Controlling 21

Dr. J. Schuhmacher

Passwort-Generator

Wie erzeugt man sichere Passwörter - Mythen und Fakten

Der ultimative Passwort-Generator, Passwörter kinderleicht erstellen, sicheres Passwort erzeugen, Interaktions-Modul.

Extrem sicher: CSPRNG (cryptographically secure pseudo-random number generator).

Ferner lernen Sie hier einfach erklärt, wie man sichere Passwörter erstellt, und welche Mythen und Märchen rund um Passwörter Sie zukünftig vergessen können.

Mit diesem Artikel ersparen Sie sich viel Arbeit und schonen Ihre Nerven.

Inhalt

• Direkt zum Passwort-Generator <---------
  Bitte nur diese Seite (passwort-generator.htm) hier verlinken, nicht die PHP-Seite.
  Hinweis: Falls das obige Programm Sie immer wieder zurück zu dieser Seite wirft, dann müssen Sie in Ihrem Browser den (von Ihnen) ausgeschalteten Referrer wieder aktivieren.
• Erklärungen zur optimalen Verwendung des Passwort-Generator.
• Allgemeine Hinweise zu Passwörtern und deren Verwahrung.

Ein ausführliches Inhaltsverzeichnis mit direkten Sprungmarken und Überblick über alle bei Passwort-Generator behandelten Themenbereiche finden Sie als Pop-Up.

Erklärungen zur optimalen Verwendung des Passwort-Generators

Hier finden Sie wichtige Hinweise, wie Sie die für Sie idealsten und sichersten Passwörter erzeugen können.

Ferner werden viele Mythen und Märchen rund um Passwörter korrigiert, sowie auf die in der Praxis wirklich sinnvollen Dinge für Passwörter hingewiesen.

Ketzerisches Vorab

Manche Sarkasten unter den Sicherheitsexperten unterteilen die Internet-Nutzer / Menschheit in zwei Gruppen:

1. Diejenigen, welche bereits wissen, dass sie gehackt wurden,
2. und diejenigen, welche es noch nicht wissen.

Zumindest muss jedem Internet-Nutzer bewusst sein, dass es keinen absoluten Schutz und keine absolute Sicherheit geben kann.

Deshalb sollte man:

• Weder in Panik verfallen,
• noch in Lethargie versinken - gemäß dem Motto: es ist sowieso alles egal,
• sondern sollte sich ein paar Gedanken zu seinem eigenen Schutz machen, damit man es den Angreifern nicht allzu leicht macht.

Der elementarste Schutz besteht in relativ sicheren Passwörtern.

Sicherheitsgarantie

Jedes Modul, das Sie nicht selbst programmiert haben, könnte theoretisch gefährlich sein. Sofern Sie nicht gut programmieren können, kann sogar Ihr eigenes Programm gefährlich sein.

• Hiermit versichere ich Ihnen, dass ich das Programm rein in sicherem, modernstem und einfachem PHP programmiert habe.
• Das Programm zeichnet nichts auf. Es wird definitiv nichts vermerkt oder protokolliert.
• Es gibt keine Datenbank.
• Nichts wird irgendwohin verschickt.
• Dieser Server wird besonders geschützt und steht in einem hochsicheren Rechenzentrum in Deutschland. Weitere Sicherheitsdetails siehe im Impressum im Kapitel Sicherheitsinformationen.
• So ist die Internet-Adresse z.B. mittels HTTPS verschlüsselt und die gesamte Kommunikation zwischen Ihnen und diesem Passwort-Generator geschützt.
• Für Fachleute: Das Passwort wird mit der CSPRNG Funktion ab PHP 7 erzeugt. Die Abkürzung steht für cryptographically secure pseudo-random number generator = CSPRNG, auch cryptographic pseudo-random number generator = CPRNG. Als Zufallsquelle wird arc4random_buf() verwendet. Damit sind die derzeit höchsten Sicherheitsanforderungen an weitgehend unvorhersehbare Passwörter erfüllt.

Dennoch können Sie natürlich - um ganz sicher zu gehen - den Generator als abänderbare Vorlage verwenden:

• Lassen Sie sich ein beliebiges Passwort ausgeben.
• Markieren und kopieren Sie es sich und fügen Sie es bei sich in einen Texteditor ein.
• Danach können Sie beliebige Zeichenfolgen von hinten nach vorne oder sonst wohin umstellen.
• Oder Sie ersetzen einige Zeichen der Folge durch Ihre eigene Auswahl.
• Oder Sie fügen weitere eigene Zeichen davor, dazwischen und / oder dahinter.
• Oder Sie lassen sich zwei (oder mehrere) Passwörter erzeugen und mischen diese nach Belieben.

Passwortlänge

• Gleichgültig, was auch immer irgendwelche selbsternannten Sicherheitsexperten im Internet veröffentlichen und sonst erzählen: Nur die Länge des Passwortes ist für die Sicherheit entscheidend.
• Der Denkfehler liegt darin, dass manche Menschen glauben, man müsse alle denkbaren Zeichen (-Klassen) im Passwort auch tatsächlich benutzen. Der Hacker weiß jedoch nicht, was Sie für das Passwort tatsächlich verwendet haben. Er muss deshalb immer die maximal mögliche Zeichenanzahl abprüfen. D.h. er wird immer auf Klein- und Großbuchstaben, Zahlen und Sonderzeichen prüfen müssen, auch wenn Sie keines verwenden. Dadurch ist die Grundgesamtheit der möglichen Zeichen immer gleich groß. Und damit entscheidet eben nur die in den Exponenten zu schreibende Länge der Zeichenkette.
• Jedes Passwort unter 6 Zeichen Länge ist im Grunde genommen ein Witz, der von moderner Software in weniger als 1 Sekunde geknackt wird.
• Mit jedem weiteren Zeichen steigt der Rechenaufwand zum Knacken und somit die Sicherheit exponentiell an.
• Zehn Zeichen sollte heute ein Passwort mindestens lang sein.
• Nutzen Sie immer die maximal mögliche Zeichenlänge aus: Wenn folglich 20 Zeichen erlaubt sind, dann verwenden Sie bitte auch 20. Wenn 30 Zeichen erlaubt sind, dann sollten es 30 sein.
• Sie können in meinem Passwort-Generator, in das rötliche Eingabefeld mit einer Zahl Passwörter von 5 bis 128 Zeichen (einschließlich) erstellen lassen, indem Sie selbst die Länge = Anzahl der Zeichen manuell festlegen. - Bitte in der ersten Zeile eintippen.

Kleinbuchstaben

• Sie sollten, wenn immer möglich, auch Kleinbuchstaben im Passwort verwenden.
• Dabei wird standardmäßig der gesamte Satz von 26 Zeichen verwendet: abcdefghijklmnopqrstuvwxyz

Großbuchstaben

• Sie sollten, wenn immer möglich, auch Großbuchstaben im Passwort verwenden.
• Dabei wird standardmäßig der gesamte Satz von 26 Zeichen verwendet: ABCDEFGHIJKLMNOPQRSTUVWXYZ

Zahlen

• Sie sollten, wenn immer möglich, auch Zahlen im Passwort verwenden.
• Dabei wird standardmäßig der gesamte Satz von 0-9 verwendet: 0123456789

Sonderzeichen (Englisch: symbols)

• Seit vielen Jahren geistert das Märchen durch alle Medien, dass man unbedingt Sonderzeichen im Passwort verwenden muss, damit es sicher sei.
• Der Initiator dieses Unsinnes (Bill Burr mit seiner Publikation aus dem Jahr 2003) hat sich inzwischen sogar öffentlich dafür entschuldigt.
• Bei der Sicherheit und somit der Entschlüsselungs­wahrscheinlichkeit handelt sich um eine Frage der Statistik, die leider nur wenige Menschen auch nur ansatzweise beherrschen. De facto ist nur die Zeichenlänge entscheidend.
• Der Angreifer weiß nämlich nicht, welche Zeichen Sie verwendet haben. D.h. er wird auch immer alle Sonderzeichen abfragen lassen.

Technische Rahmenbedingungen:

• Manche Sonderzeichen werden in sehr vielen Betriebssystemen, in sehr vielen Programmiersprachen und vielen Anwendungen für relevante Programm-Funktionen verwendet und sind deshalb nicht für Passwörter verwendbar. D.h. der Vorrat wird je nach Betriebssystem und Anwendung reduziert. Aber Sie wissen in der Regel nicht, auf welche Sonderzeichen der erlaubte Vorrat beschränkt ist.
• Je nach Medium (z.B. Internet mit Transport über das WWW-Protokoll HTML) werden Sonderzeichen konvertiert, um transportiert werden zu können. So kann sich das Passwort auf dem Weg zum Ziel deutlich verändern. Konkret: Sie geben bei sich das korrekte Passwort ein, aber beim Empfänger kommt nur Sonderzeichenmüll an, den er nicht korrekt (zurück-) konvertieren kann. Das kann im Extremfall zur Aussperrung führen.
• Im Grunde sind auch die jeweiligen sprachlichen Spezialzeichen, wie die Umlaute im Deutschen, Sonderzeichen. Hier wird es noch komplizierter, da diese je nach nationalem Zeichensatz auf einem PC nicht vorhanden sind (folglich kaum manuell eingegeben werden können) oder schlicht nicht erkannt werden. Deshalb sollte man derartige Zeichen nur nach Rücksprache mit dem Programmierer der Anwendung verwenden. In 99% der Fälle sind derartige nationale Sonderzeichen nicht für Passwörter geeignet.

Sonderzeichen in meinem Generator

• Sie sollten sich folglich überlegen, ob Sie Sonderzeichen verwenden und dann vor allem, welche davon.
• Hinweis: Sie müssen zuerst einen der jeweils drei runden Radio-Schalter drücken.
• Voreingestellt ist keine Sonderzeichen.
• Falls Sie den Radio-Schalter alle drücken, wird standardmäßig der gesamte Zeichensatz verwendet: "`´'-+*=~^@#$%§&_,.?!;:<>()[]{}\/|
• Dieser gesamte Satz an Sonderzeichen bereitet auf fast jedem Computersystem irgendwelche Probleme.
• Sinnvoller ist es in vielen Fällen, den Radio-Schalter nur einzelne zu drücken und danach und zusätzlich die wenigen gewünschten Sonderzeichen mit Haken zu versehen.

Deutsche Umlaute / Sonderzeichen

• Nur relativ wenige und meist deutsche Systeme erlauben deutsche Umlaute respektive das ß.
• Wie immer können Sie alle deutschen Sonderzeichen abwählen (Voreinstellung: keine), oder alle auswählen, oder nur einzelne verwenden (falls z.B. die Umlaute erlaubt sind, aber das ß nicht).
• Verwenden Sie diese deutschen Umlaute respektive das ß nur, sofern es explizit bei dem jeweiligen Dienstleister erlaubt wird.

