CODEWÖRTER - PASSWÖRTER - PINS
Diese Frage ist nicht so einfach zu beantworten. Es kommt auf den Sicherheitsbereich an. Generell kann man sagen, dass eine Mindestlänge von 8 Zeichen sinnvoll ist: 8 Zeichen bedeuten
4.304.672.100.000.000 Kombinationen für die Zeichenklasse a-z A-Z 1-9 @^#\<>,:-_+*%&/()=?!§[]{}~|µ
(= 90 Zeichen). Bei einer Rechnergeschwindigkeit von einer Million
Schlüssel pro Sekunde würde das für alle möglichen Kombinationen 4.304.672.100 Sekunden, 1.195.742 Stunden oder über 136 Jahre dauern. Das ist schon mal ganz schön lang :-)
Für höhere Sicherheitsbereiche (z. B. Firmennetzwerke o. ä.) sollte auf eine Mindestlänge von 10 Zeichen erhöht werden (= 34.867.844.010.000.000.000 Kombinationen, = 9.685.512.225 Stunden oder 1.104.895 Jahre). Zur Abschätzung folgt weiter unten eine kleine Tabelle:
Passwortgenerator mit 90 Buchstaben, Zahlen, Symbolen
Die Gefahr, dass Passwörter, die auf der Festplatte des Rechners am Arbeitsplatz oder zu Hause gespeichert sind, von so genannten "Trojanischen
Pferden" ausspioniert werden können, verbietet es, Passwörter ungeschützt zu speichern.
Wer kann sich schon die vielen Pass- oder Codewörter
merken, die zum Teil auch noch von Dritten in bestimmten Zeitabständen zwangsweise geändert werden. Die folgende beispielhafte Aufzählung verdeutlicht
die Notwendigkeit und das breite Anwendungsfeld von Pass- und Codewörtern:
Maestro-Karte, Kundenkreditkarte, allgemeine Kreditkarte, Online-Banking, Sparbuch-Passwort, BIOS-Passwort, Bildschirmschoner-Passwort, Arbeitsmappen- und Blattschutz-Passwort in Textverarbeitungsprogrammen, Autoradio-Diebstahlcode, Handy-PIN (PIN = Persönliche Identifikationsnummer), Telefonschlosscode, Jugendschutzcode am Fernseher, Jugendschutz-Zugangscodes in Internet-Browsern, Zugangscodes zu bestimmten Internetseiten, Zugangscode zu Sicherheitsbereichen am Arbeitsplatz. Wenn, wie bei Bankkonten, nach drei Eingabeversuchen eine automatische Zugangssperre erfolgt, wird der unberechtigte Zugriff durch Dritte deutlich erschwert.
Fatal wäre es, bei der Wahl des Codewortes auf Vor- oder Kosenamen von Familienmitgliedern, Haustiernamen oder bei Zahlencodes auf Geburtsdaten zurückzugreifen, die dann als Telefonnummer getarnt im Adressbuch erscheinen. Betrüger kennen diesen einfachen Trick und im Schadensfall haben Sie keine Regressmöglichkeit. Besonders häufig sollen Passwörter sogar auf/unter der Tastatur oder auf dem Monitor notiert werden. Außerdem sollten PC-Nutzer unbedingt Wörter oder Wortbestandteile aus einem Wörterbuch vermeiden, da diese von einem Cracker im Handumdrehen herausgefunden werden. Ebenso sollten Buchstaben- oder Ziffernfolgen auf der Tastatur vermieden werden, also nicht "qwertz", "asdfgh", "abc#", "111111 123456" oder "passwort".
Bei der Installation von Programmen werden häufig Passwörter wie z. B. "admin" für "Administrator" vorgegeben. Im weiteren Verlauf der
Installationsroutine wird der Benutzer aufgefordert, dieses vorgegebene Passwort durch ein eigenes zu ersetzen. Wer dieser Aufforderung nicht
nachkommt, macht es Cracker besonders leicht.
Eine gute Möglichkeit, ein sicheres Passwort zu ermitteln, ist folgende: Nehmen Sie aus einer
Gedichtzeile, einer Liedstrophe oder einem Spruch die Anfangsbuchstaben der einzelnen Wörter und bilden Sie daraus Ihr Passwort wie in diesem
Beispiel:
Morgenstund hat Gold im Mund - Das Passwort lautet somit: MhGiM.
Eine Ergänzung um Ziffern und Sonderzeichen erschwert die Entschlüsselungsmöglichkeit deutlich.
Beispiel 1: 20#MhGiM32# ist so ein schwer zu entschlüsselndes Passwort. Bei der vorangestellten Ziffer "20#" denken Sie an das Kindermilchgebiss mit 20 Zähnen - bei der nachgestellten Ziffer "32#" an das Erwachsenengebiss mit 32 Zähnen.Beispiel 2: FgidESdFaLg. für Schillers Lied von der Glocke mit 12 Zeichen. "Fest gemauert in der Erden Steht die Form, aus Lehm gebrannt."
Wenn Sie meinen, ein gutes Passwort kreiert zu haben, dann sollte dieses vorsorglich nur für einen einzigen Account verwendet werden.
