Das richtige Passwort – Teil 1

Jeder hat sie – Passwörter, doch wie erstellt man das richtige Passwort?

Es gibt eine Vielzahl von Strategien für Passwörter. Es gibt kryptische Passwörter, die möglichst kompliziert sein sollen, manche verwenden ein Passwort für alles, manche nehmen das Geburtsdatum oder das erste Haustier, manche lassen sich eine Buchstaben- und Zahlenkombination einfallen. Oft verwendet man einen Passwortsafe und merkt sich nur ein Masterpasswort.

Dieser Beitrag ist der Erste einer Serie von Beiträgen zum Thema „Das richtige Passwort“. In diesem und den nächsten Blogbeiträgen werde ich auf verschiedene spannende Bereiche rund um das Thema „Passwort“ eingehen.

Fazit

Passwörter unternehmen eine lange Reise und passieren viele Server und Netzwerkknoten. Unverschlüsselte Passwörter können leicht mitgelesen werden. Transportverschlüsselung und Verschlüsselung der Datenbanken am Server helfen hier, die Sicherheit aufrecht zu erhalten.

Wie funktionieren Passwörter?

Ein Passwort soll ein persönliches Wissen sein, das man nur im Kopf hat. Zusammen mit einem Benutzeraccount stellt es die gängigste Art von Authentifizierung in der heutigen digitalen Welt dar.

Der Weg des Passworts

Wie läuft eigentlich der Weg eines Passwortes, wenn es einmal eingegeben wird?

Der Beginn ist klar. Man hat eine Anwendung, die über ein Passwort gesichert ist. Das Passwort wird dort zur Authentifizierung eingegeben. Dort läuft das Passwort über die Netzwerkschnittstelle des Gerätes zum Router (wenn man im Heimnetz ist) oder zum Mobilfunkmasten (wenn man über das Mobilnetz online ist). Das Ziel ist immer ein Netzwerkgerät, welches das Passwort empfängt, verarbeitet und über denselben Weg zurückschickt.

Doch was geschieht dazwischen?

Zielgerät im lokalen Netzwerk

Ist der Zielserver im lokalen Netzwerk, ist der Weg des Passworts recht kurz. Das Eingabegerät, auf dem man arbeitet, schickt das Passwort los. Als nächster Schritt kommt das Passwort am Router an. Der Router leitet das Passwort an das Zielgerät weiter. Das Passwort ist angekommen, die Meldung kommt auf demselben Weg zurück.

Zielgerät im Internet

Ist das Zielgerät im Internet, dann ist der Weg entsprechend komplexer. Das Passwort kommt vom Eingabegerät zum Router. Der Router weiß nur, daß das Zielgerät irgendwo im Internet ist und schickt das Passwort ins Internet. Dort kommt das Passwort über viele Netzwerkknoten dann schließlich ans Ziel. Jeder Netzwerkknoten ist ein Server, der das Passwort weiterschickt. Theoretisch kann das Passwort so auch dreimal um die Welt laufen, bis es ans Ziel kommt. Die Antwort kommt dann theoretisch sogar über einen komplett anderen Weg zurück.

Kann man mein Passwort mitlesen

Die spannende Frage ist, kann man das Passwort auf diesem Weg mitlesen?

Im lokalen Netzwerk

Natürlich ist es für Fremde schwieriger, das Passwort im lokalen Netzwerk mitzulesen. Der Mitlesende muß dazu in irgend einer Form Zugriff auf das lokale Netzwerk haben und am Router vorbei kommen. Am leichtesten geht dies, wenn er selbst ein Gerät im lokalen Netzwerk gekapert hat, das er zum Lauschen nutzen kann. Der Mitlesende liest einfach den gesamten lokalen Netzwerkverkehr mit und überträgt sie auf einen Server außerhalb. Das ist auch einer der Gründe, warum Smarte WLAN-Geräte (mit der Software des Herstellers) keine gute Idee sind, mehr dazu kannst Du in meinem Artikel über Smarte WLAN-Geräte lesen.

