Passwörter: So machen Sie sie richtig – wikiHow

2024 Autor: John Day | [email protected]. Zuletzt bearbeitet: 2024-01-30 07:21

Anfang des Jahres hat meine Frau den Zugriff auf einige ihrer Konten verloren. Ihr Passwort wurde von einer gehackten Website genommen und dann verwendet, um in andere Konten einzudringen. Erst als Websites anfingen, sie über fehlgeschlagene Anmeldeversuche zu benachrichtigen, merkte sie, dass etwas vor sich ging.

Ich habe auch mit einer Reihe von Leuten gesprochen, die sagen, dass sie für jede Site dasselbe Passwort verwenden. Diese beiden Dinge waren genug, um mich anzuspornen, dieses Instructable zu schreiben.

Die Passwortsicherheit ist ein sehr kleiner Teil der Online-Sicherheit insgesamt. Fast jedes Konto erfordert eine Art Login, um den Zugriff auf das zu ermöglichen, was es schützt. Diese einzelne Zeichenfolge ist oft alles, was zwischen einem Angreifer und Ihren persönlichen Daten, Geld, persönlichen Bildern oder den Reisepunkten steht, die Sie seit Jahren sammeln.

Dieses anweisbare zielt darauf ab, einige Best Practices zum Erstellen von Passwörtern abzudecken. Wenn Sie jemand sind, der das gleiche Passwort für jede Website hat, dessen Passwörter ein Muster auf der Tastatur sind, oder Sie das Wort "Passwort" in Ihrem Passwort haben, ist dieses anweisbare für Sie.

Haftungsausschluss

Ich bin kein Sicherheitsexperte. Diese Informationen wurden im Laufe der Zeit gelernt und recherchiert und sind nur eine Empfehlung und Zusammenfassung eines sehr komplexen Themas. Dieses Tutorial wurde Anfang 2018 geschrieben und kann beim Lesen veraltet sein.

TL;DR

Wenn Sie sich nicht für alle meine Argumente und Erklärungen zu Passwörtern interessieren und nur eine einfache Möglichkeit suchen, sichere Passwörter zu erstellen, fahren Sie mit dem letzten Schritt fort.

Schritt 1: Machen Sie es lang

Die Länge ist eine sehr wichtige Komponente für die Passwortsicherheit. Mit der immer schneller werdenden Computergeschwindigkeit können Passwörter mit erstaunlicher Geschwindigkeit ausprobiert werden. Dies wird als "Brute-Force"-Kennwortknacken bezeichnet. Es bindet jede mögliche Kombination von Zeichen, bis Sie das passende gefunden haben.

Theoretisch macht dies jedes Passwort knackbar, wenn man genügend Zeit hat. Glücklicherweise dauert dieser Angriffstyp umso länger, je länger das Passwort ist. Jedes Zeichen, das Sie der Länge hinzufügen, macht die Schwierigkeit viel schwieriger. Wenn es lang genug ist, kann es Jahrzehnte dauern, es auf diese Weise zu finden, was es für einen Angreifer nicht lohnt.

Beispiel

Nehmen wir an, Sie haben ein Passwort, das nur aus Großbuchstaben besteht. Das ist keine gute Idee, dient aber nur zur Veranschaulichung. Jedes Mal, wenn Sie dem Passwort ein weiteres Zeichen hinzufügen, wird die Anzahl der möglichen Passwörter mit 26 multipliziert. Wenn Sie ein Passwort mit 1 Zeichen hätten, hätte es 26 mögliche Passwörter, 2 Zeichen hätten 676 mögliche Passwörter usw. Dies beginnt schnell zu schneien.

1. 26
2. 676
3. 17576
4. 456976
5. 11881376
6. 308915776
7. 8031810176
8. 208827064576
9. 5429503678976
10. 141167095653376
11. 3670344486987780
12. 95428956661682200
13. 2481152873203740000
14. 64509974703297200000
15. 1677259342285730000000

Wie Sie sehen können, macht jeder Buchstabe, den Sie hinzufügen, diesen Angriff viel schwieriger und mit genügend Zeichen praktisch unmöglich. Denken Sie daran, dies ist nur mit Großbuchstaben. Sobald sie komplexer werden, wird dieser Effekt verstärkt.

