kommentaren stehen wir gerne zur Verfügung.

  1. #1 von Ayna am 10/01/2017 - 17:24

    Vielen Dank für diesen wichtigen und sehr informativen Artikel.

  2. #2 von 먹튀검증 am 28/09/2020 - 23:34

    each time i used to read smaller content that
    also clear their motive, and that is also happening with this paragraph
    which I am reading at this place.

    Here is my web-site – 먹튀검증

  3. #3 von Newtopassau.com am 29/09/2020 - 13:30

    Everything is very open with a precise clarification of the challenges.
    It was definitely informative. Your website is useful.
    Many thanks for sharing!

    Feel free to visit my site – Newtopassau.com

  4. #4 von 사설토토사이트 am 29/09/2020 - 16:18

    Hello everybody, here every person is sharing such
    familiarity, thus it’s fastidious to read this website,
    and I used to visit this blog everyday.

    my web-site 사설토토사이트

(wird nicht veröffentlicht)
 

  1. poker online terpercaya
  2. dewa poker
  3. escort service lucknow
  4. situs Judi poker online
  5. Http://jarred.leigh@www.cursillo-sac.org
  6. Www.quilttrips.com
  7. escorts in indore
  8. chennai escort girls
  9. rahasia bermain judi online
  10. situs judi online terpercaya
  11. judi online live casino
  12. Judi Bola
  13. judi online pasti menang
  14. Agen Bola
  15. Cara Agar Menang Main Poker
  16. Cara Curang Dalam Bermain Judi
  17. lucknow escorts
  18. best escort service in pune
  19. jaipur escorts
  20. female escorts in lucknow
  21. Bangalore escorts
  22. cheap call girl mohali
  23. escort service in Siliguri
  24. escort girl Ludhiana
  25. Indore female escort
  26. judi Situs sbobet
  27. emma watson
  28. kristin cavallari
  29. congratulations
  30. mindscape
  31. tom kenny
  32. social media influencers
  33. homebody
  34. angelina jolie kids
  35. riddles
  36. báo giá đệm mút xốp
  37. mua áo cờ đỏ sao vàng ở tphcm
  38. công ty seo
  39. xem phim set
  40. cole sprouse
  41. http://windsolarblog.viamobileweb.com/aokesi-convertible-car-pink-convertible-doll-vehicle-with-working-seat-belts-dolls-toy-car-for-dolls-accessories-set-great-gift-for-girls/
  42. phim lẻ cấp 3
  43. http://fotos.musikverein-naarn.at/picture.php?/358
  44. Công nghiệp
  45. phim người lớn việt nam
  46. https://renacelaverdad.com/es/6to-respeta-la-pureza-de-tu-espiiritu
  47. https://histodia.com/sari-saclarini-deli-gonlume-baglamislarcozulmuyor-mihriban-kahramanmarasin-bagrindan-tum-ulkeye-sevdasini-duyuran-guzel-adamabdurrahim-karakoc/
  48. artie lange
  49. ana de armas
  50. Feedingkids.Tv
  51. Hành chính
  52. áo cờ laptop
  53. áo lá cờ việt nam giá rẻ
  54. thiet ke web
  55. field marketing
  56. báo cờ đỏ
  57. marketing definition