Im Internet

Im Internet kann theoretisch jeder das Passwort mitlesen. Die Kunst für den Mitlesenden ist es, die gesuchte Information zu finden. Aber darauf in der Datenflut des Internets nicht gefunden zu werden, sollte man sich nicht verlassen. Port Scanner und andere Möglichkeiten helfen hier um an die gewünschten Informationen zu kommen. Am Einfachsten ist es, den Router oder den Zielserver direkt zu belauschen und sich hier in die Mitte zu setzen, eine sogenannte „Man in the middle“ – Attacke.

Was kann ich tun?

Es ist also in beiden Fällen möglich, das Passwort mitzulesen. Was kann man also dagegen tun?

Als erster Punkt gilt: Es ist eine schlechte Idee, sein Passwort über eine unverschlüsselte Verbindung zu schicken. Moderne Browser, wie Firefox oder Google Chrome warnen hier in der Adressleiste mit einem Hinweis „Nicht sicher“ davor, wenn eine Seite unverschlüsselt zu kommunizieren versucht. Beim Internet Explorer geschieht dies nicht, darum sollte man den Internet Explorer auch nicht mehr verwenden. Man erkennt so eine Verschlüsselung auf dem Transportweg daran, daß in der URL vorne https:// statt http:// steht.

Wie merkt sich der Server mein Passwort

Oft ist es für den Hacker aber leichter, sich die Kundenkonten und Passwörter direkt vom Server zu holen. Schließlich ist das Ziel ja die Nutzung des Zielservers und hat der Hacker die Kundendatenbank, dann hat er eine wesentlich größere Anzahl an Passwörtern und Benutzerkonten, mit denen er arbeiten kann. Aber wie sind solche Passwörter eigentlich auf dem Server geschützt? In den folgenden Unterpunkten gehe ich auf die verschiedenen Methoden ein, wie ein Passwort geschützt wird.

Ein Punkt, den man selbst in der Regel leider nicht in der Hand hat, ist, wie das Passwort beim Server gespeichert ist. Hier gibt es natürlich eine ganze Bandbreite an Möglichkeiten. In der Regel sind die Benutzerkonten in einer Datenbank in Tabellen angelegt. Das heißt, die Anwendung kann dort nachlesen, ob Benutzerkonto und Passwort zusammenpassen. Diese Datenbanken müssen natürlich auch geschützt  werden. Lies hier, was es dazu für Möglichkeiten gibt:

Worst Case Szenario – ungesicherte Daten

Das Schlimmste, was ein Betreiber eines Servers machen kann, ist, die Passwörter und Benutzernamen unverschlüsselt in einer unverschlüsselten Datenbank mit unverschlüsselten Tabellen liegen zu haben. Ist der Hacker erst mal auf dem Server, und das passiert leider selbst den Großen im Internet, kopiert er sich die Datenbank und liest sie aus. Einfacher geht es kaum.
Passwörter sind hier gar nicht gesichert.

Verschlüsseln, verschlüsseln, verschlüsseln

In der Regel hat der Betreiber des Servers zumindest die relevanten Tabellen in einer Datenbank verschlüsselt. Das heißt, daß der Hacker, hat er sich die Datenbank kopiert, erst mal Zeit und Energie verwenden muß, um diese Verschlüsselung zu knacken.

Hashing – was ist das und was bringt das?

Wichtige Daten sollten in einer Datenbank gehasht vorliegen. Das heißt, eine Funktion nimmt z.B. den Namen „Mustermann“ und berechnet daraus einen Wert „a1b2c3“. Über diesen Wert kann die Funktion, die ja die Schritte zur Verschlüsselung kennt, diese auch wieder zurück rechnen und kommt so wieder auf „Mustermann“, ohne daß irgendwo in der Datenbank jemals „Mustermann“ steht. Ein Hashing-Algorithmus ist dann gut, wenn zwei Namen keinen gleichen Hashwert ergeben, also sollte nicht „Mustermann“ und „Müller-Schmidt“ den gleichen Hashwert haben. Außerdem sollte er nicht einfach von Anderen nachvollzogen werden können, damit das Passwort zum Hashwert nicht erraten werden kann.

