Vorschlag
s<E8\DW=9|k{PDo"oSbjUG%t/u7+O;wQ5Mc-l=}p
s<E8\DW=9|k{PDo"oSbjUG%t/u7+O;wQ5Mc-l=}p
[lnj\
68040fe2768ef65a3cd66c2032be55fd1bfe1eb44566aec8d6de6bacaf1e225f
Aufgrund der Vorfälle in den letzten Jahren gilt die Authentikation einer digitalen Identität mittels Benutzernamen und Passwort als generell nicht mehr sicher. Bekannte Fakten sind:
Und trotzdem wird das Benutzer-Passwort-Verfahren bei vielen Diensten zur Authentikation genutzt, weil die gute Nutzbarkeit für den Anwender gegeben ist.
Übrigens: Auf dieser Seite des Hasso-Plattner-Insituts in Potsdam könnt Ihr feststellen, ob vielleicht ein Account mit Eurer Email-Adresse vielleicht gehackt wurde. Die Antwort kommt per Email.
Der angezeigte Vorschlag ist ein Passwortvorschlag, was man nutzen könnte. Aber wer kann sich s<E8\DW=9|k{PDo"oSbjUG%t/u7+O;wQ5Mc-l=}p denn merken?
Die Cyberkriminalität nimmt immer weiter zu, weil man es diesen Menschen aber auch einfach macht. So ist z.Bsp. seit Jahren bekannt, dass das Passwort 123456 millionenfach für Internetdienste genutzt wird. Als weiteres Beispiel möchte ich hier die Script-Kiddies ansprechen, die sich in dem Thema nocht nicht mal gut auskennen. Sie laden Tools aus dem Internet herunter und lassen diese mit eigenen Parametern laufen.
Heutzutage wird empfohlen, einen Passwortmanager zu benutzen. So kann man mit einem Master-Passwort lokal auf seinem Gerät auf alle Passwörter der jeweiligen Online-Dienste zugreifen.
Das Benutzer-Passwort-Prinzip gilt heute als nicht mehr sicher, da bereits Milliarden Accounts im Internet und Darknett veröfffentlicht sind. Aufgrund der Einfachheit für den Anwender wird es weiterhin bei vielen Diensten genutzt. Deswegen gebe ich ein paar Tipps zur Wahl von Passwörtern.
Eine Hash lässt sich nicht direkt rückübersetzen, um an die angelegten Daten zu kommen. Aber eine Hash aus Daten lässt sich sehr schnell ermitteln.
Somit hat der Cyberkriminelle die Möglichkeit, selbst Passwörter automatisiert auszudenken und die Hash daraus zu ermitteln. Ist die ermittelte Hash gleich der erbeuteten Hash, kennt er das Passwort. Bei einem 6-stelligen Passwort bräuchte er heutzutage nur noch ein einige Sekunden dafür.
Mit jedem zusätzlichen Zeichen im Passwort erhöhen sich die entstehenden Möglichkeiten um den Faktor der Anzahl der möglichen Zeichen. Somit entstehen aus Sekunden Jahre an benötigter Zeit.
Nicht nur bei den Script-Kiddies ist es sehr beliebt, Wörter aus der Wörterbuchdatenbank (etwa 300000 Stck) auszuprobieren. Das geht sehr schnell und man kann hier auch mehrere Worte kombinieren.
Hier geht es um das Thema Erratbarkeit (Ausprobieren), was häufig zum Erfolg führt.
Der Name des Kindes oder das Geburtsdatum der Frau haben in einem Passwort nichts zu suchen, da andere auch an diese Informationen gelangen.
Hier geht es um Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.
Hiermit erhöht man den Faktor an Möglichkeiten, wenn ein Passwort um eine (oder mehrere) Stelle(n) verlängert wird.
Erfahrungen aus der Vergangenheit haben gezeigt, dass, wenn Cyberkriminelle an entsprechende Daten herangekommen waren, diese auch auf andere Online-Dienste probiert hatten. Und sie waren sehr erfolgreich.
Bildet man aus einem Passwort eine Hash, ist das so nicht so einfach, an das ursprüngliche Passwort zu gelangen, was gut ist.
Benutzen aber mehrere Benutzer das selbe Passwort (123456), entsteht immer die gleiche Hash daraus. Somit sehen Cyberkriminelle und eigene Mitarbeiter, dass hier das gleiche Passwort verwendet wird. Ich glaube, man kann sich nun denken, worauf der Cyberkriminelle nun seinen Fokus legt.
Deshalb gibt es das "Salz in der Suppe". Salt ist eine zufällig vom Betreiber erstellte Zeichenfolge, die beim Erstellen oder Prüfen der Hash an das Passwort angehängt wird. Somit entstehen bei gleichen Passwörtern nicht mehr die gleichen Hashes.
Natürlich muss der Salt in der Datenbank gespeichert sein, die dann Cyberkriminelle klauen könnten. Aber trotzdem ist nicht ersichtlich, wo gleiche Passwörter verwendet werden.
Es gibt auch schon das Pepper, wo eine weitere Zeichenfolge auf einem anderen Gerät (online nicht erreichbar) abgelegt ist, um es den Cyberkriminellen noch schwerer zu machen.
Die Darstellung der Hash soll als Beispiel dienen, wie Euer Passwort in der Datenbank des Dienstes gespeichert sein könnte. Hashes sind nicht direkt rückübersetzbar. Nur durch Ausprobieren können passende Datem zu einem Hash gefunden werden (Brute-Force-Attacke).
Welche Methode dazu genutzt wird, liegt beim Betreiber. Dieses Beispiel ist SHA256. MD5 und SHA1 sollte man auf keinem Fall mehr nutzen, weil sie in kürzester Zeit bei heute verfügbarer Rechenkapazität "geknackt" werden könnte.
Und wenn ich dann lese, dass heute noch fast 30 Prozent der Online-Dienste die Passwörter ihrer Nutzer als Klartext speichern, kann ich nur mit dem Kopf schütteln.