Passwörter

Ein essentieller Punkt bei der Absicherung Ihres Systems gegen Angriffe (sowohl lokal als auch von außen) spielt die Wahl eines sicheren Passworts. Sie sollten es generell vermeiden, z.B. für Ihren Email-Account, Zugang zum Online-Banking, Diskussionsforen etc. ein und dasselbe Passwort zu verwenden, da ein Angreifer ansonsten möglicherweise Zugriff auf alle diese Dienste erhält, wenn er an Ihr Passwort gelangt!

warning Ändern Sie Ihre Passwörter des weiteren in regelmäßigen Abständen (etwa alle 2-3 Monate)! Dies gilt nicht nur für Ihr Windows-Passwort, sondern praktisch für alle Passwörter, die Sie verwenden. Sie können ansonsten ggf. sogar mitverantwortlich bzw. haftbar gemacht werden, wenn ein Angreifer an Ihr Passwort gelangt und beispielsweise Missbrauch mit Ihrem Email-Account betreibt!

Klicken Sie hier und wählen Sie den Punkt Passwortänderung aus, um das Passwort für Ihre Universitätskennung (“AD-Kennung”) zu ändern! Bitte beachten Sie, dass diese Seite nur innerhalb des Netzes der Universität Mannheim erreichbar ist (von außerhalb nur über VPN).

Ändern des Windows-Passworts (nur lokaler PC)

Um Ihr Passwort auf dem lokalen PC zu ändern, drücken Sie gleichzeitig die Tasten Strg+Alt+Entf und wählen Sie den Punkt Kennwort ändern… aus. Alternativ können Sie auch über Start / Systemsteuerung / Benutzerkonten / Eigenes Kennwort ändern den Dialog zur Kennwortänderung aufrufen. Sie müssen anschließend ein mal das alte und zwei mal das neue Kennwort eingeben.

Wie können Benutzerpasswörter überhaupt geknackt werden?

Passwörter werden bei den meisten Betriebssystemen als eindeutige Hash-Werte abgelegt. Diese lassen keinen Rückschluss auf das ursprüngliche vom Benutzer gewählte Passwort im Klartext zu. Bei der Anmeldung am System wird nun aus dem eingegebenen Passwort ein Hash-Wert generiert, welcher mit dem gespeicherten Hash-Wert vergleichen wird. Stimmen diese beiden Werte überein, erfolgt der Login – ansonsten erfolgt eine Fehlermeldung.

Soweit so gut, doch nun kommt der sprichwörtliche “Knackpunkt”: aus beliebigen Worten, z.B. aus Wörterbüchern oder auch Personennamen, Ortsnamen usw. – werden Hash-Werte gebildet, die Ergebnisse in Wörterbüchern, sog. “Rainbow Tables”, gesammelt; solche finden sich z.B. im Internet. Beim Cracken von Passwörtern werden nun nacheinander die Hash-Werte aus den Rainbow Tables mit dem Hash-Wert des Benutzerpassworts verglichen (sog. Brute-Force-Methode), bis eine Übereinstimmung gefunden wurde. Aus dieser lässt sich nun anhand der Rainbow Tables auf das ursprüngliche Passwort zurückschließen. Laut einem Artikel bei Wikipedia können “schon auf einem handelsüblichen Mittelklasse-Computer (..) etwa 15 bis 25 Millionen Passwörter pro Sekunde ausprobiert werden (Stand 2008)”.

Folglich gilt: je komplexer (sprich je weniger normale Worte) und je länger ein Passwort, desto sicherer!

Schlechte Passwörter

Ein schlechtes Passwort bietet keinen wirklichen Schutz, da es mit den richtigen Tools von einem Angreifer im Handumdrehen geknackt werden kann (siehe oben).

warning Zu typischen schlechten Passwörtern zählen z.B. Ihr eigener Name oder der der Freundin/des Freundes, des Haustiers oder des Lieblingsautos, reine Zahlenreihen wie z.B. Ihre Telefonnummer oder Ihr Geburtsdatum, sowie sehr kurze oder gar leere Passwörter.

