Rules of Thumb for Secure Passwords

From macwrench
(Redirected from Regeln für Passwörter)

Mittlerweile wird ja allerhand durch Passworter geschützt, vom Benutzerkonto auf dem Mac über E-Mail Konten bis hin zum Online-Einkaufsportal. In diesem Artikel sollen ein paar (hoffentlich) hilfreiche Tipps zur sicheren Auswahl von Passwörtern gegeben werden.

Damit man nicht den Überblick über diese Passwörter verliert, besitzt Mac OS X ja bekanntermaßen den Schlüsselbund, in dem die verwendeten Zertifikate und Passwörter - unabhängig, ob diese nun im Browser, FTP-Client oder WLAN benutzt werden - abgelegt sind.

Einzusehen sind diese über das Programm "Schlüsselbund.app" (bzw. "Keychain.app"), allerdings sind dennoch einige Regeln für die Vergabe von Passwörtern zu beachten. Ist beispielsweise das Benutzerpasswort sehr leicht zu erraten, ist der Sicherheitsgewinn durch die verschlüsselte Speicherung im Schlüsselbund hin und ein Angreifer hat freien Zugriff auf alle Daten.

Viele begehen auch den Fehler, für unterschiedliche Anwendungen immer dasselbe Passwort zu verwenden. Durch den Schlüsselbund ist es jedoch mittlerweile auch keine große Herausforderung mehr, mehrere verschiedene Passwörter zu verwenden - schließlich muss man sich diese ja nicht mehr alle merken.

Auch bei Systemupdates und Neuinstallationen stellt das kein Problem dar, man muss jedoch nur daran denken, den Schlüsselbund vorher zu sichern (ein regelmäßiges Backup schadet sicherlich auch nicht).

Faustregeln für Passwörter[edit]

Aus diesem Grund sollte mindestens für das Benutzerkonto ein sicheres, nicht ohne größen Aufwand zu ermittelndes Passwort gewählt werden, das den folgenden Anforderungen entsprechen sollte:

  1. es sollte mindestens 8 Zeichen lang sein, besser länger
  2. eine Kombination aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen ist ebenfalls empfehlenswert. Der Umfang der verwendbaren Zeichen ist dabei jedoch von der Anwendung abhängig, so sind oftmals Umlaute und manche Sonderzeichen nicht verwendbar (vor allem bei Internet-Anwendungen).
  3. Eigennamen und andere leicht zu erratende Wörter sollten auf keinen Fall verwendet werden.
  4. Hinweistexte beim Login sind - insbesondere in Verbindung mit einem leicht zu erratenden Passwort - geradezu eine Einladung zum Ratespiel. Auch wenn die Bequemlichkeit dazu verleitet, dieses Feature zu benutzen, ist dringend davon abzuraten!
  5. Das Passwort sollte kein Wort aus einem Lexikon oder Wörterbuch sein, da man diese sehr einfach durch automatisierte Abfragen durch "Trial and Error" (auch bekannt als "Wörterbuch Attacke") ermitteln kann. Ebenso sind Wörter des Alltags zu vermeiden, beispielsweise bekannte Persönlichkeiten oder Orte.
  6. Auch Begriffe aus dem gesellschaftlichen Umfeld sollten unbedingt vermieden werden, die Gefahr durch das sogenannte "social engineering" ist nicht zu unterschätzen!
  7. einfache Zahlen- und Buchstabentauscher oder das Rückwärtsschreiben von Wörtern werden oft verwendet, beispielsweise indem aus zwei Wörtern die Buchstaben abwechselnd aneinandergehängt werden. Auch solche einfachen "Algorithmen" lassen sich sehr einfach knacken.
  8. Bei Zahlenkombinationen gilt dasselbe, sie sind mitunter sehr leicht zu erraten (z.B. Geburtstage oder Ähnliches).
  9. Ein sicherer Aufbewahrungsort sollte selbstverständlich sein, damit ist nicht der Post-It Kleber hinter dem Monitor oder unter der Tastatur gemeint!!!

Passwörter erzeugen[edit]

Jeder dürfte wohl so seine eigene Methode haben, Passwörter zu erzeugen. Einige mögliche Vorgehensweisen sind beispielsweise die Folgenden:

durch das Zerlegen von Sätzen[edit]

Eine sehr einfache Möglichkeit ist es, aus einem möglichst langen Satz immer die Anfagsbuchstaben (oder Endbuchstaben) der einzelnen Wörter herauszupicken. Diese Vorgehensweise ist wohl auch recht verbreitet, allerdings ist hier naturgemäß der Zeichenumfang relativ gering (zumindest falls es sich um sytaktisch und semantisch korrekte Sätze handelt).