Leerstelle / Leertaste zwischen Zeichen

• Auch das Leerzeichen ist im Grunde ein Sonderzeichen, das jedoch in zahlreichen Fällen Probleme verursacht.
• Die Leerstelle wird nur von manchen Computer-Systemen akzeptiert.
• Verwenden Sie das Leerzeichen nur, sofern es explizit bei dem jeweiligen Dienstleister erlaubt wird.
• Vor allem am Anfang und am Ende des Passwortes bilden Leerstellen Schwierigkeiten bei der optischen Erkennung am PC, dem Markieren mit der Maus sowie beim Einfügen in das vorgesehene Passwortfeld.
• Vor allem letzteres wird von vielen Programmierern generell ausgeschlossen, da es ein typischer Fehler bei der Passworteingabe darstellt. D.h. es finden sich in allen mir bekannten Programmiersprachen Reinigungsbefehle, welche Leerzeichen am Anfang und am Ende des Passwortes schlichtweg immer abschneiden.
• Mein Passwort-Generator verhindert automatisch, dass diese Leerstellen am Anfang und am Ende des Passwortes sind.
• Auch hier gilt: Das Leerzeichen erhöht zwar den Vorrat an Möglichkeiten, aber nicht die Sicherheit des einzelnen Passwortes selbst.
• Die vereinzelt zu lesende Behauptung, dass Leerzeichen den Hackern Probleme bereiten würden, ist lächerlich. Leerzeichen bereiten nur den unbedarften Heimprogrammierern mit deren Internet-Passwortsystemen Problemen.

Wiederholungen vermeiden

• Manche behaupten, dass Zeichen (Zahlen und Buschstaben) im Passwort angeblich nur einfach vorkommen sollten.
• Auch dies ist ein Mythos: Nur die Länge des Passwortes entscheidet.
• Statistisch gesehen ist ein langes Passwort mit 2 großen L so sicher wie eines mit nur einem L und dafür einem M.
• Dennoch gilt es natürlich, solche Dinge nicht zu übertreiben. Ein Passwort, das nur aus 8 Mal dem Buchstaben L besteht, ist wiederum leicht zu erraten, da die Hacker-Tools solche Faulheit der Menschen bereits vorgesehen haben.
• Dieser Passwort-Generator bietet deshalb in der Rubrik Inhalte ausschließen ganz unten die Option Einmalig: Keine Wiederholungen: Jedes Zeichen nur einmal an.
• Beachten Sie jedoch, dass dies nur funktionieren kann, wenn die von Ihnen ausgewählte Zeichenmenge größer gleich (>=) der Passwortlänge ist.
  Sobald Sie eine Passwortlänge wünschen / in das erste Feld oben eingeben, die über dem Zeichenvorrat liegt, ignoriert der Passwort-Generator diese dann unsinnige Einstellung der Wiederholungen automatisch.

Direkte Doppelungen vermeiden

• Manche behaupten, dass Zeichen (Zahlen und Buschstaben) im Passwort direkt hintereinander nicht mehrfach vorkommen sollten.
• Auch dies ist ein Mythos: Nur die Länge des Passwortes entscheidet.
• Statistisch gesehen ist ein langes Passwort mit 2 großen L direkt hintereinander (LL) so sicher wie eines mit nur einem L und dahinter einem M.
• Allerdings kann es in der Praxis beim manuellen Eintippen eines Passwortes in der Tat fehlerfreier sein, direkte Dopplungen zu vermeiden.
• Dieser Passwort-Generator bietet deshalb in der Rubrik Inhalte ausschließen ganz unten die Option Keine Dopplung: Kein Zeichen darf 2 Mal (DD) direkt hintereinander vorkommen an.

Lese-Fehler vermeiden

• Dem Problem der verwechselbaren resp. ähnlich aussehenden Zeichen kann man hingegen schnell beim Ablesen und Eintippen von Passwörtern erliegen.
• Deshalb bietet dieser Passwort-Generator in der Rubrik Inhalte ausschließen ganz unten die Option Keine Lese-Fehler: Ähnliche Zeichen ausschließen an.
• So sind die Zahl Null 0 und der große Buchstabe O (bei Oma) selbst nicht leicht unterscheidbar. Manche Menschen haben auch Probleme, das kleine o davon zu unterscheiden. Ebenso ergeht es vielen Personen mit der Zahl Eins (1) und dem kleinen Buchstaben L (l) oder dem großen Buchstaben i (I) wie am Anfang von Innenarchitektur. Manche Menschen haben auch Probleme, das kleine i und den senkrechten Strich | sowie das Ausrufungszeichen ! davon zu unterscheiden. Ferner betrifft dies auch Sonderzeichen wie : und ; sowie , und . ´ und ` und '.
• Beachten Sie, dass dabei jedoch der Zeichenvorrat reduziert wird. D.h. die restlichen Zeichen kommen häufiger vor.
• Diese Ausschlussfunktion ergibt überhaupt nur einen Sinn, sofern Sie Kleinbuchstaben, Großbuchstaben und Zahlen zusammen auswählen.
• Würden Sie z.B. nur Zahlen als Zeichenbasis des Passwortes auswählen, so würden durch dieses Fehler-vermeiden-Kriterium die Zahlen 0 und 1 entfallen, da sie Buchstaben ähneln. Das ergibt bei reinen Zahlen aber keinen Sinn.

Inhalte erzwingen

• Mit diesen Radio-Druck-Tasten wählen Sie aus, ob mindestens ein Zeichen einer Zeichengruppe im Passwort enthalten sein kann, oder sein muss.
• Die Voreinstellung ist kann. Sie überlassen die Auswahl dem kryptografisch sicheren Zufallsgenerator.
• Bei Voreinstellung kann, kann es jedoch - vor allem bei kurzen Passwörtern - vorkommen, dass bestimmte Zeichen zwar im Zeichenvorrat (der Grundmenge an auswählbaren Zeichen) verfügbar sind, aber für das Passwort (gemäß dem Zufallsprinzip) dennoch nicht verwendet werden.
• Nochmals zur Klarstellung: Das Passwort ist gleich sicher, wie mit anderen Zeichen.
• Aber manche Login-Systeme verlangen heute, dass mindestens je 1 Zeichen bestimmter Zeichengruppen im Passwort vorkommt. Sonst wird das Passwort nicht akzeptiert.
• Dafür findet sich die Option muss.
• Beachten Sie dafür jedoch die Logik:
  • Die Anzahl der ausgewählten Zeichengruppen bestimmt dann die Passwort-Mindest-Länge.
  • So können Sie nicht z.B. alle 6 Zeichengruppen (Klein-, Großbuchstaben, Zahlen, Leerstelle, Symbole und deutsche Umlaute) auswählen und dann ein Passwort mit nur 1-5 Zeichen Länge erstellen lassen.
  • Die Berechnungszeit für das Passwort verlängert sich durch die Option muss erheblich.
  • Je kürzer Ihr Passwort ist, und je mehr Zeichengruppen Sie erzwingen, die mit mindestens 1 Zeichen im Passwort vertreten sein müssen, desto unsicherer wird Ihr Passwort. Wenn Sie als IT-Mitarbeiter z.B. die Leerstelle im Passwort erzwingen, dann weiß bei einem kurzen Passwort der Hacker dies und braucht nur noch die Stelle zu finden. Wer jemals Superhirn (Mastermind) gespielt hat, weiß, wovon ich spreche.
  • Hier ein fiktives und ganz einfaches Denkbeispiel: Man erzwingt, dass Zahlen und die Leerstelle im Passwort vorkommen müsse, und erlaubt zweistellige Passwörter: Eine der beiden Stellen im Passwort ist also die Leerstelle. Daraus folgen 2 denkbare Möglichkeiten: Die Leerstelle befindet sich entweder an der ersten, oder an der zweiten Stelle des Passwortes. Es bleiben nun nur noch 10 Zahlen. Im Ergebnis ergibt dies 2*10 = 20 Wahrscheinlichkeiten. - Hätte man hingegen einen eigenen Zeichensatz von sagen wir der Einfachheit halber 100 Zeichen zusammengestellt (Sie können sogar viel mehr Zeichen in diesem Passwort-Generator verwenden), dann hätten Sie 100*100 = 10.000 mögliche Belegungen für dieses zweistellige Passwort. - Sie erkennen selbst, wie sehr Sie sich mit dieser Zusatzfunktion muss enthalten das eigene Passwort schwächen.
  • Wer diese Option muss wählt, sollte aus Sicherheitsgründen ein mindestens doppelt so langes Passwort wählen. Bei maximal 6 ausgewählten Zeichen-Grundmengen wären dies mindestens 12 Stellen. Und exakt das erzwingt dieser Passwortgenerator.
  • Dass viele IT-Betreuer dennoch verschiedene Zeichengruppen verlangen, liegt einerseits an über Jahre hinweg kolportierten Missverständnissen (siehe unten) und an der menschlichen Faulheit der Anwender. Die meisten Anwender hassen Passwörter. Ohne Zwang würden die meisten so etwas wie 1234 oder qwer eingeben.

Mischen

• Ausgehend von der logischen Tatsache, dass bekannte Rahmenbedingungen etwas vorhersagbar = vorausberechenbar machen fordern manche Kryptographen das Mischen / Umstrukturieren der Basismenge - also des verwendeten Zeichensatzes.
• Der mathematische, statistische, physikalische und logische Hintergrund besteht in der Tatsache, dass die Rahmengbedingungen ein Ergebnis determinieren. Kennt man nun alle oder zumindest viele Rahmenbedingungen, so kann man etwas (ein Ereignis oder Ergebnis) relativ treffsicher voraussagen.
• Dies geht sogar extrem weit: Kennt jemand die exakten physikalischen Eigenschaften bis hin zur Form des Würfels, den Winkel im Raum, mit dem er geworfen wird, der Kraft, mit der er geworfen wird, die Eigenschaften des Raumgases, in welchem er geworfen wird, der auftreffenden Oberfläche, auf der er auftrifft und ausrollt, inklusive der Reibungswerte etc., so könnte man erstaunlich treffsicher das Ergebnis voraussagen.
• Während man dies bei einem Menschen beim Würfeln nicht weiß, da er z.B. überhaupt nicht in der Lage ist, etwas konstant zu wiederholen, bleibt Würfeln de facto kryptografisch sicher.
• Anders sieht es hingegen bei logisch und systematisch, immer gleich arbeitenden Computern aus.
• Angenommen der Basiszeichensatz wäre (wie bei vielen Programmierern) streng logisch aufgebaut - zuerst aufsteigend alle Zahlen, dann aufsteigend alle Kleinbuchstaben, dann aufsteigend alle Großbuchstaben, also etwa exakt so: 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ, dann besäße der Hacker bereits einen Bestandteil der Rahmenbedingungen. Kommen noch andere Details hinzu, wie z.B. über das Datum mit der aktuellen Tageszeit gestartete (unsichere) Verschlüsselungen (früher üblich), dann wäre es in der Tat relativ einfach, das Passwort schnell zu errechnen.
• Primär habe ich bereits diese obige Anordnung des Zeichensatzes durchbrochen und gebe meine variable Reihenfolge nicht preis.
• Ferner halte ich diese Vorsichtsmaßnahme nicht für erforderlich, da der Zufallsgenerator bereits kryptografisch (CSPRNG - cryptographically secure pseudo-random number generator) sicher ist. Aber es schadet auch nicht.
• Um somit die höchsten Ansprüche zu erfüllen, bietet dieser Passwort-Generator zusätzlich auch noch die Möglichkeit, jedes Mal die Basismenge der verwendeten Zeichen durcheinander zu mischen.

