Blog Datensicherheit

Der beste Passwortgenerator? Sie selbst!

Mal ehrlich: Wenn es darum geht, neue Passwörter zu erfinden, sind wir alles andere als kreativ. Sie sind zu kurz, zu offensichtlich, und Hacker sind geübt darin, sie zu entschlüsseln...
Michael Buckbee
2 Min. Lesezeit
Letzte Aktualisierung am 11. August 2022

Contents

    Mal ehrlich: Wenn es darum geht, neue Passwörter zu erfinden, sind wir alles andere als kreativ. Sie sind zu kurz, zu offensichtlich, und Hacker sind geübt darin, sie zu entschlüsseln – entweder durch schlichtes Raten oder mithilfe von Passwort-Hashes aus umfangreichen, vorberechneten Tabellen.

    Wie schlecht sind unsere kollektiv vorhandenen Erfindungskünste in Sachen Passwörter wirklich? Lesen Sie selbst. Bei einem riesigen Datendiebstahl bei RockYou im Jahr 2009 wurden 32 Millionen unverschlüsselte – ja, das hat mich auch schockiert – Passwörter gestohlen und ins Internet gestellt.

    Wir haben nun eine relativ klare Vorstellung davon, wie einfallslos die Allgemeinheit an dieser Stelle sein kann.

    Riskante Bequemlichkeit
    Es ist wenig überraschend, dass „123456“ das beliebteste Kennwort war, das fast 300.000 Nutzer ausgewählt hatten, gefolgt von den üblichen Verdächtigen: „password“, „iloveyou“ und „rockyou“, der Name des Online-Gaming-Dienstes selbst.

    Das Motiv dahinter, durchaus verständlich: Bequemlichkeit. Nachdem ich die RockYou-Dateien durchgesehen habe, kann ich sagen, dass die folgende Formel alles andere als originell ist: + „boy“ oder „girl“ + .

    Hacker profitieren von unserem Wunsch nach Bequemlichkeit und stellen so fundierte Mutmaßungen mit hoher Trefferwahrscheinlichkeit an.

    Es wird nur wenig komplizierter, wenn sie eine Liste mit Passwort-Hashes in die Finger bekommen, wie es bei dem berühmt-berüchtigten Sicherheitsvorfall bei LinkedIn der Fall war. Mithilfe bestehender Passwortlisten und Wörterbücher mit häufig verwendeten Wörtern lassen sich riesige Tabellen vorberechnen und Passwörter mit Hashwerten verknüpfen. Nach einem kurzen Reverse-Lookup ist die verschlüsselte Hash-Sequenz dann geknackt.

    Ja, das Hinzufügen so genannter „Salts“ hilft. Doch angesichts der enormen Rechenleistung, die dem Durchschnittshacker zur Verfügung steht, sind nun auch Offline-Brute-Force-Attacken möglich.

    Übrigens arbeiten Cindy Ng und ich gerade an einem E-Book über die zahlreichen Probleme der kennwortbasierten Authentifizierung. Hier gibt es dann auch eine detaillierte Ausführung zu Passwort-Hashes. Mehr dazu in Kürze!

    Je länger, desto besser
    Eine offensichtliche Möglichkeit, Hackern das Leben zu erschweren, ist schlicht längere Passwörter zu verwenden. Informationstheoretisch gesprochen geht es darum die Informationsentropie zu erhöhen.

    Warum machen ein paar Zeichen mehr in einem Passwort einen so großen Unterschied? Das hat mit der Kraft des exponentiellen Wachstums zu tun.

    Sagen wir, für die Wahl Ihres Passworts stehen Ihnen Groß- und Kleinbuchstaben (52 Möglichkeiten), Zahlen (10) und die sämtliche Interpunktionszeichen sowie sonstige alphanumerische Symbole (etwa 13) zur Verfügung. Durch ein zusätzliches Zeichen in Ihrem Passwort ergeben sich in Summe also 75 neue Möglichkeiten.