Beispiel:

"Bitte kopieren Sie keine Webseiten, die nicht Ihre eigenen sind, benutzen Sie keine urheberrechtlich geschützten Werke ohne Erlaubnis des Copyright-Inhabers!"

ergibt 

BkSkW,dnIes,bSkugWoEdC-I!

Besser als "Start", "Mausi" oder "login" ist es allemal ;)

Mit Mac OS Bordmitteln[edit]

Auch das Mac OS X System bringt bereits einige Tools mit, die man für diesen Zweck benutzen kann:

Kennwort Assistent[edit]

Seit Mac OS X Panther (10.3) befindet sich Im Schlüsselbund versteckt ein kleines Tool, mit dem sichere Passwörter erstellt werden können. Erreichbar ist es zum Beispiel über das Anlegen eines neuen Passwortes (Datei-Menü) via<KB>apfel + n</KB> und im daraufhin erscheinenden Eingabefenster über das Schlüssel-Symbol:

Der Assistent ist außerdem auch beim Anlegen eines Benutzers über die Systemeinstellungen erreichbar:

Anschließend erscheint das folgende Fenster:

md5 Verschlüsselung[edit]

Durch einfach Angabe eines "normalen" Satzes wie diesem hier: 

"huhu ich bin ein hornochse"

erhält man durch Eingabe von 

md5 -s "huhu ich bin ein hornochse"

die Passphrase 

a258cdf2fbf487535c6a5cafa7d8604d

Weitere Informationen dazu sind in der manpage von md5 nachzulesen.

htpasswd[edit]

htpasswd ist eigentlich ein Hilfsprogramm, um die Benutzer- und Passwortdateien für den Webserver Apache zu erzeugen. Allerdings kann das Tool auch durch die Option "-n" veranlasst werden, die Informationen nicht in eine Datei sondern auf den Ausgabekanal des Terminals zu schreiben (sprich: das erzeugte Passwort wird angezeigt): 

htpasswd -n username

2mal das neue Passwort eingeben, das erzeugt beiypielsweise: 

New password: 
Re-type new password: 
username:kY7/MnO/h8Pb6

Der Benutzername muss angegeben werden, da das Programm immer ein Paar aus Benutzername und Passwort für das Speichern in einer Datei names .htpasswd erzeugt. Für unsere Zwecke ist es also egal, was man als Benutzername angibt.

Weitere Informationen dazu sind in der manpage von htpasswd nachzulesen.

Password Assistant[edit]

Der Password Assistant (OpenSource) bedient sich der obigen Systemfunktion und erlaubt die Erzeugung von sicheren Passwörtern ohne den Umweg über den Schlüsselbund.

WLAN WEP/WPA Schlüsselgenerator zweckentfremden[edit]

Es gibt eine Reihe kostenloser Tools zur Erzeugung von WEP/WPA Keys und Passphrases, beispielsweise der RK-WLAN-Keygen. Dieser kann Passphrases wie diese hier erzeugen:

0-9,A-Z,a-z

X8XQQhZWsMh4d4sntHclkjSrpZnVEfqZ

0-9,A-Z,a-z + Sonderzeichen

W2y_LF$L&lLS'H|3jD{jTi%'A_h}dP[S

0-9,A-Z,a-z + erweiterte Sonderzeichen

é®r0RHµ¿/"ç)v¼¦ø6¸öP¯AË<Í`-ϱm-¼

Aus Diesen Zeichenketten muss man sich dann nur noch einen beliebigen (möglichst zufällig erzeugt aussehenden) Teilstring herauspicken und fertig ist das Profi-Passwort.

Der Vorteil an diesem Tool ist, dass man den Zeichenumfang und die Schlüssellänge (8-63 Zeichen) auswählen kann. Der große Nachteil ist, dass dieses Programm nur unter Windows läuft. Allerdings existieren auch für Mac OS X eine Reihe solcher Tools, bislang habe ich jedoch (mangels Bedarf) noch keines davon getestet ...

Passwörter überprüfen[edit]

Um vorhandene Passwörter auf ihre Sicherheit zu überprüfen, bieten sich die folgenden Möglichkeiten an:

mac.GWDG Password Tester[edit]

Der Password Tester von mac.GWDG ist ein kostenloses Hilfsprogramm, das sich der oben beschriebenen Systemfunktion (dem Passwort-Assistenten) bedient. Prinzipiell steht diese Funktion auch im Schlüsselbund zur Verfügung, der Password Tester vereinfacht jedoch die Nutzung ohne diesen Umweg.

Nicht mehr und nicht weniger ;-)

Retrieved from "https://macwrench.miraheze.org/wiki/Rules_of_Thumb_for_Secure_Passwords?oldid=1678"