Schritt 2: Machen Sie es komplex

Komplexität ist ein weiterer wichtiger Faktor bei der Passwortsicherheit. Wenn eine Website jemals verletzt wird, ist es wahrscheinlich, dass Benutzernamen und Passwörter herausgezogen werden. Als grundlegende Sicherheitsstufe werden die Passwörter hoffentlich vor der Speicherung gehasht (ähnlich der Verschlüsselung). Dies bedeutet, dass sie verstümmelt werden, bevor sie in die Datenbank gelangen, und es gibt keine Möglichkeit, diese Verstümmelung rückgängig zu machen.

Das hört sich alles gut an. Es spielt keine Rolle, wie Ihr Passwort lautet, weil es verstümmelt ist, oder? Dies ist nicht der Fall, wenn Ihr Passwort nicht komplex ist. Es werden Standard-Hashing-Algorithmen verwendet (SHA1, MD5, SHA512 usw.) und sie werden immer das Gleiche auf die gleiche Weise hashen. Wenn Sie beispielsweise SHA1 verwenden und Ihr Passwort "password" lautet, wird es in der Datenbank immer als "5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8" gespeichert.

Das Erstellen von Hashes erfordert Zeit und Computerleistung, und die Berechnung aller möglichen Hashes für alle möglichen Passwörter ist praktisch unmöglich. Die Leute haben "Wörterbücher" von gängigen Passwörtern erstellt. Dinge wie "Passwort" oder "Qwerty" werden natürlich dabei sein, aber auch weniger gebräuchliche. Es wird Millionen von Passwörtern in diesen Wörterbüchern geben und es dauert nur Sekunden, um jeden Eintrag durchzugehen und den bekannten Hash mit dem Hash Ihres Passworts zu vergleichen. Dies wird als "Wörterbuchangriff" bezeichnet. Wenn Ihr Passwort bereits berechnet wurde, schützt die Verstümmelung Ihr Passwort nicht und kann auf anderen Websites verwendet werden.

Auch das Ändern von Buchstaben in Zahlen erhöht die Komplexität nicht. Es mag komplizierter erscheinen, E auf 3 oder I auf 1 zu ändern, aber das ist eine so gängige Praxis, dass es keine Sicherheit mehr bietet. Cracking-Programme haben eine Option, die diese Variationen automatisch ausprobiert.

Schritt 3: Machen Sie es einzigartig

Es ist schwer, sich Passwörter zu merken. Da unser Leben zunehmend online wird, ist es nicht ungewöhnlich, dass jede Person über 50 Online-Konten mit jeweils eigenem Login hat. Dies kann sehr schwer zu verfolgen sein.

Die üblichste Art und Weise, wie Menschen damit umgehen, besteht darin, ein "gutes" Passwort auszuwählen und es auf einer Reihe verschiedener Websites zu verwenden. Das ist eine schreckliche Idee. Alles, was Sie brauchen, ist eine Sicherheitsverletzung oder eine Phishing-Website, um Ihren Benutzernamen und Ihr Passwort zu erhalten, um den Ball ins Rollen zu bringen. Angreifer könnten diesen Benutzernamen und das Passwort innerhalb von Sekunden auf Hunderten von Websites ausprobieren. Dies würde sie automatisch auf jede Website mit demselben Benutzernamen wie die kompromittierte bringen.

Ich weiß, dass es eine entmutigende Aufgabe ist, für jede Site ein anderes Passwort zu haben, aber wir werden später behandeln, wie man damit umgeht.

Schritt 4: Nichts Persönliches

Ihre Informationen sind nicht so privat, wie Sie denken. Eine schnelle Online-Suche könnte Ihr Geburtsdatum oder Ihre Adresse leicht finden. Wenn ein anderes Konto geknackt wurde, können noch mehr Informationen leicht abgerufen werden. Wenn ein Angreifer versucht, in Ihre Konten einzudringen, sind dies offensichtliche Passwörter. Es lässt auch Familienmitgliedern, Freunden oder sogar Bekannten den Zugang offen.

