2. Top 10 der unsichersten
Passworte 2015
• 123456
• Passwort
• Schatz
• Admin
• Test
• abc123
• qwertz
• hallo
• kennwort
• 0000
Quelle: http://www.oeffentlichen-dienst.de/wirtschafts-news/124-die-top-10/519-passwoerter.html
3. Passwort-Cracking – Status quo
• 350 Milliarden Schätzungen
pro Sekunde bei dem NTLM-
Algorithmus (ab Windows
Server 2003)
• Jedes 8-Stellige Windows
Passwort kann hiermit
innerhalb von 6 Stunden
geknackt werden
• 364000 / Sec. bei
SHA512crypt (OS X Standard)
• 71000 / Sec. Schätzungen bei
bcrypt
Einer von 5 Servern, ausgestattet
mit AMD Radeon Grafikkarten.
Quelle: http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/
Stand 2012
4. Was macht ein gutes Passwort aus?
• Je mehr Zeichen ein Passwort hat, desto besser
• Es ist nicht einfach zu erraten
• Es ist nicht in einem Wörterbuch zu finden (egal
welche Sprache)
• Enthält keine persönlichen Daten
• Es lassen sich keine Muster erkennen
5. 3 Passwort-Regeln
• Lügen (z. B. bei Passwort-Vergessen Fragen)
• Betrügen (z. B. bei Verwendung von Jahreszahlen
in Passworten)
• Verfälschen
6. Aufbau eines möglichen Passwortes
• Sprichworte (vorher etwas abwandeln (Verfälschen)!)
• Satz oder Absatz aus einem Roman
• Textpassage aus einem Fachbuch
7. Beispiel
• Wer will denn noch Blumen, wenn er tot ist?
Niemand. ( Aus „ Der Fänger im Roggen“ )
• WwdnB,weti?N. (13 Zeichen)
• WwdnB,w37!?N.#S15a2$ (20 Zeichen)
• Passwörter besser ab einer Länge von 20 bzw. 25
Zeichen verwenden
8. Soll ich immer komplexe
Passworte verwenden?
„Darüber hinaus verwende ich unter anderem für diverse
Foren, denen ich nicht so recht traue, sogar noch ein paar
Wegwerf-Passwörter, die nicht ganz offensichtlich sind –
bei denen mir aber klar ist, dass sie durchaus knackbar
sind, wenn es jemand drauf anlegt. Soll er – ich verwende
sie nur dort, wo es mir nicht wirklich weh tut.“
Quelle: http://www.heise.de/security/artikel/Passwort-Schutz-fuer-jeden-1792413.html?artikelseite=3
11. Umgang mit Passworten
• Nicht ein Passwort für alle Dienste verwenden
• Passwörter verschlüsselt übertragen (SSL)
• Passwörter nicht via eMail weitergeben,
stattdessen PGP/ GPG oder Messenger mit
Verschlüsselung verwenden (z. B. Threema oder
Signal)
• Passwörter regelmäßig wechseln
12. Passwörter und die eigene Website
• Nach Möglichkeit SSL für Login verwenden
• Evtl. 2-Factor Authentication (z. B. Authy)
verwenden
• bcrypt statt MD5 verwenden
• Mindestens PHP 5.3.2!