Was kann man von Websites halten, die Passwörter "überprüfen"?

3 Antworten

Vom Fragesteller als hilfreich ausgezeichnet
BrilleHN
28.03.2015, 12:36

Das kommt darauf an wie umfangreich das verwendete Wörterbuch und die Prüfung auf Sonderzeichen ist. Und dann kommt es noch auf die Software an welche das Passwort abfragt - wenn die ein Leck hat ist es mit der Sicherheit eh vorbei.

Normaler Weise sollte ein 8 Zeichen langes Passwort das eine wilde Kombination aus Zahlen und Buchstaben enthält völlig ausreichen.
checkdeinpw
07.04.2015, 10:05

Hallo extravagantes,

ich bin ein Mitarbeiter von mecodia. Wir sind das Unternehmen, das www.checkdeinpasswort.de entwickelt und betreut. Ich kann dir, zumindest was checkdeinpasswort.de angeht, ein paar Antworten und Infos liefern, damit du die Seite besser einschätzen kannst.   

Zum Hintergrund:

Das Ziel der Seite ist es, anschaulich ein Gespür für sichere Passwörter zu vermitteln. Wir bieten bei mecodia Seminare zum Thema Medienkompetenz und IT-Sicherheit an und arbeiten dabei oft mit Schülern oder älteren Internetnutzern zusammen. Natürlich hat jeder schon einmal gehört, dass man sichere Passwörter verwenden soll, aber die wenigsten Leute halten sich daran. Darum haben wir die Seite entwickelt um das Thema auf einfache Weise zu visualisieren, so dass auch Laien oder jüngere Schüler das gut verstehen.

Zur Technik:

Auf unserer Seite siehst du links unten mehrere verlinkte Elemente die wir eingebunden haben, z. B. eine Liste mit Namen oder eine Liste mit häufig verwendeten Passwörtern. Gibst du nun ein Passwort ein, wird geprüft ob es auf einer dieser Quellen (Namensliste, Wörterbuch, Passwortliste) auftaucht. Wird dein Passwort dort gefunden ist es nicht sehr sicher, da auch Hacker solche Listen einsetzen. Taucht das Wort nicht unmittelbar auf der Liste auf, berechnen wir mit einer mathematischen Funktion näherungsweise (!) wie lange ein herkömmlicher Computer (etwa ein Mittelklasse-Laptop aus den letzten 2 Jahren) brauchen würde, um das Passwort durch simples Ausprobieren zu erraten.

Wenn du technisch versiert bist, ist auch der Quellcode, also die programmierten Anweisungen die auf der Seite ausgeführt werden, links unten einsehbar. Das heißt du kannst dir (mit entsprechenden technischen Kenntnissen) auch genau anschauen was passiert und wie die Seite arbeitet.

Zur Sicherheit:

Es werden zu keiner Zeit eingegebenen Passwörter auf der Seite gespeichert oder an uns gesendet. Die Berechnung des Passworts erfolgt ausschließlich auf dem eigenen Gerät (PC, Smartphone, Tablet) des Nutzers. Wenn man da bedenken hat, kann man die Seite auch laden und danach die Verbindung zum Internet trennen, bevor man Passwörter eingibt. Die Seite funktioniert dann immernoch, da alle notwendigen Daten lokal in deinem Browser geladen werden.  

Auch wenn wir die Passwörter nicht speichern: Generell ist es ein sehr guter Hinweis, nicht die eigenen Passwörter unverändert irgendwo ins Internet einzutragen!

Zur Bewertung / Genauigkeit der Ergebnisse:

Wir vermischen bei unserer Berechnung beispielsweise sog. Wörterbuchangriffe (Passwort auf Liste finden) und sog. Brute-Force-Attacken (Passwort durch ausprobieren aller Möglichkeiten knacken). Eigentlich handelt es sich hier um zwei getrennte Ansätze, die wir der Einfachheit halber auf unserer Seite kombinieren. Dabei sind auch die Ergebnisse welche die Seite berechnet, lediglich Schätzwerte, die keinen Anspruch auf absolute Exaktheit haben.

Wie lange es dauert ein Passwort zu knacken, hängt in echt von sehr vielen Faktoren ab. So spielen z.B. der Speicherort des Passworts, Länge und Zeichenzahl, Verschlüsselung, die zum Knacken verwendete Software, eingesetzte Hardware, und viele andere Punkte eine Rolle. Dies alles kann die Seite nicht abbilden und soll sie auch gar nicht. Sie soll vielmehr die folgenden wichtigen Kernaussagen einfach veranschaulichen:

Einfache Passwörter wie “1234”, “passwort” oder ein beliebter Vorname sind, da viele Nutzer sie verwenden, sehr unsicher und einfach zu knacken.

Je mehr Vielfalt bei der Wahl der Zeichen (Buchstaben, Zahlen, Sonderzeichen) desto mehr Kombinationen werden für das Passwort möglich. Die muss ein Rechner der das mit Gewalt knacken möchte auch erstmal alle durchprobieren, weshalb es länger dauert.

Je länger das Passwort wird, desto mehr mögliche Kombinationen gibt es. Mit jedem weiteren Zeichen steigt der Rechenaufwand stark an. Exponentielles Wachstum ist hier das Stichwort.

Jedes Passwort kann, mit genügend Geduld und Rechenleistung geknackt werden! Man kann das Passwort aber so schwer zu knacken machen, dass einem Angreifer die Lust vergeht, da zu viel Zeit gebraucht wird. Das versucht die Seite durch die hohen Zahlen bei längeren Kombinationen abzubilden.

Pauschale Aussagen wie “8 Zeichen sind sicher genug” sind immer kritisch zu sehen, da die Rechenleistung der Computer ja auch immer größer wird. Generell gilt: Je länger, desto besser.

Ich hoffe das hilft dir schon mal weiter. Gerne beantworte ich auch noch weitere Fragen zum Thema.

NeroLetsPlays
28.03.2015, 12:34

Zu Beginn - Ich habe keine Erfahrungen mit sollchen Seiten.
Allerdings glaube ich nicht das man die Seiten benötigt um ein gutes Passwort zu haben bzw. zu sehen ob es sicher ist :)

http://www.chip.de/downloads/KeePass-2_37165084.html

"Keepass2" Ist ein Programm mit dem du Passwörter erstellen und sichern kannst (Zudem ist einstellbar wie Sicher,Welches Verschlüsselungssystem,und welche Zahlen und Buchstaben verwendet werden  ect.).

Für absolute Sicherheit empfehle ich dir jedoch dein Passwort regelmäßig zu ändern ;) Ein 100% sicheres Passwort gibt es nämlich nicht ,wenn jemand wirklich an deine Daten gelangen will. Die von dir genannten Seiten kannst du natürlich als ungefähren Richtwert nehmen allerdings ist Keepass2 darauf spezialisiert dein Passwort so sicher wie möglich zu machen :)

Ich hoffe das konnte dir einigermaßen weiterhelfen und es war nicht zuviel Text!
Gruß Nero