Schritt 5: Behandeln Sie alle Passwörter mit der gleichen Sorgfalt

Beim Umgang mit Websites sollten Sie deren Sicherheit mit der gleichen Sorgfalt behandeln. Wenn Sie sich beispielsweise bei Ihrer Lieblingskatzen-Website anmelden, sollten Sie dieselben Vorsichtsmaßnahmen treffen wie bei Ihrem Bank-Login. Es mag nicht viel erscheinen, den Zugang zu all diesen entzückenden Schnurrhaaren zu verlieren, aber das könnte nur ein Sprungbrett für einen Angreifer sein. Ein Verstoß gegen diese „unwichtige“Website könnte einem Angreifer weitere Informationen über Sie geben, wie z.

Auch wenn es sich um eine unwichtige Website handelt, besteht eine höhere Wahrscheinlichkeit, dass sie nicht die richtigen Sicherheitspraktiken befolgt. Dieses Passwort kann problemlos auf anderen Websites verwendet werden. Nochmals, nur weil die Site "unwichtig" ist, bedeutet das nicht, dass Ihre Sicherheit es ist.

Schritt 6: Halten Sie es versteckt

Gut - Offline-Speicher

Offline-Speicher kann eine gute Option sein, wenn Sie vergesslich sind. Ein USB-Stick, den Sie mit Ihren Passwörtern verschlossen aufbewahren, schützt vor den meisten Angriffen, mit Ausnahme von Familie und Freunden. Für den Fall, dass Sie diesen Stick irgendwie verlieren, stellen Sie sicher, dass die Passwortdatei oder das gesamte Laufwerk verschlüsselt ist und dass der Stick an einem sehr sicheren Ort gesichert ist.

Diese Methode bietet viel Sicherheit, aber auf Kosten der Bequemlichkeit.

Der Grund, warum es offline sein sollte, wird unten genauer erklärt. Denken Sie daran, dass viele Geräte jetzt automatisch in der Cloud gesichert werden, auch wenn Sie es nicht wollten. Wenn Sie diesen Stick jemals an ein Gerät anschließen, das einen Virus enthält oder kompromittiert ist, können die Daten leicht kopiert werden.

Besser - Erinnere dich an alles

Merken Sie sich alle Ihre Passwörter. Wenn Sie unglaublich begabt sind, könnte dies eine Option sein. Es gibt keine Möglichkeit für jemanden, sie zu finden, und Sie haben sie immer bei sich. Einige Nachteile sind, dass die meisten von uns nicht gut darin sind, sich an komplexe Dinge zu erinnern, und neigen dazu, nach ein oder zwei Drinks ein wenig zu viel zu reden. Besonders bei Dutzenden von Passwörtern, die man sich merken muss, ist dies wahrscheinlich nicht einmal für den Laien eine Option.

Am besten - Kein Speicher

Im besten Fall speichern Sie sie gar nicht. Erinnern Sie sich entweder irgendwie an alle Ihre einzigartigen, langen, komplexen Passwörter oder haben Sie eine Möglichkeit, sie im Handumdrehen neu zu erstellen. Wenn Sie die benötigten Zutaten kennen, um sie neu zu erstellen, kann ein Angreifer sie nicht "finden", da sie nicht existieren, bis sie gebraucht werden. Das mag kompliziert klingen, ist es aber nicht. Dazu später mehr.

Die Bedeutung von Offline

Websites werden von Menschen verwaltet. Bei den meisten Websites kann man davon ausgehen, dass diese Leute im Allgemeinen gute Absichten haben, aber selbst die besten Leute können Fehler machen. Allein im letzten Jahr gab es eine Reihe massiver Sicherheitsverletzungen bei großen, im Allgemeinen sicheren Unternehmen wie Linked-In, Yahoo, Equifax, Apple und Uber, um nur einige zu nennen. Dies sind große Unternehmen mit Sicherheitsabteilungen und sie wurden verletzt.

Cloud-Speicher klingt schick und bietet Komfort, aber was eine "Cloud" ist, ist in Wirklichkeit der Computer einer anderen Person, auf dem Sie Ihre Dateien speichern. Wie ich oben sagte, Menschen können Fehler machen. In diesem Fall könnten Ihre Passwörter weltweit verfügbar sein. Cloud-Sites sind aufgrund der Menge an Daten, die sie enthalten, ein riesiges Ziel für Angreifer. Brechen Sie die Cloud-Site auf, erhalten Sie Zugriff auf alle Informationen, die potenziell Millionen von Menschen gespeichert haben.

