[Tutorial] Ein sicheres Passwort erstellen.

Je vernetzter unsere Welt wird, desto mehr machen wir uns Gedanken darüber, wie wir unsere persönlichen Daten schützen können. In erster Linie nutzen wird dafür Passwörter. Doch dem einem oder anderem wird es schon einmal passiert sein, dass ein solches gehackt wurde. Für alle diejenigen, die entweder genug davon haben, oder es erst gar nicht so weit kommen lassen wollen, habe ich hier ein paar Tipps bzw. ein kleines Passwort-Tutorial zusammengestellt.

Wie kann man ein Passwort hacken?

Es klingt vielleicht etwas komisch, aber um zu verhindern, dass ein Passwort gehackt wird, muss man zuerst einmal verstehen wie ein Hacker überhaupt vorgeht. Zuerst einmal macht dieser nichts anderes, als ein Programm zu programmieren, dass für ihn die ganze Arbeit übernimmt. Denn es würde viel zu lange dauern, wenn er die Sache selber in die Hand nimmt. Diese Programme sind 1000 mal schneller als ein Mensch, aber können nur das, das ihnen ihr Erschaffer auch beigebracht hat. Kurz gesagt man kann sie austricksen und genau darum geht es eigentlich in meinem Tutorial.

Wie funktionieren Passwort hackende Programme?

Um das besser zu verstehen solltet ihr euch ein Fahrradschloss mit einer 3-stelligen Nummer vorstellen. Nehmen wir einmal an, dass ihr den Code vergessen haben, dann könntet ihr das Schloss trotzdem aufmachen indem ihr einfach alles auf 000 stellt und anfangt die hinterste Stelle auf 1 zu erhöhen (001). Dann probiert ihr, ob das Schloss aufgeht. Tut es das nicht, dann erhöht ihr erneut um 1 (002) und wiederhohlen das Spiel erneut. Logischerweise kommen wir irgendwann bei 009 an und müssen daher auf 010 gehen, die nächste Ziffer ist jedoch nicht 020 sondern 011 usw. Wenn ihr dieses Spielchen nur ausreichend lange praktiziert, wird irgendwann einmal das Schloss aufgehen und ihr könnt wieder mit eurem Fahrrad durch die Gegend brausen.

Das Selbe, das ihr getan habt, machen auch die Passwort hackenden Programme. Nur fangen diese nicht hinten sondern vorne an zu "zählen". Doch anders als bei einem 3-stelligen Fahrradschloss, wissen diese im Regelfall nicht, wie lange euer Passwort ist. Außerdem arbeiten sie nicht mit Zahlen sondern Buchstaben. Schließlich heißt es auch PassWORT und nicht PassZAHL. Daher beginnen sie nicht mit "1" sondern "a", außerdem haben sie nicht 9 Möglichkeiten für eine Stelle sondern insgesamt 27 (das Alphabet hat 27 Buchstaben). Das Programm fängt also mit "a" an, probiert, erhöht dann auf "aa", probiert erneut und erhöht auf "aaa" usw. Dabei ergibt sich bereits das erste Problem, denn im Grunde genommen würde das Programm nie fertig werden, wenn es alle möglichen Stellen mit a's zupflastert. Daher muss der Hacker vorher festlegen, mit wie vielen Stellen das Programm arbeiten soll. Gibt er z.B. 5 Stellen ein, würde das Programm nach "aaaaa" auf "aaaab" erhöhen.

Schrittweise zum unhackbaren Passwort.

Viele, die sich ein Passwort überlegen, versuchen in erster Linie eines zu finden, dass nicht gleich offensichtlich etwas mit ihnen zu tun hat. Wie bereits geschrieben ist es den Programmen jedoch komplett egal was ihr gewählt habt, die probieren einfach alle Buchstaben so lange durch, bis das Schloss aufgeht. Wenn ihr z.B. den Nicknamen themaster mit dem Passwort blubfisch kombiniert habt, seit ihr für ein Programm in spätestens 15 min abgehakt bzw. gehackt.