► Wurde mein Passwort geleakt? Hier eine Prüfung der E-Mail-Adresse durchführen: ';--have i been pwned?
Passwort-Nachfolger
Völlig neue Wege geht die gemeinnützige FIDO-Allianz (FIDO = fast identity online). Geräteübergreifende Anmeldungen (Log-ins) erfolgen nicht mehr über unsichere Passwörter, sondern biometrisch per Fingerabdruck, Gesichtserkennung oder USB-Sicherheitsschlüssel.
Diese Passwörter setzten sich aus der Kombination von etwa 100 Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zusammen und ergeben folgende Anzahl von Möglichkeiten, die zur erfolgreichen Entschlüsselung maximal durchprobiert werden müssen:
Bei 2 Zeichen 100² oder 100 × 100 = 10.000 Kombinationen.
Bei 3 Zeichen 100³ oder 100 × 100 × 100 = 1.000.000 Kombinationen.
Bei 4 Zeichen 100⁴ oder 100 × 100 × 100 × 100 = 100.000.000 Kombinationen.
Bei 5 Zeichen 100⁵ oder 100 × 100 × 100 × 100 × 100 = 10.000.000.000 Kombinationen.
Bei 6 Zeichen 100⁶ oder 100 × 100 × 100 × 100 × 100 × 100 = 1.000.000.000.000 Kombinationen.
Bei 7 Zeichen 100⁷ oder 100 × 100 × 100 × 100 × 100 × 100 × 100 = 100.000.000.000.000 Kombinationen.
Bei 8 Zeichen 100⁸ oder 100 × 100 × 100 × 100 × 100 × 100 × 100 × 100 = 10.000.000.000.000.000 Kombinationen.
Bei 32 Zeichen, was einer 256-Bit-Verschlüsselung entspricht, wären selbst die schnellsten Supercomputer mit heutiger Technologie bis ans Ende aller Zeiten (im Oktilliarden-Jahre-Bereich) damit beschäftigt, alle möglichen Kombinationen durchzuprobieren.
Und dann gibt es immer wieder Schlagzeilen, dass ein unknackbarer Code in kurzer Zeit geknackt wurde. Oft ist die Schwachstelle ein Fehler im zugrundeliegenden Algorithmus oder die Tatsache, dass bereits der tausendste und nicht erst der hunderttrillionste Versuch zur Entschlüsselung geführt hat.
Besonders bei PCs (Personal Computer) kann der Verlust oder das Vergessen des Supervisor-Passwortes im BIOS (Basic
Input Output System), also dem Basisprogramm des Computers, zu einer nervenaufreibenden und, wenn
man professionelle Hilfe in Anspruch nehmen muss, teuren Angelegenheit werden. Wenn Sie Ihr Benutzerpasswort nicht aufgeschrieben und an einem
sicheren Ort aufbewahrt haben, gibt es dennoch einige Möglichkeiten, den PC zu booten.
Die meisten BIOS-Hersteller verwenden "Master-Passwörter",
die auf einigen Internetseiten zu finden sind. Neuere Versionen erkennen diese Master-Passwörter jedoch nicht mehr.
Mögliche Passwörter: AWARD, AWARD_SW (der Unterstrich wird wegen der amerikanischen Tastaturbelegung mit ? erzeugt), AWARD_PS, d8on, LKWPETER,
lkwpeter, ALFAROME, aLLy, SER, SKY_FOX, AMI, ami, A.M.I., AMI_SW, AMISE-TUP, aPAf, BIOSPASS, Sxyz, Syxz, SZYX, TIPTHA, Wodj, CONCAT,
CONDO,HLT,BIOSSTAR, h6BB, j256, J262, j262, J64,1322222, 256256, 589589, BIOS, PHOENIX, phoenix, CMOS,
Bleibt auch diese Vorgehensweise erfolglos,
besteht noch die Möglichkeit, den PC unter Beachtung der Sicherheitshinweise des Herstellers aufzuschrauben und auf dem Motherboard den CMOS-Jumper
auf "Clear" zu setzen. Den zuvor ausgeschalteten PC kurz einschalten und wieder ausschalten. Nun den Jumper wieder auf "Normalposition" setzen.
Nach dieser Prozedur ist das BIOS-Passwort gelöscht.
Eine weitere Möglichkeit besteht darin, die Batterieversorgung zu unterbrechen. Ziehen Sie
den Netzstecker des PCs (bei Notebooks funktioniert diese Methode nicht) und schieben Sie die eingebaute Rundbatterie (Ø 2 cm) vom Motherboard aus der
Halterung. Nach einer Wartezeit von 20 Minuten schieben Sie die Batterie wieder in die Ausgangsposition zurück. Durch die Stromunterbrechung sind zwar
die individuellen Einstellungen verloren gegangen, es kann jedoch wieder ein neues Passwort vergeben werden. Wenn auf Ihrem PC hochsensible Daten
gespeichert sind, muss das PC-Gehäuse natürlich abschließbar sein, damit kein Unbefugter diesen Trick anwenden kann.