Passwörter: Unterschied zwischen den Versionen

Aus Linupedia.org
Wechseln zu: Navigation, Suche
(Sätze als Basis)
K (TomcatMJ verschob Seite Passwörter nach Passwörter: Umlautsalat bereinigt)
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 7: Zeile 7:
 
Ein weiteres kritisches Thema zu Passwörtern ist die '''Merkbarkeit der Passwörter''' für Menschen. Es ist kein Problem Passwörter mit Tools zu generieren, die absolut zufällige Zeichen enthalten und als sicher zu betrachten sind. Nur nützt dieses Passwort keinem etwas, wenn er unterwegs ist und auf seine eMail aus einem Internetcafe zugreifen will. Durch die mittlwerweile sehr günstigen '''USB Sticks''' kann man natürlich sämtliche Passwörter auf den Sticks speichern. Sie können dann absolut unmerkbar sein - aber wehe dem der seinen USB Stick nicht immer dabei hat.
 
Ein weiteres kritisches Thema zu Passwörtern ist die '''Merkbarkeit der Passwörter''' für Menschen. Es ist kein Problem Passwörter mit Tools zu generieren, die absolut zufällige Zeichen enthalten und als sicher zu betrachten sind. Nur nützt dieses Passwort keinem etwas, wenn er unterwegs ist und auf seine eMail aus einem Internetcafe zugreifen will. Durch die mittlwerweile sehr günstigen '''USB Sticks''' kann man natürlich sämtliche Passwörter auf den Sticks speichern. Sie können dann absolut unmerkbar sein - aber wehe dem der seinen USB Stick nicht immer dabei hat.
  
Der Mensch ist faul. Deshalb ist es weit verbreitet ein Passwort für viele verschieden Zugängen, also ein '''Standardpasswort''', zu benutzen. Dieses erleichtert den Zugang für einen selbst - aber auch für jemanden, der das Passwört für einen Zugang geknackt hat. Eng damit zusammen hängt ein weiteres Thema zu Passwörtern: Die Intervalle in denen die Passwörter geändert werden. Ist das Interval unendlich, ist es ein Standardpasswort.
+
Der Mensch ist faul. Deshalb ist es weit verbreitet ein Passwort für viele verschieden Zugängen, also ein '''Standardpasswort''', zu benutzen. Dieses erleichtert den Zugang für einen selbst - aber auch für jemanden, der das Passwört für einen Zugang geknackt hat. Eng damit zusammen hängt ein weiteres Thema zu Passwörtern: Die Intervalle in denen die Passwörter geändert werden. Ist das Intervall unendlich, ist es ein Standardpasswort.
  
 
Wie schon vorher erwähnt, existieren eine Menge '''Programme um Passwörter zu generieren und Passwörter zu verwalten'''. Im letzteren Falle sind die Passwörter verschlüsselt und erst nach Eingabe eines MasterPassworts zugreifbar. D.h. die Sicherheit des Masterpassworts ist sehr wichtig.
 
Wie schon vorher erwähnt, existieren eine Menge '''Programme um Passwörter zu generieren und Passwörter zu verwalten'''. Im letzteren Falle sind die Passwörter verschlüsselt und erst nach Eingabe eines MasterPassworts zugreifbar. D.h. die Sicherheit des Masterpassworts ist sehr wichtig.
  
== Erstellung von Passwörtern ==
+
== Erstellung von sicheren Passwörtern ==
  
=== Sätze als Basis ===
+
=== Sätze sind die Basis ===
  
* Irgendein zufälliger aber leicht merkbarer Satz wird gewählt und die Anfangsbuchstaben genommen  
+
Das Prinzip ist ganz einfach. Irgendein zufälliger aber leicht merkbarer Satz wird gewählt und die grossen und kleinen Anfangsbuchstaben genommen.
** Satz aus einer Tageszeitung
+
 
 +
* Satz aus einer Tageszeitung nehmen
 
  Beispiel von Freitag dem 24.01.2008 aus der AZ: Klima zwischen Berlin und EU bleibt belastet -> 24Kz01BuEbb08
 
  Beispiel von Freitag dem 24.01.2008 aus der AZ: Klima zwischen Berlin und EU bleibt belastet -> 24Kz01BuEbb08
  
** Blöder Satz  
+
* Einen blöden Satz ausdenken
 
  Griffin sitzt hier um 07:30 Uhr und denkt sich Passwörter aus -> Gshu730udsPWa
 
  Griffin sitzt hier um 07:30 Uhr und denkt sich Passwörter aus -> Gshu730udsPWa
  
** Einen zufälligen Teil, den man sich mit Eselsbrücke herleitet, und einen statischen Teil
+
* Einen zufälligen Teil, den man sich mit Eselsbrücke herleitet, und einen statischen Teil
  