Um das zu verhindern werden wir nun unseren einfaches Beispiel (themaster; blubfisch) Schrittweise unhackbar machen.

1. Länge
Es ist nicht ohne Grund, dass es oft eine Mindestlänge für Passwörter gibt. Denn je länger ein Wort ist, desto länger braucht auch ein Programm, bis es bei der letzten Stelle angekommen ist. Es ist logisch, dass ein 5-stelliges Wort schneller gehackt wird als ein 10-stelliges. Es ist jedoch auch nicht gerade ideal, wenn ihr ein 99-stelliges Passwort generiert. Schließlich wollt ihr das Passwort ja auch nicht 100 mal wiederholen müssen, weil ihr euch vertippt habt.

Pro Stelle in eurem Passwort muss das Programm das Alphabet (27 Möglichkeiten) solange durchlaufen, bis es euer Passwort herausgefunden hat. Bei unserem Beispiel blubfisch würde das "b" bereits nach dem zweiten vollständigen Durchlauf (axxxxxxxx) an der Reihe sein (baaaaaaaa). Von da an währe das Programm auf dem richtigen Weg und es ist nur mehr eine Frage von Minuten bis es dieses heraußen hat.

2. Großbuchstaben
Wegen der bequemeren Eingabe hat es sich leider eingebürgert, dass viele ihr Passwort nur in Kleinbuchstaben schreiben. Dies ist jedoch ein Großer Fehler. Denn die Hacker nutzen die Faulheit der Passwortersteller gnadenlos aus. Macht es ihnen daher nicht unnötig leicht und drückt mindestens einmal auf die Shift-Tasten.

Natürlich arbeiten die Programme auch mit Großbuchstaben, aber ihr Ersteller muss irgendwo einmal anfangen zu "zählen" und da die meisten Menschen Kleinbuchstaben verwenden fangen sie auch damit an. Erst danach (oder auch erst an dritter Stelle) folgen die Großbuchstaben. Das Programm kann euere Passwort schon längst herausgefunden haben, aber weil es einen Klein- anstelle eines Großbuchstabens benutzt hat muss es weiter suchen. Kurz gesagt ihr verdoppelt die Zahl der Möglichkeiten von 27 auf schöne 53 (26*2 + ß) pro Stelle und das bedeutet, dass sich die Zeit bis euer Passwort gehackt ist stark verlängert und glaubt mir, Hacker haben keine Lust 48 Stunden warten zu müssen um euch zu hacken.

Bei unserem Beispiel könnten wir z.B. einfach die normalen Rechtschreibregeln anwenden: TheMaser; BlubFisch

3. Zahlen
Die eigentlich gängigste Methode Hackern den Spaß so richtig zu verderben ist es Zahlen zu benutzen. Die Anzahl der Möglichkeiten pro Passwortstelle erhöht sich zwar nicht wirklich großartig (von 53 auf 63) aber Zahlen sind äußerst böse. Denn die Programme müssen zuerst einmal alle Klein- und Großbuchstaben durchlaufen bis sie endlich zu den Zahlen kommen und das frisst Zeit. Die die Hacker nicht so gerne mit euch verschwenden.

Es sei noch zu erwähnen, dass es im Web so manche "Spaßvögel" gibt, die der Meinung sind ein Accountname der "8t9kdf32" lautet, wäre das idealste Mittel um das Hacken des Accounts zu verhindern. Das stimmt jedoch nicht ganz. Für Hacker, die auf gut Glück nach Accountnamen und dazugehörigem Passwort fischen, mag das schon zutreffen, aber wenn er es genau auf euch abgesehen hat, dann wird sich der Hacker im Forum oder am Server schon entsprechend umsehen, um euren Accountnamen herauszufinden. Dann braucht er nur mehr sein Programm auf euer Passwort ansetzen, viel Zeit investieren und euch danach die Eingeweide herausreißen. Ein derartiger Accountname erschwert bloß die Kommunikation der anderen mit euch und schützt euch nicht mehr als The56Master.