Ich bin mir sicher, dass einiges davon Paranoia ist, aber da ein großer Teil Ihres Lebens hinter diesen Passwörtern verborgen ist, schützen Sie sie als solche.

Schritt 7: Meine Empfehlung

Dies war eine sehr lange Präambel, um die wichtigsten Säulen der Passwortsicherheit zu erklären. Wenn Sie diese 6 Richtlinien befolgen, sollten Sie online minimale Sicherheitsprobleme haben, und wenn etwas passiert, sollte es an der Quelle aufhören und sich nicht auf den Rest Ihres Online-Lebens ausbreiten.

Es gibt viele verschiedene Möglichkeiten, diese Herausforderungen zu lösen. Einige sind besser als andere und bieten unterschiedliche Vorteile. Meine Lieblingslösung ist SuperGenPass (SGP). Ich bin in keiner Weise verbunden, ich bin nur ein Fan.

Einfach zu benutzen

SGP verfügt über eine App für Ihr Telefon und eine Schaltfläche, die Sie Ihrem Browser hinzufügen können. Wenn Sie auf eine Website gehen und Sie nach Ihrem Login gefragt werden, klicken Sie auf die Schaltfläche. Es öffnet sich ein kleines Fenster. Geben Sie Ihr Master-Passwort ein. SGP generiert ein Passwort für diese Site und gibt es für Sie in das Passwortfeld ein!

Lang

Sie können die Länge des erstellten Passworts wählen. Dadurch werden Passwörter mit bis zu 24 Zeichen generiert, was ziemlich sicher ist, aber Sie können kürzere wählen, wenn einige Websites die Länge Ihres Passworts einschränken.

Komplex

Es werden Großbuchstaben, Kleinbuchstaben und Zahlen verwendet, was ziemlich sicher ist. Sie folgen keinem erkennbaren Muster ohne Wörter oder Phrasen. Nichts von Ihrer URL oder Ihrem Master-Passwort ist in dieser Zeichenfolge enthalten.

Einzigartig

Jede Website hat ein völlig einzigartiges Passwort. Die Passwörter für example1.com und example2.com sind völlig unterschiedlich, obwohl sich in den anfänglichen "Zutaten" nur ein Zeichen unterscheidet. Wie Sie im Beispiel unten sehen können, gibt es keine Verbindung zwischen den "Zutaten" und dem resultierenden Passwort und sie unterscheiden sich SEHR voneinander.

masterpassword:example1.com -> zVNqyKdf7Fmasterpassword:example2.com -> eYPtU3mfVw

Lagerung

Es speichert und überträgt keine Daten. Es kann komplett offline ausgeführt werden, wenn Sie besorgt sind und niemand sie finden oder stehlen kann.

Schritt 8: SGP: Einrichtung

Die Einrichtung von SGP ist super einfach. Zuerst möchten Sie es wahrscheinlich zu Ihrer Lesezeichenleiste hinzufügen. Gehen Sie dazu zu:

chriszarate.github.io/supergenpass/

Es werden 2 Schaltflächen zur Auswahl stehen. Um einen Computer einzurichten, den Sie normalerweise verwenden, ziehen Sie die linke Schaltfläche in Ihre Lesezeichenleiste. Dadurch erhalten Sie eine neue Schaltfläche, die Sie verwenden können.

Wenn Sie in Zukunft den Computer einer anderen Person verwenden, können Sie die Schaltfläche rechts auswählen. Auf diese Weise können Sie SGP verwenden, ohne etwas in ihrem Browser zu ändern. Es ist auch eine Option für einen mobilen Browser.

Sobald es zu Ihrer Lesezeichenleiste hinzugefügt wurde, klicken Sie auf die Schaltfläche. Es öffnet sich ein kleines Fenster in der Ecke Ihrer Webseite. Ein Klick auf das kleine Zahnrad öffnet die Einstellungen.

Länge

Die Zahl auf der linken Seite ist die Länge des Passworts, das generiert wird. Ich empfehle Ihnen, sich die Websites anzusehen, die Sie am häufigsten verwenden, und stellen Sie die höchste Zahl ein, die diese Websites zulassen. Über 12 wird empfohlen, aber je länger, desto besser, zumal Sie sich nicht daran erinnern müssen.

