Der Passwort-Check prüft das Passwort auf das Vorhandensein gängiger Zeichenfolgen, die ein Angreifer erwartet und somit das Knacken enorm vereinfachen. Dabei handelt es sich um Wörterbuch-Wörter, Tastaturmuster, Zahlenreihen usw.
Ausgehend von den gefundenen Zeichenfolgen werden zusammen mit der Passwortlänge und der Anzahl verschiedener Zeichen zwei Bewertungen vorgenommen:
Details zu diesen Bewertungsverfahren gibt es unter Infos zum Passwort-Check.
Die eingegebenen Passwörter werden nie an den Server übermittelt.
Hier geht es zum Passwort-Check.
Die Prüfung des eingegebenen Passworts findet nach folgenden Richtlinien statt:
Die eingegebenen Passwörter werden nie an den Server übermittelt.
Beim Passwortcheck wird die Stärke von Passwörtern beurteilt. Die Beurteilung erfolgt auf Basis der Versuche, die ein möglicher Angreifers benötigen würde, um das Passwort herauszufinden.
In erster Linie hängt die Stärke eines Passworts von der Länge des Passworts und dem verwendeten Zeichenumfang ab. Enthält ein Passwort bekannte Wörter, Zahlenreihen oder Tastaturmuster, kann sich dies ein cleverer Angreifer zunutze machen. Statt lange Zeichenketten zufällig durchzuprobieren, wird der Angreifer zuerst versuchen, Wörter aus Wörterbüchern, Jahreszahlen, Tastaturmuster und ähnliches auszuprobieren und zu kombinieren. Dies reduziert die Anzahl der benötigten Versuche stark.
Deshalb sucht der Passwortcheck nach den folgenden Bestandteilen:
Nachdem der Passwortcheck ein Passwort nach obigem Schema durchsucht hat, wendet er zwei verschiedene Bewertungsverfahren an. Beim ersten Test wird geprüft, ob das Passwort bestimmte Regeln (Länge, Zeichenumfang) erfüllt. Beim zweiten Test wird eine Schätzung berechnet, wie schwer es für einen Angreifer wäre, das Passwort zu knacken.
Die Gesamtwertung eines Passworts ist stark, wenn es beide Tests besteht.
Die Regel-Bewertung vergibt eine Punktzahl, die mit der Größe des Zeichensatzes und der Länge des Passworts steigt. Für Bestandteile, die nach dem oben beschriebenen Verfahren gefunden wurden, gibt es Abzüge.
Es gibt
Ein Passwort muss in der Regelbewertung mindestens 100 Punkte erreichen, um als stark beurteilt zu werden.
Bei der Bewertung nach Aufwandsschätzung wird die wahrscheinliche Anzahl an Kombinationen berechnet, die ein Angreifer durchprobieren müsste, bis das Passwort gefunden ist. Um dies zu schätzen, werden die oben genannten Wörterbuchwörter und Muster im Passwort gesucht und das Passwort anschließend in seine Bestandteile zerlegt.
Um den Aufwand in Zeit zu schätzen, wird angenommen, dass ein Angreifer fünf Milliarden Versuche pro Sekunde durchführen kann. Dies entspricht der Rechenleistung eines guten Heim-PC.
Ein Passwort muss einem Angreifer während einer Rechenzeit von mehr als einem Jahr standhalten, um als stark beurteilt zu werden.
Im Passwort-Check sind folgende Besonderheiten implementiert:
Ein Passwort-Manager-Programm erleichtert die Erstellung, Verwaltung und Nutzung sicherer Passwörter. Beim Passwort-Manager braucht man sich nur noch das Hauptpasswort für den Passwort-Manager und die Passwörter für wirklich sensible Dienste wie E-Banking merken. Ein Passwort sollte nie aufgeschrieben werden!
Was sich leicht anhört, ist in der Praxis nicht immer einfach umzusetzen, insbesondere da für die unterschiedlichen Dienste und Websites jeweils andere Passwörter verwendet werden sollten. Es gelingt nur sehr wenigen Personen, alle Passwörter im Kopf zu behalten. Abhilfe kann hier ein Passwort-Manager schaffen. Dafür gibt es spezielle Programme, von denen wir hier eine kleine Auswahl vorstellen:
KeePass2, KeePass2Android und MiniKeePass auf der Website von KeePass sind kostenlos verfügbare, sichere und ausgereifte Passwort-Manager-Programme. Last Pass oder SecureSafe bieten umfangreichere Synchronisationsoptionen, sind jedoch kostenpflichtig. Zudem werden bei diesen Produkten die Schlüssel extern abgespeichert, wodurch die Sicherheit der Daten nicht komplett gewährleistet ist.
Beim Einsatz eines Passwort-Managers besteht das Risiko darin, dass alle Passwörter an einem Ort abgespeichert sind und durch Trojaner ausgelesen werden können. Um das Risiko eines Trojanerbefalls zu reduzieren, sollte das Endgerät mit folgenden Maßnahmen geschützt werden:
Neben der Wahl von sicheren Passwörtern (siehe dazu auch: Website des Bundesamtes für Sicherheit in der Informationstechnik), ihrer sorgfältigen Aufbewahrung und einem grundsätzlich vorsichtigen Verhalten bei E-Mails und im Internet ist es essenziell, die Geräte zu schützen, auf denen die Passwörter verwendet werden. Die folgenden fünf einfachen Maßnahmen helfen, Geräte, Daten und damit auch das Passwort besser zu schützen:
Unberechtigte Personen können auf verschiedene Weise an ein Passwort gelangen. Eine Methode ist das Erraten des Passworts:
Passwörter können auch aus dem System ausgelesen oder bei der Übertragung mitverfolgt werden. Die gängigsten Methoden sind: