Das Passwort ist heute die einzige Barriere zwischen dem Angreifer und den Daten. Doch was wurde in dieser Hinsicht getan? Sehr sehr wenig. Das liegt teilweise an den Nutzern und den Anbietern.
AntiSec Supporter haben bei dem Hack von Stratfor 860.160 Passwort Hashes veröffentlicht. Viele Passwörter konnte man schon nach 7 Minuten auslesen.
Es wird Zeit besser Passwörter in Mode zu bringen. Fast niemand kümmert sich um eine Lösung, die mit den jetzigen Mitteln umgesetzt werden kann. Allein das Wort "Passwort" impliziert, dass es sich hier um ein Wort handeln soll. Das ist Quatsch.
Zum Thema Passwort bekommen wir den letzten Blödsinn erzählt. Anfangsbuchstaben von Sätzen merken? Sowas wie "Rapunzel zieht sich die Strümpfe aus" ergibt: RzsdSa. Dann vielleicht noch eine Zahl dazu? Vielleicht zwei Strümpfe = 2S?
Dieses Passwort ist leichter zu merken, aber bei 20 Webseiten müssen mir die Sätze auch nochmal einfallen. Doofe Sache! Das Problem ist, dass sich niemand darüber Gedanken macht, was man sich WIRKLICH merken kann.
Zeichenketten und die Länge des Passwort. Jeder der etwas von Kryptographie versteht, weiß das ein langes Passwort ein gutes Passwort ist. Das Passwort Rzsd2Sa hat 7 Zeichen und hält ungefähr 19 Stunden (Brute Force) stand, wenn es das Passwort nicht schon irgendwo gibt.
Jetzt würde man normalerweise empfehlen noch ein Sonderzeichen einzubauen, doch das ist nicht wirklich besser zu merken? Warum nehmen wir nicht einfach Sätze? Sätze kann man sich sehr gut merken und auch fast wie eine Art "Status" benutzen. Es fördert also auch den Wunsch mal das Passwort zu ändern.
Das Passwort "Facebook geht mir so auf den Sack!" (Beispiel) wird erst in mehreren Milliarden Jahren zu knacken. Da muss schon jemand eine ordentliche Wörterbuch und Satzangriff schreiben. Diese Tools gibt es, aber ganze Sätze? Vielleicht noch den Dialekt mit rein nehmen? Den kann man sich immer merken. Statt der Leertaste einen Punkt machen? Das muss man teilweise sogar machen, weil man oft kein Leerzeichen benutzen darf.
Man sollte natürlich jetzt nicht unbedingt einen Satz nehmen, den man jeden Tag fünf mal sagt. Aber es wäre so viel sicherer als der Mist den wir heute machen und jede Plattform, die Passwörter auf 15 Zeichen begrenzt sollte ausgelacht werden. Am besten JETZT!
Während man bei einem "normalen" Passwort a-z, A-Z, 0-9 und Sonderzeichen hat, müsste man jetzt jedes Wort, Slang und Fachbegriffe abklappern. Dann während wir endlich soweit, dass wir uns nicht mehr über steife und starre Wörter mit ein paar Zahlen unterhalten, sondern es um Geheimsätze geht. Kryptokrafisch schwieriger, da länger und technisch nur noch zu erraten sind.
Man könnte sogar das Spielchen machen, dass bei diesen "Ich habe mein Passwort vergessen"-Fragen gemacht wird: "Ich habe meine Oma zum ersten Mal in Pakistan getroffen." Ein Passwort = Geheimnis, die man nur selbst weiß. Noch besser zu merken, wenn man es an die Seite anlehnt. Dann könnte wir uns den ganzen Mist mit Sonderzeichen und Großbuchstaben sparen.
Jetzt kommt das große ABER: Diese einfältigen Menschen, die Authentifizierungen programmieren denke nicht oft daran, auch lange Passwörter zu akzeptieren. So hat man vor allem bei kleineren Anwendungen das Problem, das man einfach nicht mehr als 12 Zeichen eingeben kann. Das ist Mist!
Wenn euch so etwas auffällt, schreibt es in die Kommentare und vielleicht kann man etwas Druck machen, damit sich das ändert. Die großen Plattformen wie Google, Twitter und Facebook bieten bis 100 Zeichen als Passwort an.
Windows Live Mail (!) fällt durch mit nur 12 Zeichen. Oh, wie peinlich...
3 Kommentare:
http://xkcd.com/936/
mehr kann man dazu echt nicht sagen...
Oh yeah, danke für den Link. Den hab ich noch eingebaut. :)
Hmmm, diese einfältigen Menschen, die das Programmieren denken aber vermutlich an die Datenbanken, die sie benutzen und was die hergeben. Außerdem denken die an ein weiteres Einfalltor für SQL Injection (nämlich über das Passwort, das war vor längerer Zeit mal ein sehr beliebter Angriff) und zuletzt denken sie auch an die hirnlosen Massen, die das letztlich benutzen und am Liebsten einstellige Passwörter benutzen würden.
Dazu kommen Menschen, die es für ene gute Idee halten ihre Passwörter online oder in der Cloud zu speichern, damit man sie überall abruffen kann.
Man kann schon einiges machen wenn man als admin dann die hashes wenigstens nachbearbeitet und ein ordentliches langes Salt verwendet und über genügend viele rounds verschlüsselt. Dadurch wird das Knacken vermeintlich unsicherer PW zumindest stark erschwert ohne, dass der User davon was mitkriegt.
Auch eine "Topidee" (das waar ironisch): Gesichtserkennung als PW. Ich bin begeistert von der Idee Datenbanken freiwillig mit meiner Visage zu füllen nachdem ich strikt dagegen bin irgendwelche privaten Daten freiwillig irgendwem zu geben.
Oder vielleicht machen wir es wie in Gattaca und lassen uns überall zur Identifizierung Blut abzapfen und die Gene analysieren. Blöd nur, dass der Film den hack dazu gleich mitliefert.
Ich persönlich favorisiere das einmalige Geräuch, das mein Schädel erzeugt wenn er voller Verzweiflung auf die Tastatur aufschlägt...
Kommentar veröffentlichen