Hash-Typ

Es gibt zwei Optionen für den verwendeten Hash-Typ, MD5 und SHA. Beide generieren Passwörter mit Großbuchstaben, Kleinbuchstaben und Zahlen. Dies zu ändern ist eine einfache Möglichkeit, alle Ihre Passwörter zu ändern, während das gleiche Master-Passwort beibehalten wird.

Geheimes Passwort

Der Abschnitt mit dem geheimen Passwort ist eine zusätzliche Möglichkeit, um sicherzustellen, dass alles sicher ist. Wenn das Applet startet und Sie ein geheimes Passwort haben, wird ein kleines Bild im Passwortfeld angezeigt. Dieses Passwort sollte beim Start IMMER gleich sein. Wenn es startet und dieses Bild nicht das ist, was es normalerweise ist, besteht die Möglichkeit, dass jemand versucht, Ihr Master-Passwort zu erhalten.

Master Passwort

Dies ist während der Einrichtung nicht notwendig, aber sehr wichtig. Achten Sie darauf, ein starkes Passwort zu wählen. Dies ist ein einzelnes Passwort, das Sie immer auf jeder Site eingeben. Stellen Sie sicher, dass es etwas ist, an das Sie sich erinnern können, aber komplex, lang und unpersönlich ist.

Sparen

Sobald Sie alle Ihre Einstellungen ausgewählt haben, klicken Sie erneut auf das Speichern-Symbol und das Zahnradsymbol, um die Einstellungen zu schließen

Schritt 9: Verwenden Sie SGP

Um SGP zu verwenden, navigieren Sie wie gewohnt zu einer Website. Wenn Sie Ihr Passwort eingeben müssen, klicken Sie auf die SGP-Schaltfläche, die Sie zu Ihrer Lesezeichenleiste hinzugefügt haben. Wenn Sie beim Einrichten von SGP ein geheimes Passwort verwendet haben, stellen Sie sicher, dass das Bild, das im Passwortfeld angezeigt wird, mit dem übereinstimmt, das es bei der Einrichtung war.

Geben Sie Ihr Master-Passwort ein und drücken Sie die Eingabetaste. Dadurch wird Ihr einzigartiges Passwort für diese Website berechnet und für Sie ausgefüllt! Während Sie Ihr Master-Passwort eingeben, wird das Symbol aktualisiert. Wenn das Bild nicht mit dem Symbol übereinstimmt, das Sie normalerweise haben, haben Sie entweder Ihr Master-Passwort falsch eingegeben oder jemand versucht, Ihr Passwort zu erhalten.

Je nachdem, wie die Site geschrieben ist, kann SGP das Kennwort möglicherweise nicht für Sie eingeben oder die Site erkennt möglicherweise nicht, dass es eingegeben wurde. In diesem Fall können Sie auf das Kopiersymbol neben dem generierten Kennwortfeld klicken und es manuell einfügen.

Sobald Ihr Passwort eingegeben ist, klicken Sie auf Anmelden und Sie sind da!

Schritt 10: Abschließende Gedanken

SGP funktioniert möglicherweise nicht bei jedem, und das ist in Ordnung. Es ist nicht die perfekte Lösung, weil es so etwas nicht gibt. Wenn Sie einen anderen Dienst oder eine andere Methode für Passwörter verwenden, beachten Sie die 6 Schritte für ein sicheres Passwort. Wenn Ihre aktuelle Methode in einigen dieser Bereiche nicht ausreicht, ist es möglicherweise an der Zeit, nach einer anderen Lösung zu suchen. Ja, es kann einen halben Tag dauern, alle Ihre Konten zu ändern, aber das würde wahrscheinlich weniger Kopfschmerzen bereiten, als wenn Ihre Konten verletzt werden.

Ein Hinweis zum Online-Speicher: Wenn der Dienst Ihre Passwörter online/in der "Cloud" speichert, überprüfen Sie seine Sicherheitspraktiken, um sicherzustellen, dass sie gut sind. Die Site wird Ihnen wahrscheinlich sagen, was sie tun, um Ihre Passwörter zu schützen, wenn sie es richtig machen. Wenn Sie sich nicht sicher sind, schreiben Sie ihnen eine E-Mail und fragen Sie nach. Wenn sie Ihnen keine gute/prägnante/genaue Antwort geben können, seien Sie bei der Nutzung dieses Dienstes vorsichtig.