10.12.2018 | 03:34 Uhr
 
Aktuelles - Blog
Verwenden Sie unseren Passwort-Generator (08.09.2014)
Falls Sie sich selbst nicht sicher sind, ob Sie starke Passwörter für den Zugang zu Webdiensten und für Ihre eMail-Accounts verwenden, können Sie unseren Passwort-Generator einsetzen/ausprobieren.

Dieser generiert nach dem Zufallsprinzip ein STARKES Passwort (10-100 Stellen möglich), welches mindestens einen Grossbuchstaben und mind. einen Kleinbuchstaben, mindestens eine Zahl und last but not least mindestens ein Sonderzeichen enthält, z.B. so: 5#&l+_GT2C}-5mu~eWgX|

Der Passwort-Generator ist auf unserer Seite zu Passwörten enthalten.
UPDATE 10.09.2014: In Ergänzung zum Passwort-Generator haben wir einen Passwort-Checker entwickelt.

Da GUTE Passwörter sehr schlecht zu merken sind und man sehr viele davon braucht (für jeden Webdienst ein EIGENES!*), sollten diese verschlüsselt gespeichert werden.

Zum Beispiel in einem TrueCrypt-Container (siehe unsere ausführliche Anleitung zu TrueCrypt), von welchem man Sie bei Bedarf holen kann (Copy & Paste). Den Container sichert man mit einem weiteren guten Passwort ab, welches einem aber geläufig ist (sprich NUR im eigenen "Hirn 2.0" abgespeichert ist und NUR von dort "abgerufen" wird).

Ein solcher Container (auch Volume genannt) kann auch auf einem USB-Stick mitgeführt werden, um die Passwörter unterwegs parat zu haben (über jeden Rechner zu öffnen). Hier bietet sich zur maximalen Sicherheit noch ein verstecktes Volume an (siehe Grafik). Der Verlust des USB-Sticks wäre so nur auf den Materialwert desselbigen beschränkt, denn ein Dieb oder Finder wird darauf nur Datenmüll vorfinden (Update 21.09.2014: siehe diesen Kommentar).

Verwenden Sie unseren Passwort-Generator zur Erstellung eines starken Passworts vereiteln Sie erstens ziemlich sicher eine erfolgreiche BruteForce-Attacke und verhindern zweitens den erfolgreichen Hashtabellen-Vergleich, sofern das Passwort vom Anbieter einwegverschlüsselt**** gespeichert wird. Siehe Erklärungen folgend.



*Sie sollten für jeden Webdienst (Clouds, Mail-Accounts, Soziale Netzwerke...) deshalb ein eigenes Passwort verwenden, da es (viele) Anbieter gibt (auch grosse namhafte Firmen), die sehr lax mit Kundendaten umgehen und in ihre eigene Sicherheit nicht viel investieren (erst jüngst hat dies der iCloud-Hack bewiesen, denn Apple hat BruteForce-Attacks zugelassen, was im Zusammenhang mit schwachen Passwörtern überhaupt erst den erfolgreichen Hack der Accounts ermöglichte). Auch wurden in letzter Zeit viele Passwörter durch Hacks der Infrastruktur (z.B. Datenbanken) mancher Anbieter gestohlen. Wurden die entwendeten Passwörter auch noch unverschlüsselt und ohne Salt** beim Dienstleister im Klartext gespeichert (leider ist das immer noch häufig der Fall), nützt Ihnen das starke Passwort überhaupt nichts mehr und wäre bei paralleler Verwendung verbrannt.



**Begriffserklärung "SALT": wird einem einwegverschlüsselten****
(z.B. per MD5-Hash) Passwort - vor der Verschlüsselung - als statisches Präfix (bestehend aus möglichst vielen Stellen mit Zufallszeichen) angehängt um auch schwache Passwörter sicher ablegen zu können. Ein mit dieser Methodik (Einweg-Verschlüsselung plus "Salt") gespeichertes Passwort kann nicht mit vorliegenden Hashtabellen*** zu allen möglichen Begriffen (sog. Rainbow Tables) entschlüsselt werden - das "Salz in der Suppe" verhindert das zuverlässig -  und wäre deshalb auch im gestohlenen Fall völlig wertlos! Ferner können mit dieser Verfahrensweise auch keine Hashwerte aus vorliegenden erfolgreichen Attacken (z.B. über Brute-Force oder Dictionary Attacks) anderer gehashter Datenbanken verglichen werden (man wüsste, bei gleichem Hashwert, es handelt sich um das gleiche Passwort), weil der Hashwert, bei gleichem Passwort, trotzdem ein anderer und mit grösster Wahrscheinlichkeit sogar einmalig ist (d.h. ohne Kenntnis des "Salt" absolut unverwertbar).