Weitere Funktionen des Passwort-Generators

• Jede Ihrer einmal getätigten Einstellungen (gedrückte Radio-Schalter sowie gesetzte Auswahlhäkchen) wird übernommen und somit für weitere Versuche beibehalten.
• Im Gegenzug bedeutet dies jedoch auch, dass Sie Einstellungen selbst wieder zurücknehmen müssen, sofern Sie andere Einstellungen für weitere Passwörter wünschen.

Allgemeine Hinweise zu Passwörtern und deren Verwahrung

Der Angriff

Es finden sich de facto unendlich viele Möglichkeiten, ein fremdes, unbekanntes Passwort herauszubekommen. Die wichtigsten Gruppen seien kurz erwähnt:

• Die einfachste und häufigste Methode besteht darin, ein Passwort durch eine Vielzahl an automatisierten Anmeldeversuchen zu erraten resp. systematisch zu ertesten.
  • Folglich wird die offizielle Eingabemaske des Dienstes / Kontos mit unzähligen Anfragen getestet. Dazu gibt es spezielle Programme, die auf Hochgeschwindig­keitsservern laufen, die über Glasfaser sehr schnell an das Internet angeschlossen sind.
  • So etwas nennt man einen Brute-force-Angriff, bei dem rohe Gewalt = Rechenleistung eingesetzt wird. Allerdings ist der Ausdruck unglücklich, da heute hochintelligente Software bis hin zu KI (Künstlicher Intelligenz) verwendet wird.
  • Sie selbst als einzelner Anwender können sich in der Regel nicht dagegen wehren. Sie erfahren es nicht einmal. Die Abwehr derartiger Angriffe obliegt dem Betreiber des Dienstes. Er muss seinen Zugang überwachen und mehrfache falsche Eingaben der Zugangsdaten vermerken sowie ab einer gewissen Anzahl blockieren.
  • Anders sieht es bei allen Geräten aus, die sich bei Ihnen befinden - also Ihr PC, Laptop, Tablet, Smartphone etc. Dort müssen Sie selbst einen Schutz einbauen - und / oder das Gerät sicher verwahren.
• Die Kriminellen können auch den Dienstleister selbst angreifen.
  • D.h. sie testen nicht in der Login-Maske des Anbieters ein einzelnes Passwort eines einzelnen Nutzers aus, sondern sie wollen möglichst viele oder sogar alle Passwörter aller Nutzer stehlen.
  • Dazu greifen sie den gesamten Server an oder sogar die Back-end-Systeme des Anbieters.
  • Das könnte im Prinzip der Anbieter erkennen und bekämpfen. Allerdings zeigen viele Beispiele aus der Vergangenheit, dass selbst große und vermögende Anbieter mit ausreichend IT-Personal keinen ausreichenden Schutz aufbauen, um Hackerangriffe wirklich abzuwehren.
  • Zahlreiche Sicherheitsexperten haben inzwischen den Eindruck gewonnen, dass manche Firmen einen derartigen Hackerangriff wissend in Kauf nehmen, um Kosten zu sparen. Tritt der Schadensfall ein, wird alles vertuscht. Niemand wird Sie als Betroffenen darüber informieren, auch wenn es inzwischen eine Meldepflicht dazu gibt. Kommt es dann doch irgendwann heraus, wird alles erfahrungsgemäß abgestritten und die Rechtsanwälte treten mit teuren einstweiligen Verfügungen gegen die Geschädigten auf den Kampfplatz.
• Eine weitere sehr beliebte Methode ist das Phishing:
  • Dabei wird Ihnen eine E-Mail zugeschickt, die so aussieht, als ob sie vom echten Dienstleister kommt. Aber in Wirklichkeit ist alles (fast) perfekt gefälscht.
  • In der E-Mail werden Sie aufgefordert, einen Link anzuklicken und zur Sicherheit in das dort erscheinende Feld Ihre persönlichen Eingabedaten zur Überprüfung einzugeben.
  • Oder Sie werden aufgefordert, aus Sicherheitsgründen sofort ein neues Passwort in die Maske einzugeben, um ein angeblich altes gehacktes Passwort zu ersetzen.
  • D.h. Sie selbst liefern den Hackern freiwillig und aktiv die korrekten Daten.
  • Kein seriöser Anbieter verschickt solche E-Mails, noch verlangt er so eine Sicherheitsangabe.
  • Geben Sie grundsätzlich Zugangsdaten nur in die dafür vorgesehene offizielle Eingabemaske ein.
  • Klicken Sie deshalb auch niemals auf Links in E-Mails, deren Absender Sie nicht hundertprozentig kennen und deren Zusendung Sie zuvor persönlich aktiv angefordert haben. Und selbst dann sollten Sie die offizielle Adresse besser manuell in den Browser eintippen - Der Haken liegt hier nämlich im Detail: So kann der in der E-Mail sichtbare Link korrekt sein (https://www.meineBank.de). Aber der real verlinkte unsichtbare Code kann zum Hacker gehen (https://www.falschePseudo-Bank.de).
• Eine etwas aufwändigere Methode ist das Pharming:
  • Dabei wird ein kompletter Internet-Auftritt umgeleitet. Das Duplikat ist meist perfekt gefälscht - teilweise inklusive HTTPS-Zertifikat.
  • Technisch werden hierbei meist die DNS angegriffen. Das sind die Verzeichnisse, welche einem Namen (z.B. Controlling21.de) einer IP zuweisen. Derartige Veränderungen sind leichter als viele Anwender denken, da nicht selten die Betreiber jener DNS-Server beteiligt sind.
  • Der Anwender kann den Unterschied der gefälschten Seite zum Original oft nicht erkennen, da alles korrekt und grün leuchtend ist. D.h. er gibt vertrauensvoll alle Zugangsdaten ein. Erst danach dürfte es Probleme geben, da manche Daten im Innern nicht verfügbar sind oder nicht zutreffen. Aber mit einem Hinweis - nach dem Einloggen - auf derzeitige Wartungsarbeiten geben sich die meisten Anwender zufrieden. Die Zugangsdaten sind dann aber bereits in falschen Händen.
  • Je nach Aufmerksamkeit der Betreiber des ursprünglichen / originalen Auftrittes kann es Stunden, Tage oder Wochen dauern, bis so eine oft weltweite Umleitung auffällt.
  • Ferner kann man auch den PC des Anwenders bereits attackieren und von dort alles auf gefälschte Seiten umleiten. D.h. obwohl Sie korrekt die Adresse www.Meine-Bank.de in den Browser eintippen, gelangen Sie zur gefälschten Bank.
  • Gegen die banalsten Angriffe auf den eigenen PCs mit dieser Umleitungstechnologie können aktuelle Antiviren-Programme helfen.
  • Aber ein Angriff auf den heimischen Router - die Zigarrenkiste mit Anschluss zum Internet - kann ein normaler Anwender nicht abwehren. Hier hilft nur die neueste (hoffentlich sichere) Firmware des Herstellers. Sorgen Sie folglich dafür, dass Sie nur neueste Router mit aktueller Firmware verwenden. Es ist hierbei eine unverzeihliche Sünde, gebrauchte alte Geräte irgendwo zu kaufen.
    Und ändern Sie im Router das Zugangs-Passwort in ein wirklich langes ab.
    P.S.: Vor allem WLAN-Router sind kaum vor diesen Angriffen zu schützen.
• Eine weitere Methode ist das Abhören des Internets.
  • Dabei hängt sich jemand zwischen Sie und den Dienstleister und liest alles mit, was Sie eintippen und verschicken.
  • D.h. der Lauscher erhält so Ihre Zugangsdaten.
  • Dies erfolgt heute im Übrigen automatisch. Da sitzt niemand mehr am Telefon oder am PC. Eine Software hackt sich an einem Internet-Knoten ein und liest Gigabyte an Daten mit, wobei es nur die wichtigen Zugangsdaten herausfiltert und automatisch an den Hacker liefert.
  • Davon erfahren Sie als Anwender nichts. Auch der Betreiber / Anbieter des Dienstes erfährt in der Regel nichts davon.
  • Eine minimale Sicherheit bieten - wie hier auf diesem Auftritt verwendet - die Verschlüsselung mittels HTTPS. Dabei wird fast die gesamte Kommunikation zumindest etwas verschlüsselt betrieben. Aber auch dies wurde alles schon vor Jahren erfolgreich gehackt. Derartige Verschlüsselung hält weder Geheimdienste noch organisierte Kriminelle auf.
• Die einfachste und aus Sicht des Hackers umfassendste Methode ist die Bestechung.
  • Sie glauben nicht, wie viele unzufriedene und schlecht bezahlte IT-Service-Mitarbeiter/innen für Geld einen kompletten unverschlüsselten Datenauszug der gesamten Datenbank des Anbieters mal schnell in der Nacht oder sogar dreist am hellen Tag auf eine externe Festplatte oder einen USB-Stick kopieren.
  • In der Regel wird weder der Dienstleister noch Sie als Anwender je davon erfahren. Und selbst, wenn ziemlich klar nachgewiesen werden kann, dass der Anbieter mit seinem Personalwesen und seiner Aufsicht geschlampt hat, wird er es in fast allen Fällen ableugnen und vertuschen.
• Hinzu kommen inzwischen natürlich (wie bei Facebook) sogar die Firmen selbst, welche hemmungslos ihre Kundendaten an Dritte verkaufen. Und wie man sieht, wird selbst die Weitergabe von Millionen Datensätzen nicht bestraft.

Fazit:

• Es existiert kein 100-prozentiger Schutz vor Identitätsdiebstahl. So nennt man den Diebstahl Ihrer Zugangsdaten.
• Schätzen Sie die externen Risiken sowie die Wirkungen Ihrer Gegenmaßnahmen realistisch ein.
• Panik ist unangebracht.
• Aber allzu leicht sollte man es den Kriminellen auch nicht machen.