Ein großes Problem bei Zahlen ist jedoch, dass sie oft auch vom Passwortersteller vergessen werden. Dabei ist es ganz einfach. Ihr könnt ohne Bedenken z.B. euer Geburtsdatum, das euerer Freundin oder von sonst jemanden benutzen. Viele glauben, dass das doch viel zu einfach ist. Dabei vergessen sie zwei Dinge: 1) Woher soll der Hacker/das Programm wissen, dass ihr diese Zahl benutzt?; 2) Woher soll der Hacker/das Programm wissen an welcher Stelle ihr die Zahlen einsetzt? Ihr könnt jede Zahl benutzen, die für euch einfach zu merken ist. Es ist komplett egal.

Nehmen wir mal an, dass wir im Jahre 1997 geboren worden sind, dann könnten wir das auf folgende Weise in unser Beispiel einbauen: TheMaster; 19BlubFisch97 - In der Zwischenzeit dürfte der Hacker heulend in der Ecke hocken.

4. Sonderzeichen
Auf eurer Tastatur gibt es insgesamt 43 Sonderzeichen die entweder durch die Shift oder Alt - Taste aktiviert werden. Für Hacker sind sie das absolute Grauen. Denn abgesehen davon, dass sie die Möglichkeiten pro Passwortstelle auf schöne 105 erhöhen gibt es keine festgelegte Reihenfolge in der sie zu schreiben sind. Kurz gesagt, da es viel zu lange dauern würde ein Passwort mit Sonderzeichen zu knacken, arbeiten die Hackerprogramme praktisch auch gar nicht damit. Ihr müsst euer Passwort aber damit nicht zupflastern um es sicherer zu machen. Gerade der _ eigenet sich sehr gut dafür, um eueren Accountnamen vor zufälligen Passworthackern zu schützen.

Also nehmen wir mal wieder unser Beispiel her und erweitern es ein wenig: The_Master; 19%Blub_Fisch97! - Der Hacker wirft jetzt seinen PC aus dem Fenster.

5. Umlaute
Egal wie gut ihr euer Passwort gestaltet habt, wenn ein Hacker genug Zeit investiert, dann wird es auch irgendwann einmal (100 Jahre) hacken. Das beste ist jedoch ein nahezu 0%-ige Hackchance. Um diese zumindest für nicht deutschsprachige Hacker zu erreichen braucht ihr einfach nur einen von drei Umlauten (ä,ö,ü) in euer Passwort zu schmeißen. Danach ist die Mühle zu! Denn die kommen nur in der deutschen Sprache vor und es ist ziemlich unwahrscheinlich, dass ein amerikanischer Hacker diese in seine Programme mit hinein nimmt. Aber selbst Hacker die diese Umlaute kennen würden nie vermuten, dass ihr sie in euerem Passwort benutzt bzw. müssten sie ihr Programm nach 108 Möglichkeiten suchen lassen und darauf haben sie keine Lust. Denn es gibt da draußen noch genug Passwörter, die weit einfacher zu knacken sind.

Zum Schluss noch mal ein finales Beispiel: The_Mäster; 19%Blöb_Fisch97! (Länge des Accountnamens: 10 Zeichen; Passwort: 16 Zeichen) - Unser Hacker hat sich auf dem Weg gemacht um eine 9mm Pistole mit einer einzigen Patrone zu besorgen.

6. Zusammenfassung
Kurz und knapp noch mal die Wichtigsten Daten um euer Passwort möglichst sicher zu machen.

• Die Länge sollte zwischen 10 und 15 Zeichen liegen (7 Zeichen sind oft Minimum)
• Großbuchstaben verwenden (aber auch nicht gänzlich, denn es gibt auch Programme die diese Möglichkeit berücksichtigen)
• Ein paar Zahlen hineinmischen (darüber freuen sich Hacker immer)
• Sonderzeichen schaden nie (mögen Hacker noch lieber als Zahlen)
• Mit ä,ö und ü hat der Hacker seine Müh.

So und jetzt wünsche ich euch viel Spaß beim Passwortbasteln ...