***Mittels sogenannter Hash-Tabellen (Rainbow Tables) sind bekannte einwegverschlüsselte Begriffe schnell aufgeklärt (deshalb keine existierende Namen oder Begriffe, egal aus welcher Sprache, verwenden). Solche Listen sehen z.B. für den Hash-Algorithmus MD5 so aus:

Karl --> ff112557a3a0a4d1e74f56e0ac979467
Karl20--> af654a8a4f23d4954b0c947944f27d16
Haus --> ebacf61946ee81f386960ad2a09a147e
.
.
.
u.s.w.

Solche Listen gibt es z.B. für den kompletten Duden, andere Wörterbücher oder Telefonbücher oder werden mit hoher Rechenleistung (meist mit schnellen Grafikarten-Prozessoren) on demand in kurzer Zeit berechnet/erstellt (viele Millionen Begriffe in wenigen Sekunden). Sprich der Angreifer muss nur nach dem vorgefundenen Hashwert suchen, um den Klartext zu bekommen.

Mit einem Salt versehene Begriffe sind mit solchen solche Listen gar nicht oder nur sehr, sehr schwer knackbar, z.B. ergäbe "Karl" mit dem Salt "MSPiBZYQq€)23w+Om==wk3dlMRW*(m3p5m!4)u§?" einen völlig anderen Hashwert wie oben, obwohl das Passwort das gleiche wäre. Dieser Hashwert ist mit absoluter Sicherheit in KEINER Hash-Tabelle zu finden :-). D.h. der Diebstahl des gespeicherten Hashwerts wäre wertlos, obwohl das Passwort an sich mehr als schwach ist. Denn der Hash-Tabelleneintrag müsste für einen MD5-Hash jetzt so aussehen:

KarlMSPiBZYQq€)23w+Om==wk3dlMRW*(m3p5m!4)u§? --> ee70e7a4ebd022e46f12713f8c198122
bzw. bei vorangestelltem Salt
MSPiBZYQq€)23w+Om==wk3dlMRW*(m3p5m!4)u§?Karl --> 452fa2d88a8de9dc7d27994d29c35127

Alle angebotenen PHP-Programme aus unserem Haus arbeiten nach diesem Prinzip (40-stelliges Salt + Einwegverschlüsselung). Damn Small Homepage CMS bietet darüber hinaus auch noch eine Zwei-Faktor-Authentifizierung, die Brute-Force-Attacks gänzlich vereitelt (zuerst einmal müsste das statische Benutzer-Passwort gehackt werden und anschliessend mit nur 6 Versuchen (danach ist der Benutzer dauerhaft gesperrt) das zufällig generierte 25-stellige EINMAL-Passwort (dies bekommt der Benutzer, nach erfolgreicher Eingabe des Benutzernamens und des statischen Benutzer-Passworts, per eMail zugesendet und kann es bequem zum Einfügen kopieren).



****Begriffserklärung "Einwegverschlüsselung": Eine Verschlüsselungsmethode ohne Umkehrfunktion (z.B. SHA1 oder MD5). Der Vergleich eines im Klartext eingegebenen Passworts mit einem einwegverschlüsselten, gespeicherten Passwort kann demnach nur erfolgen, indem die Passworteingabe mit gleichem Algorithmus einwegverschlüsselt wird. Bei Verwendung eines Salt, muss der Passworteingabe das gleiche Salt vor Verschlüsselung mitgegeben werden. Mit dieser Methodik gespeicherte Passwörter können nicht im Klarnamen eingesehen werden und sind deshalb im Falle des Vergessens durch ein neues Passwort zu ersetzen oder zurückzusetzen.

Kommentieren