Logo der Bayerischen Staatsministeriums f�r Digitales

Passwort-Check

Der Passwort-Check prüft das Passwort auf das Vorhandensein gängiger Zeichenfolgen, die ein Angreifer erwartet und somit das Knacken enorm vereinfachen. Dabei handelt es sich um Wörterbuch-Wörter, Tastaturmuster, Zahlenreihen usw.

Ausgehend von den gefundenen Zeichenfolgen werden zusammen mit der Passwortlänge und der Anzahl verschiedener Zeichen zwei Bewertungen vorgenommen:

Prüfung gegen plausible Regeln
Schätzung des Suchaufwands anhand der gefundenen Zeichenfolgen

Details zu diesen Bewertungsverfahren gibt es unter Infos zum Passwort-Check.

Die eingegebenen Passwörter werden nie an den Server übermittelt.

Hier geht es zum Passwort-Check.

Infos zum Passwort-Check

Die Prüfung des eingegebenen Passworts findet nach folgenden Richtlinien statt:

Passwortlänge
Kleinbuchstaben
Großbuchstaben
Interpunktions- oder Sonderzeichen
Ziffern
Keine leicht vorhersehbare Zeichenfolge (zum Beispiel Abzug bei „sss“, Tastaturfolgen „qwertz“, ABC-Buchstaben oder Zahlenreihenfolgen)
Passwort ist nicht im definierten Wörterbuch auffindbar

Die eingegebenen Passwörter werden nie an den Server übermittelt.

Beim Passwortcheck wird die Stärke von Passwörtern beurteilt. Die Beurteilung erfolgt auf Basis der Versuche, die ein möglicher Angreifers benötigen würde, um das Passwort herauszufinden.

In erster Linie hängt die Stärke eines Passworts von der Länge des Passworts und dem verwendeten Zeichenumfang ab. Enthält ein Passwort bekannte Wörter, Zahlenreihen oder Tastaturmuster, kann sich dies ein cleverer Angreifer zunutze machen. Statt lange Zeichenketten zufällig durchzuprobieren, wird der Angreifer zuerst versuchen, Wörter aus Wörterbüchern, Jahreszahlen, Tastaturmuster und ähnliches auszuprobieren und zu kombinieren. Dies reduziert die Anzahl der benötigten Versuche stark.

Deshalb sucht der Passwortcheck nach den folgenden Bestandteilen:

Wörter aus dem deutschen und dem englischen Wörterbuch
Tastaturmuster auf der deutschen Tastatur (zum Beispiel „qwertz“)
Zahlenreihen und alphabetische Folgen (zum Beispiel „1234“, „abcd“)
Datumsangaben (zum Beispiel „24.12.2016“)

Nachdem der Passwortcheck ein Passwort nach obigem Schema durchsucht hat, wendet er zwei verschiedene Bewertungsverfahren an. Beim ersten Test wird geprüft, ob das Passwort bestimmte Regeln (Länge, Zeichenumfang) erfüllt. Beim zweiten Test wird eine Schätzung berechnet, wie schwer es für einen Angreifer wäre, das Passwort zu knacken.

Die Gesamtwertung eines Passworts ist stark, wenn es beide Tests besteht.

Die Regel-Bewertung vergibt eine Punktzahl, die mit der Größe des Zeichensatzes und der Länge des Passworts steigt. Für Bestandteile, die nach dem oben beschriebenen Verfahren gefunden wurden, gibt es Abzüge.

Es gibt

5 Punkte für jedes Zeichen;
je 15 Punkte, falls Groß- oder Kleinbuchstaben vorkommen;
je 10 Punkte, falls Ziffern oder Sonderzeichen vorkommen;
2 Punkte Abzug für jedes Zeichen, das zu einem Wort aus einem Wörterbuch gehört beziehungsweise ein Tastaturmuster oder eine Reihe ist.

Ein Passwort muss in der Regelbewertung mindestens 100 Punkte erreichen, um als stark beurteilt zu werden.

Bei der Bewertung nach Aufwandsschätzung wird die wahrscheinliche Anzahl an Kombinationen berechnet, die ein Angreifer durchprobieren müsste, bis das Passwort gefunden ist. Um dies zu schätzen, werden die oben genannten Wörterbuchwörter und Muster im Passwort gesucht und das Passwort anschließend in seine Bestandteile zerlegt.

Um den Aufwand in Zeit zu schätzen, wird angenommen, dass ein Angreifer fünf Milliarden Versuche pro Sekunde durchführen kann. Dies entspricht der Rechenleistung eines guten Heim-PC.

Ein Passwort muss einem Angreifer während einer Rechenzeit von mehr als einem Jahr standhalten, um als stark beurteilt zu werden.

Im Passwort-Check sind folgende Besonderheiten implementiert:

Alle Checks erfolgen lokal im Browser der Benutzerin oder des Benutzers. Es werden keine Passwörter an einen Server verschickt.
Im Hintergrund stehen Wörterbücher für Deutsch und Englisch zur Verfügung.
Bei der Wörtersuche werden auch gängige Modifikationen (Leeten / L33t) erkannt.
Tastaturmuster werden auf Basis der deutschen Tastatur erkannt.
Die Prüfung erfolgt in Echtzeit. Schon bei der Eingabe des Passworts kann die Benutzerin oder der Benutzer sehen, wie sich die Bewertung mit jedem zusätzlichen Zeichen verändert.
Der Quellcode sowie die Verfahrensweise wurden vom Passwort-Check des Datenschutzbeauftragten des Kantons Zürich übernommen und sind öffentlich zugänglich (Github Repository).
Vorgenommene Änderungen:
- Aktualisierung der Versionen von AngularJS und Bootstrap
- Anpassungen ans Layout
- Hinzufügen einer Balkenanzeige für Passwortstärke (schwach-mittel-stark)
- Wörterbücher Deutsch und Englisch sind obligatorisch, keine Auswahl möglich
- Keine Speicherung und Anzeige von Statistikdaten

Passwort-Manager

Ein Passwort-Manager-Programm erleichtert die Erstellung, Verwaltung und Nutzung sicherer Passwörter. Beim Passwort-Manager braucht man sich nur noch das Hauptpasswort für den Passwort-Manager und die Passwörter für wirklich sensible Dienste wie E-Banking merken. Ein Passwort sollte nie aufgeschrieben werden!