Missbrauch

• Der Missbrauch der so erhaltenen Passwörter geschieht oft unauffällig.
• Nur in den seltensten Fällen wird der Hacker Ihnen sofort sichtbaren schweren Schaden zufügen. Denn dann würden Sie ebenso schnell und ebenso heftig mit massiven Schutzmaßnahmen reagieren resp. die Provider, Polizei etc. würden es für Sie tun. D.h. Sie werden ganz selten ausgesperrt, das E-Mail-Postfach gelöscht oder gesperrt, der PC zerstört resp. lahmgelegt oder Sie sofort finanziell geschädigt.
• Viel eher liegt den Dieben am Langzeiterfolg des Identitätsdiebstahls. D.h. der Kriminelle möchte Ihre Daten sowohl selbst lange aktiv und heimlich nutzen, als sie auch an Dritte weiterverkaufen.

Erhöhte Vorsicht

• Wie Sie inzwischen erkannt haben, gibt es meist keine klare Ansage: Sie wurden gehackt.
• Daraus folgt, dass man generell im Internet - wie auch im allgemeinen Leben - hellhörig sein sollte.
• Ja, Sie sollten das Gras im Internet wachsen hören. Aber den ersten Grashalm sollten Sie nur genau beobachten und dann beim zweiten Grashalm schnell handeln.
• Ein Passwort ist schnell geändert. Und danach hat man meist wieder lange Ruhe.
• Überdies finden sich Testwerkzeuge im Internet, welche inzwischen gesammelte und gefundene Daten gehackter E-Mail-Adressen und Passwörter auflisten.
  • ';--have i been pwned? - Wurde ich kompromittiert? - Test von gehackten E-Mail-Adressen
  • Pwned Passwords - Wurde mein Passwort kompromittiert? - Test von gehackten Passwörtern
  • Identity Leak Checker des Hasso-Plattner-Institut (HPI) - Wurden Ihre Identitätsdaten ausspioniert?
  • Ja, Sie sollten dort einmal hineinschauen.
  • Nein, Panik ist unangebracht.
  • Das Problem liegt darin, dass dort auch uralte Daten aufgelistet werden. So finden sich dort auch einige meiner alten E-Mail-Adressen. Aber die dazu von mir heute verwendeten Passwörter finden sich dort nicht. D.h. es bestand zwar früher eine Gefahr, aber nicht mehr heute.
  • Überdies wird das Ergebnis der Werkzeuge oft falsch interpretiert. In der Regel ist damit nicht ausgedrückt, dass Ihre E-Mail-Adresse und somit Ihr Postfach geknackt wurden, sondern nur, dass irgendwo ein Passwort gefunden wurde, das Sie vermutlich mit der E-Mail-Adresse (als Benutzerkennung) in einem Shop verwendet haben. Auch das stellt eine Gefahr dar, aber nicht zwingend den GAU.

Schutzmethoden

Es existieren viele Passwortmethoden:

Satz

• Die einfachste und am leichtesten zu merkende lange Zeichenkette besteht aus einem Satz.
• Theoretisch ist jeder Satz in jeder Sprache denkbar. Siehe jedoch Umlaute und Sonderzeichen oben.
• Allerdings sollte der Satz keine allgemein bekannten Phrasen enthalten, wie z.B. weltberühmte Zitate von Shakespeare, Schiller, Goethe etc. Diese werden inzwischen von allen Passwort-Knack-Programmen ausprobiert.
• Ferner sollte man keine Wörter aus dem eigenen Umfeld verwenden: D.h. eigene Namen, Kindernamen, Hunde- und Katzennamen, die eigene Straße, die Postleitzahl, der Wohnort oder die eigene Automarke sowie der Firmenname gehören nicht hinein.
• Aber Sätze mit nicht existentem Inhalt sind hilfreich: UnserenUrlaubimJahr2013wolltenwireigentlichinSpanienverbringen. Ohne Leerzeichen, da viele Systeme keine Leerstellen akzeptieren.
• Ich empfehle generell, die Klein- und Großschreibung zu beachten, damit auch große Buchstaben hineinkommen. Das erhöht zwar nicht die Sicherheit, aber es ist hilfreich, sich zum Memorieren der exakten Schreibweise der Sätze an den Duden zu halten.
• Ferner sollten sich Zahlen im Satz befinden. Auch das erhöht nicht die Sicherheit, ermöglicht so jedoch auch kürzere Passwörter.
• Die letzten beiden Faktoren erhöhen zwar nicht die Sicherheit. Aber sie werden inzwischen von vielen Firmen im Passwort zwingend verlangt.
• Allerdings geraten Wörter, die in Wörterbüchern stehen, zunehmend in Verruf, da moderne Knack-Software diese Lexika komplett integriert haben und systematisch abarbeiten. Mit künstlicher Intelligenz geht das bei logischen Sätzen sogar erstaunlich schnell.

Würfeln / Dicing

• Diese hochsichere Methode wurde 1995 von Arnold Reinhold erfunden.
• Man würfelt sich anhand von Wortlisten das Passwort zusammen.
• Wortlisten finden Sie überall unter dem Stichwort Dicing im Internet. Hier ist z.B. eine umfangreiche deutsche Liste.
• Nun benötigen Sie nur noch einen klassischen Würfel und müssen immer 5 Mal würfeln, um ein Wort zu erhalten. Dabei schreiben Sie sich jeden gewürfelten Zahlenwert auf. Also z.B. 62542.
• Vorsicht: Es existieren auch kurze Wortlisten mit nur 1.296 Wörtern. Dabei muss man zwar nur 4 Mal für ein Wort würfeln und man kann sich die Wörter wie auch die gesamte Phrase leichter merken. Aber die Sicherheit ist auch geringer.
• Nun schlagen Sie diese 5-stellige Zahl in der Liste nach und erhalten ultimo oder Ultimo.
• Das machen Sie nun so lange, bis Sie Ihre Passwortlänge erreicht haben.
• Das ergibt definitiv eine Wortfolge, die nicht erratbar ist, weil Sie in keiner Sprache vorkommt.
• Mittels einer lustigen (Bild-) Geschichte kann man sich die vielen gewürfelten Wörter dann gut merken.
• Das sicherheitstechnische Problem bei dieser Würfeltechnik liegt darin, dass die Würfel-Tabellen mit den Ergebnis-Wörtern alle im Internet veröffentlicht sind. Sie umfassen 6 hoch 5 = 7.776 Phrasen / Wörter. D.h. die Hacker kennen sie alle. Deshalb sind deren Wörter auch alle bereits in die Hack-Werkzeuge integriert und bilden eine leichte Beute. Man kann sich Zwar selbst eigene Wortlisten herstellen. Aber das ist für die meisten Menschen zu umständlich.
• Inzwischen rät der Erfinder dieser Methode dazu, mindestens 6 Wörtern (77 Bit, durch Leerstellen voneinander getrennt) hintereinander zu einer Phrase zu verbinden, damit das Passwort als sicher gilt.
• Manche Leser mögen nun den Kopf schütteln und fragen, warum man manuell würfeln soll.
  • Die Antwort liegt darin, dass Computer logisch nach mathematischen Regeln vorgehen. D.h. die meisten angebotenen Software-Generatoren arbeiten de facto pseudo-zufällig. Die ausgewählten Zeichen sehen zwar zufällig aus, sind jedoch logisch und können von logisch denkenden Menschen resp. anderen Computern durchaus schnell mathematisch wieder errechnet werden.
  • Für Interessierte: Die meisten Generatoren arbeiten mit dem aktuellen Datum und der Uhrzeit als Startwert. Wenn jemand auch nur ungefähr weiß, wann Sie Ihr Passwort erstellt haben, so kann er es erstaunlich schnell errechnen.
  • Deshalb hat man in den 1990er Jahren tatsächlich eher das manuelle Würfeln bevorzugt, auch wenn die Würfel verbeult sind und nicht wirklich absolut zufällige Ergebnisse produzieren.
  • Heute finden sich einige moderne Versionen von Software-Verfahren (cryptographically secure pseudo-random number generators = CSPRNG, auch cryptographic pseudo-random number generator = CPRNG), welche die Anforderungen an kryptische Zufälligkeit hinreichend erfüllen. Sie tun es, indem sie die Entropy - die Unwahrscheinlichkeit einer Voraussage - erhöhen. Dazu verwenden sie unvorhersagbare Ereignisse. Diese verlängern jedoch die Zeitdauer zur Passworterzeugung etwas. Mein Passwort-Generator entspricht dieser höchsten Sicherheitsstufe. Das minimal längere Warten auf das sichere Ergebnis sollte es einem Wert sein.
  • Allerdings lassen sich nur wenige anderen Software-Anbieter hierzu aus. D.h. bei vielen im Internet auffindbaren Passwort-Generatoren bleibt es eine Vertrauensfrage.
  • Würfeln können Sie jedoch selbst. Und sich selbst werden Sie hoffentlich vertrauen.

Anfangsbuchstaben der Wörter eines Satzes

• Dieses Verfahren wurde Anfang der 1980er Jahre von mir in England konzipiert und in den letzten Jahrzehnten von so vielen Sicherheitsberatern kopiert (sowie als ihr eigenes System verkauft), dass es eigentlich bekannt sein sollte.
• Sie denken sich einen möglichst langen Satz aus und nehmen davon jeweils den ersten Buchstaben der Wörter.
• In meiner Kindheit ging ich mit meinem Bruder oft in Köln an das Rhein-Ufer: --> ImKgimmBoiKadRU
• Um die faktischen Anforderungen an moderne Passwörter zu erfüllen, können Sie zahlreiche Dinge wie Jahreszahlen oder Wörter wie Nicht oder Nie durch Zahlen ersetzen. Selbst Worte wie Neu oder Nein lassen sich durch die Zahl 9 ersetzen. Im Englischen ist es üblich, 4 für for also an Stelle des deutschen Wortes für zu verwenden. Seien Sie etwas kreativ. Das kann sogar Spaß machen.
• Seit wir 2014 nach Berlin umgezogen sind, rudern wir fast nie mehr auf dem Bodensee: --> Sw14nBusrwf0madB

Änderungshäufigkeit

• Bis heute verlangen die meisten publizierenden / schreibenden Sicherheitsberater, dass man ständig das für einen Zugang verwendete Passwort ändern sollte.
• Dass dadurch die Sicherheit erhöht würde, gehört ebenfalls zu den Mythen.
• Ein Passwort-System muss so konzipiert sein, dass nach wenigen (meist dreimaligen) Falscheingaben der Zugang für eine erhebliche Zeit gesperrt wird. Nur dies reduziert die Wahrscheinlichkeit, binnen kurzer Zeit ausgeforscht zu werden.
• Daras folgt, dass ein Passwort so lange sicher ist, bis es geknackt wurde.
• Vorher muss man es im Grunde nicht ändern.
• Das menschliche Problem liegt nämlich darin, dass die meisten Anwender durch den Zwang, das Passwort ständig ändern zu müssen, sehr gefährliche Dinge machen:
  • So hängen die meisten Nutzer einfach eine Zahl hinten dran. Reiner45 ist jedoch nicht sicherer als Reiner10.
  • Auch die minimale Änderung der Groß-Klein-Schreibweise ändert kaum etwas. So ist KlarA genauso unsicher wie Klara.
• Nur wenn man sich jedes Mal völlig neue und komplett anders ausgerichtete Passwörter einfallen lässt, erhöht sich die Sicherheit minimal.
• Ferner haben Psychologen festgestellt, dass der Zwang zur ständigen Änderung dazu führt, dass die Anwender fast immer ein sehr einfaches = schwaches Passwort auswählen. Die Begründung / Rechtfertigung lautet dann fast immer: Es muss ja nur für ein paar Tage halten.
• Falsch: Einfache Passwörter sind binnen Sekunden geknackt.
• Lange Passwörter hingegen können viele Jahre selbst mit modernster Software und Hochleistungs-Hardware nicht geknackt werden.