    Bei einem sechsstelligen Kennwort gibt es 75 hoch sechs Möglichkeiten, also über 200 Milliarden. Im Zeitalter von Big Data ist das keine wahnsinnig große Zahl. Mit zwei Zeichen mehr stehen die Hacker vor einer Billiarde Möglichkeiten – das sind tausend Billionen.

    Mit längeren Kennwörtern – ab etwa acht bis zehn Zeichen – sind Attacken, die auf dem Erraten von Passwörtern basieren von vornherein zum Scheitern verurteilt. Und Hacker, die eine Datei mit Passwort-Hashes ergattert haben, stünden vor einem ernsthaften Rechnerproblem.

    Einfache, lange Passwörter
    Wir Menschen sind tatsächlich in der Lage, uns lange Kennwörter auszudenken. Die Technik, die ich nun vorstelle, basiert auf einer altmodischen Gedächtnisstütze: der Eselsbrücke.

    Die Idee dahinter ist, eine Geschichte zu erfinden und daraus Buchstaben und Symbole zu generieren. Ich weiß zum Beispiel, dass ich samstags bestimmte Besorgungen machen muss. Ich verwende also die folgende Geschichte: Jeden Samstag um 10 Uhr gehe ich zur Reinigung und hole meine 2 Hemden ab.

    Aus diesem Satz nehme ich den ersten Buchstaben jedes Worts, um mein langes, nicht zu entschlüsselndes Kennwort zu zaubern: JSu10UgizRuhm2Ha. Dieses Passwort könnte ich mir normalerweise niemals merken. Doch dank meiner kleinen Geschichte kann ich es in Sekundenschnelle rekonstruieren.

    Sie können Ihrer Kreativität dabei freien Lauf lassen und Geschichten über Fußballmannschaften und Spielergebnisse, Einkaufslisten und Rezepte erfinden.

    Ihre Aufgabe ist nun also der gute Vorsatz fürs neue Jahr: Im Januar 2015 alle Passwörter ändern.

    Oder IAinadgVfnJ:IJ2015aPä.

    The post Der beste Passwortgenerator? Sie selbst! appeared first on Varonis Deutsch.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Ein Leitfaden zur KI-Datensicherheit: Warum sie wichtig ist und wie man es richtig umsetzen
    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Lexi Croisdale
    11. Juli 2025
    Erfahren Sie mehr darüber, was KI-Datensicherheit wirklich bedeutet, warum sie wichtig ist und wie Sie sensitive Daten schützen, die von KI-Systemen und -Workflows verwendet oder von diesen offengelegt werden.
    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Varonis kündigt eine strategische Partnerschaft mit Microsoft an, um die Zukunft der KI zu sichern.
    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Yaki Faitelson
    11. Juli 2025
    Die Unternehmen haben eine strategische Produktpartnerschaft geschlossen, um skalierbare Datensicherheit, Governance und Compliance für das KI-Zeitalter bereitzustellen.
    verborgene-risiken-von-shadow-ai
    Verborgene Risiken von Shadow AI
    verborgene-risiken-von-shadow-ai
    Jonathan Villa
    11. Juli 2025
    Shadow AI ist auf dem Vormarsch, da Mitarbeitende nicht genehmigte KI-Tools verwenden. Erfahren Sie, welche Risiken dies für Sicherheit und Compliance darstellt und wie Sie verantwortungsvoll damit umgehen.
    ki-modellvergiftung:-was-sie-wissen-müssen
    KI-Modellvergiftung: Was Sie wissen müssen
    ki-modellvergiftung:-was-sie-wissen-müssen
    Jonathan Villa
    30. Juni 2025
    Erkunden Sie die zunehmende Bedrohung durch „Modellvergiftung“ – Cyberangriffe, bei denen Modelle des maschinellen Lernens manipuliert werden –, und erfahren Sie, wie Ihr Unternehmen sich dagegen verteidigen kann.