** Totalen Unsinn, wie z.B. fipschwuchtl38
+
* Totalen Unsinn, wie z.B. fipschwuchtl38
  
** Einfach mal anfangen zu tippen und schauen was rauskommt. Danach noch ein bischen verändern, damit es nicht so einfach ist und schon ist es fertig. Dann schreib ich es einfach in eine Textdatei. Nach dem ich es ein paar mal eingegeben habe, habe ich es im Kopf  und lösche die Datei.  
+
* Einfach mal anfangen zu tippen und schauen was rauskommt. Danach noch ein bischen verändern, damit es nicht so einfach ist und schon ist es fertig. Dann schreib ich es einfach in eine Textdatei. Nach dem ich es ein paar mal eingegeben habe, habe ich es im Kopf  und lösche die Datei.  
  
** Sehr pratisch für Musikfreunde: Einfach vom aktuell laufenden Titel inspirieren lassen. So wird beim Hören von  
+
* Sehr pratisch für Musikfreunde: Einfach vom aktuell laufenden Titel inspirieren lassen. So wird beim Hören von  
 
  Lucy in the sky with diamonds -> LitS+d1a  
 
  Lucy in the sky with diamonds -> LitS+d1a  
  
 
Damit das Passwort noch schwerer zu erraten ist, sollte man noch Sonderzeichen und Zahlen mit einbauen. Beispiele für die Wahl und Platzierung der Sonderzeichen und Zahlen:
 
Damit das Passwort noch schwerer zu erraten ist, sollte man noch Sonderzeichen und Zahlen mit einbauen. Beispiele für die Wahl und Platzierung der Sonderzeichen und Zahlen:
  
** Nach einer Silbe oder einem Halbsatz wird die Anzahl der vorhergehenden Buchstaben als Zahl angehängt
+
* Nach einer Silbe oder einem Halbsatz wird die Anzahl der vorhergehenden Buchstaben als Zahl angehängt
** Man wählt Teile des aktuellen Datums oder von anderen Zeiten (Einschulung, Hochzeit, Geburtstag Verwandter/Freund(in) ...
+
* Man wählt Teile des aktuellen Datums oder von anderen Zeiten (Einschulung, Hochzeit, Geburtstag Verwandter/Freund(in) ...)
** ...
+
* An Stelle eines Satzzeichens wird ein Sonderzeichen gewählt
** ... Sonderzeichen? Wie wählen ? ...
 
** An Stelle eines Satzzeichens wird ein Sonderzeichen gewählt
 
  
 
=== Länge und Zeichen ===
 
=== Länge und Zeichen ===
Zeile 46: Zeile 45:
 
* Sonderzeichen
 
* Sonderzeichen
  
=== Änderungszeiten von Passwörtern ===
+
=== Änderungsintervalle von Passwörtern ===
 +
Grundsätzlich ist es empfehlenswert, seine Passwörter regelmäßig zu ändern, da bei längerer Verwendung von Passwörtern das Risiko der Ausspähung oder sonstigen Findung des Passworts durch Dritte (z.B. durch Keylogging etc.) steigt. Eine regelmäßige Änderung von Passwörtern verhindert außerdem, dass Dritte die durch sie erlangten Passwörter verwenden können.
  
 +
Leider bewirkt eine regelmäßige Änderung von Passwörtern aber auch, dass die Gefahr, das Passwort zu vergessen, ansteigt. Um diesem Risiko Rechnung zu tragen, verfahren viele User so, dass sie Passwörter von unkritischen Zugängen, bei denen kaum ernsthafter Schaden entstehen kann, nur selten ändern. Bei kritischen Zugängen und hohem Schadpotential wird eine regelmäßige Änderung des Passworts neben der Wahl eines möglichst sicheren Passworts aber dringend angeraten.
 +
 +
Die bei einer Umfrage im Forum ermittelten Änderungsintervalle von Passwörtern der User des LC schwanken sehr stark. Als Änderungsintervalle wurden angegeben:
 
* Alle 2 Wochen
 
* Alle 2 Wochen
 
* Kaum  
 
* Kaum  
Zeile 63: Zeile 66:
  
 
* [http://www.keepassx.org/ keepassX]  
 
* [http://www.keepassx.org/ keepassX]  
* [http://docs.kde.org/stable/en/kdeutils/kwallet/index.html kwalletmanager]
+
* [http://docs.kde.org/stable/de/kdeutils/kwallet/index.html KWalletManager ("digitale Brieftasche")]
 