Fazit:

• Suchen Sie sich ein langes = sicheres Passwort aus.
• Behalten Sie es so lange, bis Sie den Verdacht oder den Nachweis eines Angriffes haben.
• Ändern Sie das Passwort dann sofort in ein neues mindestens so sicheres = langes Passwort.

Zwei-Faktor-Authentifizierung

• Hierfür benötigt man zwei völlig voneinander unabhängige Zugangsmedien
• Man kennt dies aus dem Bankbereich: Z.B. die Bankkarte und den vierstelligen PIN-Code. Oder das Online-Passwort und die Überweisungs-TAN der Bank auf das Smartphone / Mobiltelefon als SMS geschickt resp. die TAN vom Papier abschreiben, oder die Gesichtserkennung mittels Smartphone-App resp. den eingescannten Fingerabdruck.
• Die erhöhte Umständlichkeit wäre sicherlich zu verschmerzen und wird bei Bankgeschäften hingenommen.
• Bei vielen Shops im Internet kommt jedoch ein gerne übersehener Aspekt des Datenschutzes hinzu: Sie geben dem Shop (meist im Ausland) Ihre Telefondaten, Ihr Foto vom Gesicht, Ihren Fingerabdruck etc. Wollen Sie dies wirklich? - Nochmals zur Klarstellung: Fast alle Daten werden im Ausland gespeichert oder ins Ausland transferiert. Kaum jemand hält sich de facto an den deutschen Datenschutz. Und selbst wenn die Firma es behauptet, dann wird sie entweder von eigenen Mitarbeitern datenmäßig ausgeplündert oder schlichtweg intern oder extern gehackt. Dann sind auch diese viel sensibleren Daten in fremde Hände gelangt.
• Verlorengegangene / publizierte Passwörter kann man binnen Minuten selbst ersetzen. Gesichtsoperationen sind langwierig sowie teuer und Fingerabdrücke lassen sich kaum langfristig ändern.
• Generell rate ich nur zur Zwei-Faktor-Authentifizierung (2FA), wenn die andere Seite Ihnen weitere Daten zur Authentifizierung anbietet. Aber auf keinen Fall sollten Sie fremden Firmen von sich aus eigene Körperdaten aushändigen.
• Auch bei Zusatzfragen sollten Sie eher die Unwahrheit angeben, als wahre Auskunft über Ihre Familien- oder Wohnverhältnisse machen. Überlegen Sie sich genau, was Sie wem preisgeben.

Zwei Zugangsdaten

• De facto ist es üblich, dass man zwei Zugangsdaten angeben muss, um sich einzuloggen:
  1. Die Benutzer-Kennung, sowie
  2. das Benutzer-Passwort
• Früher waren dies zwei jeweils unterschiedliche Dinge, welche sich gegenseitig in der Sicherheit verstärkten.
• War die Benutzerkennung bereits zehnstellig und schwer zu erraten, so wurde dadurch das Passwort nochmals schwerer zu erraten. Das Problem liegt darin, dass es immer um die Potenzen geht.
• Deshalb lautet die Empfehlung, wo immer möglich, eine eigene ebenfalls hochkomplexe (z.B. mit meinem Passwort-Generator erzeugte) Benutzerkennung zu erstellen und dazu nochmals ein ebenfalls hochkomplexes Passwort.
• Heute ist es jedoch oft möglich und fast immer von den Anwendern gewünscht, die E-Mail-Adresse zu verwenden, um die Benutzerkennung zu ersetzen.
• Diese E-Mail-Adresse ist jedoch definitiv irgendwo im Internet auffindbar. Somit stellt sie keinerlei Schutz an sich dar. Es sei denn, Sie verwenden für jedes Konto eine eigene kostenlose Wegwerf-E-Mail-Adresse.
• Nochmals: Sie schwächen mit der E-Mail-Adresse als Benutzerkennung die Sicherheit des Gesamtzugangs um Potenzen.
• Selbst auf den ersten Blick so unsinnige Dinge wie die Kundennummer oder Pseudonyme aus der Astronomie oder Mythologie sind als Benutzerkennung viel sicherer als die eigene E-Mail-Adresse.
• Ferner wurde inzwischen auch auf allen Systemen nachgewiesen, das sogenannte biometrische Daten (Gesichtserkennung, Irisscann, Fingerabdruck, Herzschlagfrequenz, Lächeln, Venenerkennung etc.) nachgemacht und gefälscht werden können. Es ist somit ein Mythos, dass biometrische Passwörter sicherer wären.

Für jedes Konto / für jeden Dienst ein eigenes Passwort

• Die Faulheit ist die derzeit größte Gefahr weltweit: Die meisten Menschen besitzen heute viele Konten weltweit, aber verwenden dafür nur ein überall identisches Passwort.
• Ist auch nur das schwächste Glied in der Kette gehackt, dann sind alle Konten offen. Normalerweise werden die kleinen Shops öfter geknackt. Mit Ihrer E-Mail-Adresse als Benutzerkennung und dem einen Passwort kann der Kriminelle Ihr gesamtes digitales Leben aushebeln.
• Deshalb legen Sie sich immer für jedes neue Konto bei jeder Firma etc. ein neues Passwort - und sofern es geht (siehe oben) - auch eine neue Benutzer-Kennung zu.

Zugangsdaten merken

• Als man vor Jahrzehnten nur einen einzigen PC besaß und nur dafür sich ein Passwort merken musste, war es bereits für viele zu aufwändig und sie schrieben sich die Daten auf einen Post-it und klebten es an den Monitor oder unter die Tastatur.
• Heute ist es selbst für Gedächtnisakrobaten zunehmend schwer geworden, sich für 10-100 Zugangskonten die jeweils zwei Zugangsdaten korrekt zu merken. Dies gilt besonders für Konten, die man eher selten verwendet.
• Hier hilft de facto nur noch das Aufschreiben.
• Aber wie sichert man die Aufschriebe?