Es gibt verschiedene Hashing-Funktionen, teils sollen sie nicht mehr verwendet werden, weil die Funktionen Sicherheitslücken beinhalten oder konzeptionelle Probleme haben, wie z.B. das Hashwerte doppelt vorkommen. Der Hashing-Algorithmus Md5 zum Beispiel ist geknackt und steht auf der roten Liste, sprich, er sollte nicht mehr verwendet werden. Stattdessen werden in der Regel Algorithmen wie sha256 oder sha512 verwendet, die zusammen mit Salt und Pepper das Passwort gut schützen.

Wer sich genauer mit kryptographischen Hashfunktionen und den dazugehörigen Algorithmen beschäftigen möchte, findet mehr dazu in diesem Wiki-Artikel.

Salz und Pfeffer

Um ein Passwort richtig schön schwierig knackbar zu machen, sollte man es mit Salz (Fachbegriff: Salt) und Pfeffer (Fachbegriff; Pepper) würzen. Was das ist und wie das funktioniert? Die gute Nachricht ist, daß Du hier gar nichts machen brauchst. Salt und Pepper werden von dem Server hinzugefügt. Da der Server weiß, wie sein Salt und Pfepper aussehen,  kann er es bei der Passworteingabe berücksichtigen.

Salt

Salt ist eine beliebige Zeichenfolge, die entweder für alle Benutzer gleich oder auch für alle Benutzer unterschiedlich sein kann. Diese Zeichenfolge wird dem Passwort hinzugefügt bevor es gehasht wird. Der Zweck dahinter ist, daß der Hashwert des Passwortes noch schwerer zu knacken ist.

Pepper

Auch beim Pepper wird eine beliebige Zeichenfolge genommen und dem Passwort hinzugefügt, bevor das Passwort gehasht wird. Der Pepper steht dabei nicht in der Datenbank. Damit wird vermieden, daß der Pfepper bekannt wird, wenn die Dantenbank gekapert wird.

Mehr über das Thema „Salt and Pepper“ findet ihr in diesem Wiki-Artikel.

Zusammengefasst

Passwörter sind ein wichtiger Schutz für einen selbst. Die Passwörter gehen dabei oft einen langen Weg über viele Netzwerkknoten im Internet, die man nicht kennt. Darum ist eine Verschlüsselung auf dem Transportweg unerlässlich. Die Art, wie Passwörter auf Servern geschützt sind, hat man selbst nicht in der Hand, hier muß man den Anbietern vertrauen.

Andere Artikel dieser Serie

Wenn Dir dieser Artikel gefallen hat, sind vielleicht auch die nächsten Artikel dieser Serie für Dich spannend. Geplant sind:

Das richtige Passwort – Teil 2: Die Methoden der Hacker

Das richtige Passwort – Teil 3: Was bringt Sicherheit?

Das richtige Passwort – Teil 4: Passphrasen

Das richtige Passwort – Teil 5
Passworttresore

Das richtige Passwort – Teil 6
2 Faktor Authentifizierung

Affiliate Links

Die Links sind sogenannte Affiliate Links. Das heißt, falls ihr über diesen Link kauft, bekomme ich ein paar Cent Provision dafür, der Preis für euch wird nicht teurer. Die Provision verändert nicht meine Meinung und beeinflusst nicht meinen Beitrag hier. Diese Links sind mit (*) gekennzeichnet.

Hat es Dir gefallen?

Wenn Dir dieser Blogeintrag gefallen hat oder Dir geholfen hat, dann gib TechnikPapa gern als Dankeschön ein Getränk aus.

Ein Getränk für TechnikPapa
Hahnenbräu (0,5 Euro)Espresso (1 Euro)Kaffee (2 Euro)Kleines Bier (3 Euro)Großes Bier (4 Euro)Glas Wein (5 Euro)Kasten Bier (12 Euro)