Gute Passwörter

Sie sollten immer darauf achten, ein sicheres Passwort zu wählen. Da Passwörter unter Windows (im Gegensatz zum Benutzernamen) case-sensitive sind, also zwischen Groß- und Kleinschreibung unterschieden wird, empfiehlt es sich, von diesem Vorteil Gebrauch zu machen. Das Passwort sollte mindestens 10 Zeichen oder mehr Zeichen enthalten. Eine weitere Stufe stellt die zusätzliche Verwendung von Zahlen dar. Bei der Verwendung von Umlauten und Sonderzeichen sollten Sie jedoch Vorsichtig sein (also bei ä, ö, ü, ß, €, {, }, /, &, %, § usw., Vorsicht auch bei Kommas)! Es könnte z.B. passieren, dass Sie diese nicht auf jeder Tastatur vorfinden (etwa auf einer Tastatur mit amerikanischem Layout).

Man muss aber einen Kompromiss finden, auf der einen Seite ein sicheres Passwort zu wählen, es aber so zu gestalten, dass man es sich auch merken kann. So ist Lp6z3R54 natürlich sehr sicher, Sie werden aber voraussichtlich einen Großteil der Zeit damit verbringen, es auswendig zu lernen bzw. sich über Tippfehler bei der Eingabe zu ärgern.

Nachfolgend seien zwei Methoden vorgestellt, mit welchen sich ein sicheres Passwort wählen lässt. Hierbei ist es aber unbedingt notwendig, dass Sie jeweils alle Schritte durchführen, bevor Sie das Passwort verwenden! Die Ergebnisse aus den einzelnen Zwischenschritten eignen sich nicht als sicheres Passwort.

Methode 1

Schritt a) Denken Sie sich einen Satz aus, den Sie sich gut merken können.

Beispiel:
“Im Sommer 97 war ich oft am Badesee.”

Schritt b) Bilden Sie das Passwort aus dem Anfangsbuchstaben jedes Wortes! Zahlen bleiben an ihrer ursprünglichen Stelle erhalten, die Groß- und Kleinschreibung kann als zusätzliche Sicherheit ebenfalls übernommen werden.

In unserem Beispiel lautet das neue Passwort somit: IS97wioaB

Methode 2

Schritt a) Wählen Sie ein ungewöhnliches bzw. sinnloses Wort aus (z.B. aus mehreren Worten zusammengesetzt), welches sich jedoch nicht aus Ihrer Person oder Ihrem Benutzernamen ableiten lässt. Ausgeschlossen sind hierbei also u.a. Ihr Name, Wohnort, Geburtsdatum usw.

Beispiel:
Wort 1: Tankstelle
Wort 2: Apfelschorle

Einige mögliche Kombinationen: Apfeltankschorle, Tankschorle, Tankapfel, …

Es genügt, wenn Sie sich das Wort merken können!!

Schritt b) Ändern Sie die Groß- und Kleinschreibung mind. 1x willkürlich und nicht zwangsläufig nur am Anfang und Ende des Wortes, z.B.: taNkSChorle

Schritt c) Schieben Sie mehrere Zahlen bzw. Zahlenkombinationen an willkürlicher Stelle ein, wiederum nicht nur am Anfang und Ende des Wortes, z.B.: taNk37SChorl2e

warning Falls Sie befürchten, Ihr Passwort einmal zu vergessen und es sich auf Papier notieren, so stellen Sie unbedingt sicher, dass die Niederschrift niemandem außer Ihnen zugänglich ist! Bewahren Sie die Niederschrift daher an einem sicheren Ort auf und keineswegs beispielsweise in einer Schublade an Ihrem Schreibtisch. Das Abspeichern von Passwörtern auf dem PC sollte ein absolutes Tabu sein (zumindestens, wenn keine spezielle Verschlüsselung erfolgt) !!!