Passwort-Manager

• Synonyme für Passwort-Manager sind: Sichere Passwort-Datenbank, Secure password database, Passwort-Tresor, password safe, Kennwortverwaltung, Kennwortverwaltungsprogramm, Kennwortverwalter, Passwortverwalter, Passwortverwaltung.
• Seit einigen Jahren werden die Passwort-Manager überall empfohlen.
• Die zweifachen Probleme bei Passwörtern - deren Wahl und deren Verwaltung - durch Menschen sind anfällig. Beides wollen Passwort-Manager beheben.
• Überall finden Sie (teilweise kostenpflichtige) Tests und Empfehlungen sogar für viele kostenlose Programme für den PC und Apps für das Mobiltelefon.
• Die Funktionsweise der Passwort-Manager ist einfach: Sie benötigen nur noch ein zentrales Master-Passwort, um diese Datenbank mit allen Passwörtern zu öffnen.
• Die Sicherung ist einfach, da alle darin eingegebenen Daten verschlüsselt werden.
• Praktisch alle Passwort-Manager beherrschen inzwischen moderne Verschlüsselungsalgorithmen wie AES-256 und PBKDF2.
• Das scheint das perfekte System zu sein - die perfekte Lösung aller Sicherheitsprobleme! - Wirklich?
• Der Passwort-Manager ist eine Software. Keine Software ist sicher, vor allem angesichts der zunehmend schlampigeren Programmierung mit objektorientierten Sprachen in weltweit verteilten Programmiergruppen. D.h. diese Software kann nicht nur geknackt werden, sondern sie wird irgendwann geknackt. Dies wurde in den vergangenen Jahren für fast alle Passwort-Manager in Tests nachgewiesen. D.h. die Software muss von Ihnen als Anwender ständig aktualisiert werden, damit sie immer sicherer wird.
• Wenn Ihr Master-Passwort schwach ist, dann kann man alle anderen Passwörter schnell auslesen.
• Falls Ihr Master-Passwort stark ist, und Sie es vergessen, dann kommen Sie nicht mehr an die anderen Passwörter heran. Sie haben sich erfolgreich komplett ausgesperrt. Sobald Ihnen dann der Hersteller Hilfe anbietet, dann wissen Sie auch offiziell definitiv, dass er ein Hintertürchen einprogrammiert hat.
• Auch auf die Gefahr hin, dass Sie jetzt lachen: Datenbanken sind hochkomplex, sowohl in der Programmierung als auch im Betrieb.
  • Dabei spreche ich aus jahrzehntelanger Erfahrung in großen Firmen mit qualifizierten Datenbank-Spezialisten und viel Geld. So manche Software hat in Zusammenarbeit mit der Datenbank diese derart zerschossen, dass sie nicht mehr repariert werden konnte. Das war dann nicht selten ein Totalverlust. D.h. man musste die letzte Sicherung einspielen.
  • Fast immer kommt es zu gravierenden Problemen mit einer Datenbank, falls Ihnen jemals der PC während des Speichervorganges abstürzt, oder den Strom verliert etc.
  • Zu völlig unvorhersehbaren aber immer katastrophalen Folgen kommt es bei der Datenbank, falls die Festplatte oder die SSD, auf der die Daten gespeichert werden, einen Schreib- / und oder Lesefehler produziert. Zur Klarstellung: Verschlüsselte Daten sind viel empfindlicher gegen jegliche Veränderung als z.B. eine banale lesbare Textdatei oder ein Foto oder Video.
  • Daraus folgt, dass Sie unbedingt regelmäßige externe Sicherungen der Datenbank anlegen müssen. Und selbst dann laufen Sie Gefahr, die neueren Daten, die noch nicht gesichert werden konnten, zu verlieren. Wenn Sie das jeweilige neue Passwort oder eventuell die mehreren neuen Passwörter seit der letzten Sicherung nicht anders notiert haben, sind Sie von den neueren Dienstleistern, bei denen Sie sich erst kürzlich angemeldet haben, ausgesperrt.
• Falls Sie ein Opfer eines Trojaners (auch der eigenen nationalen Sicherheitsdienste) werden, dann sind Passwort-Manager keine Hürde.
  • Ein Trojaner ist ein Spionageprogramm, das man Ihnen irgendwie auf dem PC, Laptop, Tablet, Smartphone etc. installiert hat, oder das Sie sich sogar unwissend selbst heruntergeladen und installiert haben.
  • Damit ist eines Ihrer Basissysteme (Layer der 7-Ebenen-Topologie) infiziert. Es ist deshalb gleichgültig, wie hochsicher der Rest noch arbeitet.
  • Erstens gibt es für alle diese Sicherheitssoftware = Passwort-Manager Hintertürchen, welche die Geheimdienste seit 2001 fordern, damit die Software überhaupt vertrieben werden darf. - Manche Anbieter werben sogar explizit damit, dass ihre Software interessante Mechanismen bietet, um selbst bei vergessenem Master-Passwort wieder an alle eigentlich sicher verschlüsselten Einzel-Passwörter zu gelangen.
  • Zweitens liegen Ihre Passwörter bei jeder Verwendung im Prozessor selbst immer in Klarschrift vor. Dort werden sie schnell abgegriffen. Es ist ganz einfach, etwas aus dem riesigen Datenstrom herauszufischen, wenn man weiß, wonach man suchen muss. Denn per Definition müssen sich die Passwort-Manager im Prozessor zu erkennen geben.
  • Ferner dürfte auch jedem verständlich nachvollziehbar sein, dass jede Eingabe von Passwörtern durch die Tastatur oder Sichtbares auf dem Monitor in Klartext vorliegt und von Trojanern mitgelesen werden kann. Dies gilt ganz besonders für das zwangsläufig immer einzugebende Master-Passwort für den Passwort-Manager. - In Klartext: Sofern Sie derartige bösartige Software auf Ihrem PC haben, die alles mitschneidet, erhalten die Hacker das Masterpasswort und damit Zugang zu allen anderen Passwörtern.
• Da grundsätzlich alles - jedes Passwort - zur Verwendung zuvor in Klarschrift in den RAM / Zwischenspeicher geladen wird, kann es dort auch von einer Fachkraft, welche Zugriff auf das Gerät erhält, ausgelesen werden, ohne dass man das Master-Passwort benötigt.
  • Dagegen kann man sich nur wehren, indem man die Zwischenablage am PC regelmäßig leert.
  • Manuelle Anleitungen dafür finden Sie u.a. hier.
  • Ferner existieren dazu inzwischen Software-Anwendungen, wie das kostenlose CCleaner, das ich jedem sowieso empfehle.
  • Bei manchen Passwort-Managern kann man inzwischen auch das sogenannte Swapping ausschalten. D.h. sie speichern dann zumindest die Klartext-Passwörter nicht mehr auf der Festplatte zwischen.
• Hinzu kommt, dass bei allen Hackerangriffen auf den eigenen PC resp. auf das eigene Smartphone heute ganz gezielt zuerst diese Passwort-Manager und deren Datenbanken gesucht werden.
  • Die Hacker sind weder dumm noch fleißig. Sie machen sich die Arbeit ganz einfach.
  • Hierbei handelt es sich um das altbekannte Prinzip des Safes: Wer sich einen Safe kauft und in seine Wohnung / sein Haus einbauen lässt, der besitzt etwas Wertvolles, das er exakt dort schützen will. Es ist seit Jahrzehnten bekannt, dass sich die organsierte Unterwelt alle derartigen Einbauten melden lässt (einkauft), um dann gezielt auf Einbruch zu gehen. D.h. der Besitzer macht sich durch diese Handlung selbst gezielt zum Opfer.
  • Da die Passwort-Manager so bequem sind und allgemein als so sicher gelten, speichern viele Menschen inzwischen dort alles ab: Vor- und Zuname, Adresse, Bank-Konto-Nummern, Kreditkartennummern, PIN, TAN, Telefonnummern, Krankenkassennummern, Sozialversicherungs­nummern, Steuernummern, Software-Seriennummern, Passwörtern für Router und Internet-Anschlüsse, Kalenderdaten, Geburtsdaten auch von Bekannten, Urlaubsdaten, wirklich alles. Exakt das wissen die Verbrecher auch. Deshalb werden diese vermeintlichen Schutz-Programme auch massiv angegriffen.
• Zahlreiche moderne Offline-Anwendungen dieser Passwort-Manager bieten heute die Integration in Browser mittels Plugins und Schnittstellen.
  • Dies erleichtert die Passwort-Erzeugung und -Speicherung, da jedes neue Passwort für jeden neuen Zugang automatisch erzeugt werden kann und im Gesamtverzeichnis aufgenommen wird.
  • Ferner kann man dann auch automatisch aus dem Passwort-Manager bei jedem neuen Login das Passwort automatisch herausholen und übersenden lassen.
  • Das ist schnell und bequem - aber leider nicht sicher, da exakt jene Schnittstellen und Plugins notorisch anfällig sind.
• Darüber hinaus bieten manche Programme sogar einen eigenen Passwortgenerator an.
  • D.h. er nimmt Ihnen die Arbeit ab, ein Passwort sich ausdenken zu müssen. Genial - oder?
  • Woher wissen Sie, dass diese Passwörter wirklich Unikate sind und dass die Passwörter lang und kompliziert genug, also sicher sind?
  • Es besteht immerhin die Möglichkeit, dass man Ihnen nur eine einprogrammierte Untergruppe von - sagen wir nur 50 - vorgegebenen Passwörtern unterjubelt, die der Hersteller alle kennt und genau Ihnen anhand der Seriennummer der Software zuordnen kann.
  • Kurzum: Sie verlassen sich auch hier blind auf die Software und den Hersteller.
• Manche Passwort-Manager bieten einen sogenannten Auto-Password Changer, mit dem das Programm selbst Passwörter automatisch ändern kann.
  • Das klingt zwar hilfreich, da man sich selbst nicht mehr um die laufende Änderung der Passwörter kümmern muss, die bei vielen Dienstleistern ziemlich versteckt und kompliziert ist.
  • Tatsächlich stellt dies jedoch eine Sicherheitslücke dar.
  • Sie verlieren die Kontrolle über die Passwörter. Woher wissen Sie wer, warum, wann die Passwörter wie abändert?
• Manche Passwort-Manager bieten einen sogenannten Notfallzugriff, mit dem man einer dritten Person eine Art Zweitschlüssel für seine Passwörter überlassen kann.
  • Das klingt zwar hilfreich für den Krankheitsfall oder bei einem Unfall.
  • Tatsächlich stellt dies jedoch eine Sicherheitslücke dar.
• Manche Programme beherrschen sogar den Familien- oder Firmenbetrieb, in dem viele Personen alle ihre Daten an einer Stelle zentral speichern können.
  • Ob und in welchen Fällen Sie Passwörter teilen möchten, sollten Sie sich jedoch vorher sehr genau überlegen.
  • Persönlich halte ich es für kritisch.
  • In manchen Fällen machen Sie sich sogar strafbar. So dürfen Sie z.B. keine Berufs- oder Firmenzugangsdaten an Ihre Familie weitergeben oder auch nur in deren Verfügungsrahmen stellen.
• Was mich jedoch viel mehr bei meinen eigenen Untersuchungen der Passwort-Manager irritierte, war der Umstand, dass fast alle diese Software-Tools ständig mit dem Internet Kontakt aufnahmen.
  • Hinzu kommt, dass hierbei fast immer dubiose IP-Adressen im Ausland aufgerufen wurden. Das ist völlig überflüssig. Sicherheit und Persönlichkeitsschutz sieht anders aus.
  • Manche Hersteller geben sogar offen zu, dass sie Nutzungsdaten (was auch immer darunter zu verstehen ist) erheben und sich diese ständig zusenden lassen.
  • Sofern Sie dennoch einen Passwort-Manager verwenden, dann unterbinden Sie zumindest jeden Kontakt (rein wie raus) dieser Software in der eigenen Firewall - jegliche Kommunikation und für immer.
  • Sowohl die Software selbst als auch deren evtl. Updates dürfen Sie sich auch nur von gesicherten und zertifizierten Stellen aktiv selbst holen (keine automatische Aktualisierung), sonst können Sie Wetten darauf abschließen, dass alle Ihre Daten bald kompromittiert sind.
• Bei Passwort-Managern finden sich jedoch auch Online-Varianten.
  • Hierbei speichern Sie alle Zugangsdaten irgendwo im Internet bei einem Anbieter ab.
  • Oft genannte Beispiele hierfür sind Dashlane und LastPass.
  • Der Vorteil liegt darin, dass Sie auf diese Passwörter von überall mit allen Medien (PC, Laptop, Tablet, Smartphone etc.) zugreifen können.
  • Oft werden diese Daten (auch von deutschen Anbietern) im Ausland gespeichert. Dass die jeweiligen Geheimdienste jede Kommunikation im Internet entschlüsseln, dürfte durch die diversen Großprojekte wie Bullrun und Edgehill hoffentlich bekannt sein. Vertrauen Sie der Firma dort? Können Sie ihr überhaupt vertrauen? Denn das, was die Sicherheitsdienste nicht selbst hacken können, verlangen sie einfach per Gesetzt. In den USA ist z.B. jede Firma gemäß Patriot Act (Deutsch, Englisch) immer zur Herausgabe jeder Daten an Sicherheitsdienste gezwungen, und darf darüber weder sprechen noch Sie informieren. Datenschutz hin oder her.
  • Und zur Klarstellung auch hier: Ubiquitärer Zugriff bedeutet zweischneidig, dass auch jeder andere Anwender von jedem anderen Standort der Welt auf diese Daten zugreifen kann, sofern er das Masterpasswort errät, kauft, knackt oder abhört.
  • Fakt bleibt ferner, dass zahlreiche dieser Online-Dienstleister bereits mehrfach erfolgreich gehackt wurden. Die Beteuerung der Betreiber, dass die Diebe mit den riesigen erbeuteten Daten nichts anfangen könnten, ist ein reines Glaubensbekenntnis resp. eine Schutzbehauptung.
• Zumindest sollten Sie Ihren Passwortmanager auf externe Medien sichern.
  • Falls Ihr PC gestohlen wird, oder sich die Festplatte einen Schaden erleidet, dann sind auch alle Passwörter für alle Zugänge verloren. Es nützt Ihnen dann im Praxisleben auch nichts, dass die Daten sicher geschützt sind. Sie sind dann eben weg.
  • Der Sicherheits-Haken liegt jedoch bei den externen Sicherungen. Falls sie in die Hände von Hackern geraten, haben jene alle Zeit der Welt, das Masterpasswort auf ihrem eigenen Hochleistungsrechner zu knacken. Auch im ungünstigsten Fall ist das dann nur eine Frage von Stunden oder Tagen.
• Letztendlich sollten Sie auch bei jeder Software und Dienstleistung die ökonomische Seite beachten:
  • Heute noch kostenlose Software kann morgen Geld kosten.
  • Heute bereits kostenpflichtige Software sowie Internet-Dienstleistungen können sich schlagartig und drastisch verteuern.
  • Haben Sie erst einmal sehr viele Daten und Passwörter darin eingepflegt, steigt der Aufwand beim Wechsel zu einem anderen Anbieter enorm an.
  • Falls die Daten jedoch nur verschlüsselt vorgehalten werden, Sie also nie die Klarschrift selbst sehen können, dann wird sogar ein aufwändiger manueller Wechsel unmöglich. - Und gleich ein deutliches Nein, die meisten Anbieter liefern Ihnen kostenlos keine Konvertier-Software für die Mitbewerber.
  • Ein weiterer ökonomischer Aspekt ist der Bankrott oder Aufkauf des Produktes / der Firma durch andere Firmen. Bei Software entfallen dann die Weiterentwicklung, Fehlerbeseitigung und der Support, wodurch das alte Produkt langsam wertlos wird, weil unsicherer. Bei einem Online-Dienstleister sind im schlimmsten Fall alle Ihre Daten ohne jede Vorwarnung schlagartig nicht mehr zugänglich.
  • D.h. Sie werden ggf. erpressbar.
• Abschließend erlaube ich mir auch noch den ketzerischen Hinweis, dass die meisten Passwort-Manager (bereits aufgrund der oft nur englischen oder miserabel übersetzen deutschen Sprache) nicht kinderleicht sind und es zu menschlichen Bedienungs-Fehlern kommen kann, welche die Sicherheit gefährden. D.h. Sie müssen sich in das Handbuch einlesen. Es handelt sich um ein neues, zu erlernendes Programm, dem Sie sehr viel anvertrauen.