Was sich leicht anhört, ist in der Praxis nicht immer einfach umzusetzen, insbesondere da für die unterschiedlichen Dienste und Websites jeweils andere Passwörter verwendet werden sollten. Es gelingt nur sehr wenigen Personen, alle Passwörter im Kopf zu behalten. Abhilfe kann hier ein Passwort-Manager schaffen. Dafür gibt es spezielle Programme, von denen wir hier eine kleine Auswahl vorstellen:

KeePass2, KeePass2Android und MiniKeePass sind kostenlos verfügbare, sichere und ausgereifte Passwort-Manager-Programme. Last Pass oder SecureSafe bieten umfangreichere Synchronisationsoptionen, sind jedoch kostenpflichtig. Zudem werden bei diesen Produkten die Schlüssel extern abgespeichert, wodurch die Sicherheit der Daten nicht komplett gewährleistet ist.

Beim Einsatz eines Passwort-Managers besteht das Risiko darin, dass alle Passwörter an einem Ort abgespeichert sind und durch Trojaner ausgelesen werden können. Um das Risiko eines Trojanerbefalls zu reduzieren, sollte das Endgerät mit folgenden Maßnahmen geschützt werden:

Sicheres Master-Passwort verwenden. Weitere Informationen dazu bietet das Bundesamt für Sicherheit in der Informationstechnik.
Regelmäßig Aktualisierungen durchführen (Betriebssysteme und Programme wie Browser). Weitere Informationen dazu finden Sie im Leitfaden für sicheres Patch-Management des Bundesamts für Sicherheit in der Informationstechnik.
Kritischer Umgang mit E-Mails und bei Downloads.
Firewall aktivieren und Virenschutzsoftware installieren.

Passwörter vor Missbrauch schützen

Neben der Wahl von sicheren Passwörtern (siehe dazu auch Bundesamt für Sicherheit in der Informationstechnik), ihrer sorgfältigen Aufbewahrung und einem grundsätzlich vorsichtigen Verhalten bei E-Mails und im Internet ist es essenziell, die Geräte zu schützen, auf denen die Passwörter verwendet werden. Die folgenden fünf einfachen Maßnahmen helfen, Geräte, Daten und damit auch das Passwort besser zu schützen:

Persönliche Informationen schützen
Angriffe abwehren durch aktuellen Virenschutz
Zugriffe Unberechtigter verhindern
Sensitive Inhalte verschlüsseln
Informationen sichern / löschen

Unberechtigte Personen können auf verschiedene Weise an ein Passwort gelangen. Eine Methode ist das Erraten des Passworts:

Viele Menschen verwenden Wörter, die sie sich leicht merken können, zum Beispiel aus ihrem persönlichen Umfeld. Somit ist das Erraten eines Passworts die einfachste und meist auch schnellste Methode, um Zugang auf ein Computersystem zu erhalten (Password Guessing / Social Engineering).
Einfache oder kurze Passwörter können durch systematisches Durchprobieren geknackt werden (Brute Force Attack). Die Erfolgschance dieser Methode kann durch systemseitig eingestellte Passwortvorgaben sehr stark eingeschränkt werden, zum Beispiel durch Kontosperrung nach drei Fehlversuchen.

Passwörter können auch aus dem System ausgelesen oder bei der Übertragung mitverfolgt werden. Die gängigsten Methoden sind:

Eine Person wird mittels Phishing (Link in einer E-Mail) auf eine gefälschte Website gelockt, die der echten Website sehr ähnlich sieht. Die Person wird dann aufgefordert, ihren Benutzernamen und das dazugehörige Passwort einzugeben. Werden die Angaben eingegeben, erhält der Angreifer die Passwortdaten.
Keylogger (spezielle Schadsoftware) werden dazu verwendet, um die Eingaben von Benutzenden eines Computers zu protokollieren und dadurch zu überwachen oder zu rekonstruieren. Keylogger werden von Unberechtigten auch verwendet, um an Passwörter zu gelangen.
VPN- und Anonymisierungsdienste, die den Benutzenden helfen, ihre Anonymität im Internet zu wahren, arbeiten mit Proxy-Technologie. Alle Eingaben können so in den Log-Dateien eines Proxy-Servers aufgezeichnet werden. Durch eine gezielte Auswertung dieser Log-Dateien können Unberechtigte an Passwörter gelangen. Mit dem Webzugriff über SSL (https) wird dieses Risiko stark verringert. Bei https-Verbindungen können Daten und Passwörter erst mitgelesen werden, wenn die Benutzerin oder der Benutzer ein gefälschtes Zertifikat akzeptiert.
Ein Sniffer (Schnüffler) ist eine Software, die den Datenverkehr eines Netzwerks empfangen, aufzeichnen, darstellen und gegebenenfalls auswerten kann. Mit solchen Netzwerkschnüfflern können übertragene Passwörter mitgelesen werden. Erfolgt die Übertragung von Passwörtern unverschlüsselt, wie beispielsweise bei E-Mails, ist es für Unberechtigte auf diese Weise einfach an Passwörter zu gelangen.