* Firefox PWspeicher (mit Master-PW)
 
* Firefox PWspeicher (mit Master-PW)
 
* [http://www.fpx.de/fp/Software/Gorilla/ Password Gorilla] - Läuft sowohl unter Linux als auch Windows
 
* [http://www.fpx.de/fp/Software/Gorilla/ Password Gorilla] - Läuft sowohl unter Linux als auch Windows
Zeile 72: Zeile 75:
  
 
Sowohl Standardpasswörter als auch kein regelmäßiges Ändern von Passwörtern ist kritisch. Auch wenn dass Passwort nach obigen Empfehlungen ausgewählt wurde und als sicher zu betrachten ist, kann es auch zufällig erraten oder errechnet werden. Ein jeder muss für sich entscheiden, ob er das Risiko zu tragen gewillt ist.
 
Sowohl Standardpasswörter als auch kein regelmäßiges Ändern von Passwörtern ist kritisch. Auch wenn dass Passwort nach obigen Empfehlungen ausgewählt wurde und als sicher zu betrachten ist, kann es auch zufällig erraten oder errechnet werden. Ein jeder muss für sich entscheiden, ob er das Risiko zu tragen gewillt ist.
 +
 +
= Quellenangaben und weiterführende Links =
 +
* [http://de.wikipedia.org/wiki/Kennwort Artikel "Kennwort" bei Wikipedia (m.w.N.)] - Der Artikel beschäftigt sich auch damit, wie man Passwörter wählen sollte, damit sie möglichst sicher sind.
 +
* [http://docs.kde.org/stable/de/kdeutils/kwallet/index.html Deutsches Handbuch zu KWallet]
 +
* [http://www.easylinux.de/Artikel/ausgabe/2005/02/035-pw-manager/index.html Artikel der Zeitschrift EasyLinux: "Sicherer Schlüsselbund - Passwörter speichern mit KDE und Firefox"]
 +
 +
 +
 +
 +
----
 +
 +
[[Security|Zurück zur Security Übersicht]]
 +
 +
 +
[[Category:Security]]

Aktuelle Version vom 23. November 2013, 01:10 Uhr

Einleitung

Die folgenden Seite fassen zusammen, wie Linux-Club Mitglieder ihr Passwort auswählen und wie sie damit umgehen. Der Thread, wo alles gesammelt wurde befindet sich hier.

Passwörter sind Schlüssel die die Eingangstür für alle möglichen Anwendungen, die über das Internet erreichbar sind, vor unberechtigtem Zugang schützen sollen. Im Internet sind Programme, die mit brute force Methoden oder dictionary lookups versuchen eine Eingangstür zu öffnen, sehr aktiv. Deshalb ist es eminent wichtig, diese Passwörter so zu wählen, dass sie nicht erratbar sind bzw so aussergewöhnlich sind, dass der Aufwand sie durch brute force Angriffe zu erraten, zu hoch ist.

Ein weiteres kritisches Thema zu Passwörtern ist die Merkbarkeit der Passwörter für Menschen. Es ist kein Problem Passwörter mit Tools zu generieren, die absolut zufällige Zeichen enthalten und als sicher zu betrachten sind. Nur nützt dieses Passwort keinem etwas, wenn er unterwegs ist und auf seine eMail aus einem Internetcafe zugreifen will. Durch die mittlwerweile sehr günstigen USB Sticks kann man natürlich sämtliche Passwörter auf den Sticks speichern. Sie können dann absolut unmerkbar sein - aber wehe dem der seinen USB Stick nicht immer dabei hat.

Der Mensch ist faul. Deshalb ist es weit verbreitet ein Passwort für viele verschieden Zugängen, also ein Standardpasswort, zu benutzen. Dieses erleichtert den Zugang für einen selbst - aber auch für jemanden, der das Passwört für einen Zugang geknackt hat. Eng damit zusammen hängt ein weiteres Thema zu Passwörtern: Die Intervalle in denen die Passwörter geändert werden. Ist das Intervall unendlich, ist es ein Standardpasswort.

Wie schon vorher erwähnt, existieren eine Menge Programme um Passwörter zu generieren und Passwörter zu verwalten. Im letzteren Falle sind die Passwörter verschlüsselt und erst nach Eingabe eines MasterPassworts zugreifbar. D.h. die Sicherheit des Masterpassworts ist sehr wichtig.