Empfehlungen

Da ich per E-Mail immer wieder um Empfehlungen gebeten werde, hier zwei Programme, die auch unten in der Link-Liste aufgeführt sind:

• Für Anfänger: KeePassXC, Deutsch (dank eigener Sprachdatei, die man installieren kann / muss), kostenloses Open-Source-Programm, einfach, setzt auf der sicheren Software KeePass auf.
• Für Fortgeschrittene: KeePass - Englisch - Software, sehr flexibel, eher für fortgeschrittene Anwender geeignet. Kostenlose Open Source-Software.

Das sind de facto die nach allen Regeln der möglichen Beurteilung derzeit sichersten Programmen - vor allem, weil Sie als Anwender die weitgehende Kontrolle darüber besitzen.

Aber verwenden Sie unbedingt ein komplett neues und nur dafür verwendetes Masterpasswort, das Sie am besten mittels der Würfel-Technologie auf die maximal erlaubte Länge konzipieren.

Zettel

• Auch auf die Gefahr hin, dass es altmodisch oder old-school klingt: Das handschriftlich auf einem Zettel aufgeschriebene Passwort etc. ist absolut sicher vor Online-Angriffen.
• Ich selbst besitze alle wichtigen Zugangsdaten auch in Schriftform in einem Ordner, der sonst nur Dinge enthält, die nichts mit PC, Internet, Einkäufen etc. zu tun haben.
• Nutzern von Passwort-Managern empfehle ich dringend, sich zumindest eine schriftliche Kopie des Master-Passwortes der Software irgendwo zu hinterlegen. Sie dürfen dieses Passwort gerne verändern, indem Sie das Masterpasswort rückwärts oder in Teilen aufschreiben. Aber tun Sie es, noch heute.
• Andere Sicherheitsexperten raten dringend dazu, regelmäßig komplette Listen aller Passwörter auszudrucken. Jedes Ausspielen der geschützten Daten zum Drucken führt jedoch dazu, dass sie auf der Festplatte oder SSD in lesbarer Schrift abgelegt werden. Das geschieht durch die Auslagerungsdatei des RAM. Daraus folgt, dass dann alles in Klarschrift mit speziellen Programmen lesbar ist und zwar ganz einfach auf einem Haufen konzentriert. D.h. auch ein späterer Befall mit Viren oder Trojanern kann dazu führen, dass ein Dritter diese Daten in Klarschrift erhalten kann.
• Andere legen sich ihre schriftlichen Passwortlisten in Bücher.
• So sind die Daten auch bei einem (erwarteten oder ungebetenen) Besuch relativ sicher.
• Die praktischen Nachteile liegen auf zwei Ebenen:
  • Der eigenen Handschrift, die bei vielen Personen wie mir (typisches Doktorsyndrom) nicht immer leicht selbst entzifferbar ist
  • und dem Problem der verwechselbaren resp. ähnlich aussehenden Zeichen. So sind die Zahl Null 0 und der große Buchstabe O (bei Oma) selbst auf der Schreibmaschine geschrieben nicht leicht unterscheidbar. Ebenso ergeht es vielen mit der Zahl Eins (1) und dem kleinen Buchstaben L (l) oder dem großen Buchstaben i (I) wie am Anfang von Innenarchitektur.
• Um letzteres zu vermeiden, bietet mein Passwort-Generator u.a. die Möglichkeit, derartige Zeichen-Verwechslungen auszuschließen.

Eigene digitale Datei

• Diese Methode ist bei allen Sicherheitsexperten völlig verpönt, aber keineswegs so unpraktisch und unsicher, wie alle behaupten.
• Sie legen sich in einem völlig unwichtigen Ordner eine Datei an: Z.B. im Unterordner c:/texte/briefe/weichnachten/weihnachtskarten/
• Dort legen Sie sich eine Word- oder Excel-Datei oder ein einfaches .txt-Dokument mit einem ebenfalls völlig unbedeutenden Namen wie tante-katharina an.
• Dort hinein kopieren Sie Ihre Zugangsdaten.
• Sie können selbstredend auch mehrere derartiger Dateien anlegen: ein Dokument für alle beruflichen Zugangsdaten, ein zweites für Ihre Banken, Krankenkasse, Finanzamt und Sozialversicherung, sowie ein drittes für Ihre Einkäufe etc.
• Je unwichtiger der Name klingt (also niemals Dateiname wie Passwort, PW, Zugangsdaten etc. verwenden) und je unsinniger es in die heute Tera-Byte-großen Festplatten eingruppiert wird, umso länger dauert die Suche für Hacker.
• Viele dieser Dateien kann man sogar mit Winzip oder Winrar etc. packen und verschlüsseln - d.h. schützen.
• Der tatsächliche Schutzfaktor beim massiven Aufbrechen ist geringer als bei den Passwort-Managern. Aber nochmals: Jedes Passwort muss spätestens zum Login in Klarschrift vorliegen - immer.
• Klar sollte auch sein, dass kluge Hackerprogramme die Dateiliste der Programme durchgehen und dort diejenigen mit den häufigsten Aufrufzahlen sofort prüfen. Das Betrifft besonders Programme wie Word, Excel etc., die jedem Nutzer eine Liste der zuletzt geöffneten Dateien anbieten.
• Zumindest verlassen Sie sich angesichts des für Sie selbst gefühlten und sogar erkennbar geringeren Schutzes nicht auf eine vermeintliche Sicherheit, die nie und nirgends existiert.

Zu vermeidende Risiken

Alle eigenen Schutzmaßnahmen mit und bei Passwörtern sind wertlos, wenn Sie sich nicht an die Grundregeln allgemeiner Sicherheit halten:

• Ein Passwort ist nur sicher, solange Sie es niemandem weitergeben. Schicken Sie folglich auch niemals Passwörter mittels normaler (= unverschlüsselter) E-Mail an andere. Und verwenden Sie niemals in Texten die Wörter Passwort, Benutzerkennung, Zugangsdaten etc.
• Aktualisieren Sie regelmäßig alle Software auf Ihrem PC etc.: das Betriebssystem, den Browser, die Antiviren-Software, die Firewall etc.
• Loggen Sie sich niemals aus einem Internet-Café, von einem fremden PC, aus einem öffentlichen WLAN ein, ohne ein VPN oder TOR zu verwenden.
• Vermeiden Sie es (sofern möglich), sich bei ungeschützten (HTTP ohne S) Internet-Auftritten anzumelden. Heute ist HTTPS der Mindeststandard für Passwortübermittlung oder das Eintragen von personenbezogenen Daten.
• Denken Sie nach: Falls Angebote zu gut klingen, um wahr zu sein, dann ist das meistens auch so. Preisausschreiben, Lotterien, Glückspiele, kostenlose Versionen sonst teurer Software, Pornovideos etc. werden in vielen Fällen nur angeboten, um Ihre E-Mail-Adresse und ein Passwort dazu zu erhalten. Die Betreiber haben die berechtigte Hoffnung, dass sie so neben der echten E-Mail-Adresse sogar ein Master-Passwort erhalten, das auch sonst funktioniert.
• Verwenden Sie mehrere korrekte offizielle E-Mail-Adressen, damit Sie im Falle einer Attacke auf eine davon nicht komplett gesperrt sind. So kann man auch viele Dinge, wie z.B. Beruf und Privat, trennen.
• Verwenden Sie bei unsicheren Anbietern, oder falls Ihnen irgendwie Bedenken kommen, auf jeden Fall zuerst nur eine der kostenlosen Wegwerf-E-Mail-Adressen, die man fast überall (z.B. bei Web.de, GMX) erhält. - Und werfen Sie die E-Mail-Adresse danach im Zweifel auch für immer weg.
• Benutzen Sie zum Einloggen immer die eigenen Original-Bookmarks / im Browser gespeicherten Links, oder tippen Sie die Ihnen bekannte Original-Adresse manuell in den Browser ein. Vermeiden Sie es, andere Links von Dritten zu diesen Login-Seiten zu verwenden.
• Verwenden Sie immer ausreichend Zeit und volle Aufmerksamkeit für Logins. Routine, Automatismen und Hektik führen zu Fehlern.
• Sperren Sie den PC etc. und die Software (z.B. Passwort-Manager), bevor Sie den Arbeitsplatz (auch nur kurzfristig) verlassen, oder das Smartphone in die Tasche stecken.
• Schließen Sie nach wichtigen Logins immer den Browser, damit dort die Daten im Zwischenspeicher gelöscht werden können. Dieses aktive Löschen aller Daten beim Schließen müssen Sie jedoch meist selbst bei den Einstellungen des Browsers manuell konfigurieren.