Erstellung von sicheren Passwörtern

Sätze sind die Basis

Das Prinzip ist ganz einfach. Irgendein zufälliger aber leicht merkbarer Satz wird gewählt und die grossen und kleinen Anfangsbuchstaben genommen.

  • Satz aus einer Tageszeitung nehmen
Beispiel von Freitag dem 24.01.2008 aus der AZ: Klima zwischen Berlin und EU bleibt belastet -> 24Kz01BuEbb08
  • Einen blöden Satz ausdenken
Griffin sitzt hier um 07:30 Uhr und denkt sich Passwörter aus -> Gshu730udsPWa
  • Einen zufälligen Teil, den man sich mit Eselsbrücke herleitet, und einen statischen Teil
  • Totalen Unsinn, wie z.B. fipschwuchtl38
  • Einfach mal anfangen zu tippen und schauen was rauskommt. Danach noch ein bischen verändern, damit es nicht so einfach ist und schon ist es fertig. Dann schreib ich es einfach in eine Textdatei. Nach dem ich es ein paar mal eingegeben habe, habe ich es im Kopf und lösche die Datei.
  • Sehr pratisch für Musikfreunde: Einfach vom aktuell laufenden Titel inspirieren lassen. So wird beim Hören von
Lucy in the sky with diamonds -> LitS+d1a 

Damit das Passwort noch schwerer zu erraten ist, sollte man noch Sonderzeichen und Zahlen mit einbauen. Beispiele für die Wahl und Platzierung der Sonderzeichen und Zahlen:

  • Nach einer Silbe oder einem Halbsatz wird die Anzahl der vorhergehenden Buchstaben als Zahl angehängt
  • Man wählt Teile des aktuellen Datums oder von anderen Zeiten (Einschulung, Hochzeit, Geburtstag Verwandter/Freund(in) ...)
  • An Stelle eines Satzzeichens wird ein Sonderzeichen gewählt

Länge und Zeichen

  • Mindestens 8 Buchstaben, eher 16
  • Groß- und Kleinbuchstaben
  • Zahlen
  • Sonderzeichen

Änderungsintervalle von Passwörtern

Grundsätzlich ist es empfehlenswert, seine Passwörter regelmäßig zu ändern, da bei längerer Verwendung von Passwörtern das Risiko der Ausspähung oder sonstigen Findung des Passworts durch Dritte (z.B. durch Keylogging etc.) steigt. Eine regelmäßige Änderung von Passwörtern verhindert außerdem, dass Dritte die durch sie erlangten Passwörter verwenden können.

Leider bewirkt eine regelmäßige Änderung von Passwörtern aber auch, dass die Gefahr, das Passwort zu vergessen, ansteigt. Um diesem Risiko Rechnung zu tragen, verfahren viele User so, dass sie Passwörter von unkritischen Zugängen, bei denen kaum ernsthafter Schaden entstehen kann, nur selten ändern. Bei kritischen Zugängen und hohem Schadpotential wird eine regelmäßige Änderung des Passworts neben der Wahl eines möglichst sicheren Passworts aber dringend angeraten.

Die bei einer Umfrage im Forum ermittelten Änderungsintervalle von Passwörtern der User des LC schwanken sehr stark. Als Änderungsintervalle wurden angegeben:

  • Alle 2 Wochen
  • Kaum
  • Niemals - Standard Passwort für unkritische Internetforen
  • Abhängig von der Wichtigkeit der Anwendung jede Woche bis nie
  • Alle 1-3 Monate

Tools zur Passworterstellung

Tools zur Passwortverwaltung

Zusammenfassung

Jeder aus dem Linux-Club generiert sein Passwort durch die Anfangsbuchstaben eines leicht merkbaren Satzes und streut noch Zahlen und Sonderzeichen ein. Die Länge beträgt mindestens 8 Zeichen, ist aber meistens länger. Viele haben ein Standardpasswort, welches sie aber nur für unkritische Zugänge benutzen. Passwörter werden häufig nicht gewechselt. Bei kritischen und sensitiven Anwendungen werden die Passwörter 1 mal pro Woche geändert. Bei unkritischeren Anwendungen liegt das Änderungsintervall bei mehreren Monaten.

Sowohl Standardpasswörter als auch kein regelmäßiges Ändern von Passwörtern ist kritisch. Auch wenn dass Passwort nach obigen Empfehlungen ausgewählt wurde und als sicher zu betrachten ist, kann es auch zufällig erraten oder errechnet werden. Ein jeder muss für sich entscheiden, ob er das Risiko zu tragen gewillt ist.

Quellenangaben und weiterführende Links




Zurück zur Security Übersicht