Schutzberechnungen

• Im Internet und auch in Software finden sich Werkzeuge, in welche Sie Ihr Passwort eingeben können, und die dann daraus die Zeit berechnen, die es dauert, um dieses Passwort zu knacken. Mit anderen Worten sagen sie Ihnen, wie Sicher Ihr Passwort angeblich ist.
• Wissenschaftlich ist dies aus vielen Gründen blanker Unsinn.
• Dabei werden meistens nur 2 Faktoren zur Bewertung herangezogen: die Anzahl der Zeichen und die Art der Zeichengruppen: Klein-, Großbuchstaben, Zahlen und Sonderzeichen. Je mehr dieser Gruppen das Passwort umfasst, desto sicher soll das Passwort sein. Das ist unlogisch, da der Angreifer nicht weiß, welche Zeichen Sie verwenden und deshalb immer alle prüfen muss.
• Generell wird von einer Brute-Force-Attacke ausgegangen, die - dumm wie Bohnenstroh - von Ein-Zeichen-Passwörtern zu immer größer werdenden Zeichenketten alles nacheinander ausprobiert.
• Dabei geht man auch noch davon aus, dass Ihr Passwort erst als letztes der denkbaren gefunden wird. Aber da es sich um Statistik handelt, ist das eben wie beim Lotto: Der eine Teilnehmer spielt hundert Jahre lang und gewinnt nie, der andere holt beim ersten Mal den Jackpot.
• Ferner finden sich heute in Software einprogrammierte Wortlisten, die alle bisher bekannten Passwörter in Sekunden abarbeiten. Darunter auch alle Vor- und Nachnamen sowie die beliebten Hundenamen. Aber auch reine Tastaturreihenfolgen wie qwert_asdfg-yxcvb. D.h. die Länge ist nebensächlich, wenn das Wort oder deren Bestandteile bekannt sind.
• Zusatzwissen wird systematisch ignoriert. Wenn z.B. Ihre als Benutzerkennung verwendete E-Mail-Adresse Harald.Meyer@www.was_auch_immer.de lautet, dann enthält ein dazugehörendes Passwort der Art Harald-2020-Meyer sehr lange 17 Zeichen, ist jedoch in weniger als 1 Sekunde gehackt.
• Ferner werden bei solchen Berechnungen irgendwelche alten Prozessoren in Einzel-PCs angenommen, deren Rechenleistung als Basis für eine Brute-Force-Attacke dienen soll. Von modernen Prozessoren haben die meisten derartigen Tools keine Ahnung. Ferner fehlen der Berechnungsgrundlage auch so wichtige moderne Dinge wie Vernetzung und Cloud-Computing. Hacker schalten heute ganze Rechenzentren für Ihre Aufgaben zusammen und nutzen deren weltweit unvorstellbaren, brachliegenden Ressourcen für solche kriminellen Dinge.
• Ferner wird heute bereits Künstliche Intelligenz zum Hacken von Passwörtern verwendet, die das Ganze sogar auf zusätzlichen eigenen neuronalen Prozessoren extrem schnell lösen kann.
• Abschließend noch das größte Gegenargument gegen derartige Test-Werkzeuge: Geben Sie niemals - wirklich nie - Ihr Passwort in eine fremde Eingabemaske ein. Denn danach besitzt mit hoher Wahrscheinlichkeit eine andere Person nun Ihr Passwort, Ihre IP (Internet-Adresse und damit sogar evtl. alles bis hin zum Wohnort, Name etc.), sowie alle Daten zu Ihrem Browser, Ihrem Betriebssystem etc. Einfacher kann man es den Hackern wirklich nicht machen.

Fazit: Vergessen Sie die Angaben, dass Ihr Passwort angeblich für 12,54 Zillionen Jahre sicher sei.

Literatur

Allgemein

• Das sind die fünf größten Passwort-Mythen , Süddeutsche Zeitung, 4. Mai 2017
• Dieser Mann ist schuld am Passwort-Wahnsinn: Und er bereut sein Werk zutiefst, CHIP, 15.08.2017
• Die beliebtesten Passwörter der Deutschen machen auch 2019 sprachlos!, Computer Bild, 19.12.2019
• Die Top Ten deutscher Passwörter, Hasso-Plattner-Institut (HPI), 18.12.2018
• Falsch gedacht: Warum das perfekte Passwort eigentlich ganz simpel ist, 27.07.2018
• Best practices for passwords updated after original author regrets his advice, Englisch, 7.8. 2017
• Phishing
• Pharming
• Identity Leak Checker des Hasso-Plattner-Institut (HPI) Wurden Ihre Identitätsdaten ausspioniert?
• ';--have i been pwned? - Wurde ich kompromittiert? - Test von gehackten E-Mail-Adressen
• Pwned Passwords - Wurde mein Passwort kompromittiert? - Test von gehackten Passwörtern
• Wikipedia Password manager, English
• Kennwortverwaltung

Würfeln / Dice

• Diceware, Wikipedia Englisch
• Diceware Deutsch, Wikipedia
• The Diceware Passphrase Home Page, Englisch
• Deutsche Würfelliste
• EFF Dice-Generated Passphrases, Englisch, neue eigene Würfellisten
• Deep Dive: EFF's New Wordlists for Random Passphrases, 19.7.2016

Verschiedene Passwort-Manager

• Passwortmanager: So verwalten Sie Ihre Passwörter heise, 5. Januar 2018, mit Anleitung zur Installation und Einstellung.
• Passwort-Manager für Windows, Firefox, Chrome, Mac, Android & iOS, Computer Bild, 22.06.2019
• Animated Overview: Using Password Managers to Stay Safe Online, 24.8.2015
• Fünf gute Passwort-Manager im Vergleich, SZ, 2017
• Passwort-Manager im Überblick, Computerbild
• Eins für alle heise, 7.2018 - kostenpflichtig: Fünfzehn Passwortmanager im Test
• Password Manager – Nein Danke?, 02.03.2018
• Die größten Passwort-Sünder 2018, 04.01.19
• Passwort-Manager im Test, chip, 09.02.2019
• KeePassXC, Deutsch (dank eigener Sprachdatei, die man installieren kann / muss), kostenloses Open-Source-Programm, einfach, setzt auf der sicheren Software KeePass auf.
• Keepass - Englisch - Software, sehr flexibel, eher für fortgeschrittene Anwender geeignet. Kostenlose Open Source-Software.
• KeePass bei Computerbild
• LastPass weitgehend Deutsch, Online-Passwort-Manager, kostenlose Version mit Werbung, oder 2 USD / Monat.
• 1Password - Software für Apple einfach, für Windows komplexe Installation, 4-8 Euro je Monat.
• dashlane, Online-Dienstleister, kostenlos oder 3,33 Euro je Monat. Aber 40 Euro im Jahr wegen der jährlichen Abrechnung.
• Enpass, Englisch, kostenlos, für verschiedene Betriebssysteme.
• Password Depot Deutsch, aktuelle Software-Version kostenpflichtig, Vorgängerversion teilweise kostenlos erhältlich.
• Bitwarden, Deutsch, kostenloses Open-Source-Programm.
• Password Safe, Englisch
• Password Memory, Englisch.
• Kaspersky Password Manager, Deutsch, 14 Euro im Jahr.
• RoboForm, Deutsch, kostenlose Software.
• True Key, Deutsch, Gesichtserkennung.
• SafeInCloud, Englisch, kostenlos.
• Avira Password Manager, Deutsch, Web-basierter Dienstleister.
• SafeInCloud bei Computerbild
• FF Password Exporter für Firefox
• LessPass, Englisch, Browser-Integration, Erzeugt nur Passwörter.
  • LessPass für Firefox
  • LessPass für Chrome

Passwort-Generatoren im Internet

• Secure Password Generator, Englisch
• LastPass, Deutsch
• Random Password Generator
• 1Password-Strong-Passwort-Generator, Deutsch
• AVAST Random Password Generator, Englisch
• Online Passwort Generator, Deutsch
• Roboform Random Password Generator, Englisch
• NEXCESS Password Generator, Englisch - mit Bewertung des eigenen Passwortes.
• ssh PASSWORD GENERATOR, Englisch
• thycotic GENERATE A PASSWORD, Englisch
• trinket Password Generator, Englisch
• FX-Tools NEW PASSWORD GENERATOR TOOL, Englisch
• manytools Password generator, Englisch
• dashlane, Deutsch
• How Secure Is My Password? Passwortbewertung

Passwort-Generatoren als herunterladbare Software

• Gaijin Password Generator
• Mikrosoft Secure Random Password Generator

Kryptografie

Details, für Interessierte:

• Random number generation
• Pseudorandom number generator
• Cryptography
• Cryptographically secure pseudorandom number generator
• Random password generator
• Generating Random Passwords in PHP

Hilfe / Feedback

Liebe Leserinnen und Leser,

damit diese umfangreichen, kostenlosen, wissenschaftlich fundierten Informationen schnell weiter ausgebaut werden können, bin ich für jeden Hinweis von Ihnen dankbar.

Deshalb freue ich mich über jede schriftliche Rückmeldung Ihrerseits per E-Mail oder Kontakt-Formular.

Da ich bewusst von niemandem irgendwelche Zuwendungen jeglicher Art für das Verfassen der absolut unabhängigen Artikel annehme, um meine völlige Neutralität zumindest auf dem hier beschriebenen Feld wahren zu können, verdiene ich mit diesen Artikeln kein Geld. Auch von Zeitschriften oder Magazinen aus dem IT-Bereich erhalte ich keinerlei Zuwendungen.

Deshalb freue ich mich, wenn Sie mein unabhängiges Engagement für Sie durch einen gelegentlichen Kauf bei Amazon über die hier angegebenen Links unterstützen. Es ist gleichgültig, welches Produkt Sie über diesen Link kaufen. - Es kann auch jede andere Ware außerhalb des Fotobereiches sein. Alle Preise sind und bleiben für Sie gleich niedrig, wie wenn Sie direkt zu Amazon gehen. Aber durch Ihren Klick auf meinen Link erhalte ich evtl. Monate später eine sehr kleine prozentuale Prämie (Cents je Kauf), welche mir hilft, die hohen Kosten bei der Erstellung der Artikel zumindest teilweise zu decken. - Bitte starten Sie Ihre Einkäufe bei mir.

Herzlichen Dank an alle für Ihre bisherige Unterstützung.

Ja, ich möchte die Unabhängigkeit dieser Seite unterstützen und kaufe über diesen Link bei Amazon

Zum Seitenanfang

• Startseite
  • Controlling im Internet
  • Nutzeranalyse
  • Ergonomie
  • Gutachten
  • Suchmaschinen-
      Optimierung
  • Beratung
    • Strategie
    • Projekte
    • Prozessoptimierung
    • Werbe-E-Mails
        loswerden
    • Interaktionsmodule
      • Passwort-Generator
      • Miss Lupun
    • Recht
    • Hilfe
  • Firma
  • Impressum
  • Datenschutz
  • Inhalt
  • Interne Suche
  • Kontakt

Controlling21.de - Dr. J. Schuhmacher
Internet und Multimedia in Perfektion