Suche
Wie speichert man Passwörter?
Wenn du bei irgendeinem Dienst ein Konto anlegst, sicherst du das in der Regel mit einem Passwort. Oder du benutzt einen Passwortmanager (lokal oder online) um deine Zugänge zu verwalten. Aber egal wo deine Passwörter gespeichert werden: Es ist in deinem Interesse, dass im Falle eines Falles niemand auf deine Codewörter zugreifen kann.
Wir werden uns zunächst ein paar wirklich unsichere Methoden der Speicherung anschauen. Sofern du schon programmieren kannst und Webseiten betreiben möchtest: Dieser Beitrag zeigt wie man es nicht tun sollte. Die für Server sinnvollen Methoden folgen in der nächsten Woche. Um ein gemeinsames Verständnis für die konnkreten Gefahren zu haben, müssen wir noch einmal schauen vor welchem Szenario wir uns eigentlich schützen möchten. In diesem Beitrag gehen wir davon aus, dass ein Angreifer in der Lage war das Speichermedium mit den Passwörtern zu entwenden. Er ist also auf dem Server eingebrochen, hat deinen Passwort-USB-Stick gefunden, deinen Laptop geklaut, ... Auf jeden Fall hat er theoretisch alle Zeit der Welt sich an deinen geheimen Dateien abzuarbeiten.- Speicherung der Passwörter im Klartext
Diese Methode findet sich häufig bei Leuten, die noch nichts von Passwortmanagern gehört haben. Sie möchten einen möglichst unkomplizierten Zugang zu ihren Codewörtern haben und speichern diese dann in.txt
-Dateien, Word-Dokumente oder Excel-Arbeitsmappen und listen dort fein säuberlich alle Zugangsdaten auf. Alternativ kann man sich natürlich auch einen analogen Zettel schreiben und an den Monitor kleben. In diesem Szenario hat ein Angreifer natürlich sofort gewonnen. Leider machen auch einige Webseiten von dieser Methode Gebrauch ... - Einfache (selbstgemachte?) Verschlüsselung
Jetzt hat der Anwender schon begriffen, dass direktes Speichern im Klartext keine schlaue Idee ist. Er benutzt dann z.B. eine Caesar-Verschlüsselung und "rotiert" die Buchstaben. Oder er verwendet mehrere kurze Passwortfragmente und kennt davon nur selber die korrekte Reihenfolge. Oder ..? Ganz egal welche Methode zum Einsatz kommt: Wenn sie ein Mensch noch per Hand berechnen kann ist sie zu einfach! Einen nur nicht speziell an deinen Daten interessierten Angreifer wird dieses Verfahren zumindest ein bisschen beschäftigen können. Allerdings gibt es eine Vielzahl von Tools um eine unfassbar große Zahl von einfachen Verschlüsselungen automatisiert zu testen. Sicher ist also auch diese Methode absolut nicht. - Starke Verschlüsselung
Jetzt verlassen wir den manuellen Pfad endgütlig: Wenn man seine Passwörter mit einem bekannten Verfahren wie AES schützt, also ein Master-Passwort vor die eigentlichen Passwörter setzt, ist man damit so sicher wie es überhaupt nur geht (sofern man seine Passwörter speichern möchte). Wenn man versucht die Dauer abzuschätzen, um ein aktuelles, als sicher eingestuftes Verfahren zu knacken, geht man dabei typischerweise von der Rechenkraft eines großen Rechenzentrums aus. Und trotzdem wird es bei allen aktuellen Verfahren noch mindestens Jahrzehnte dauern dein Passwort zu knacken.
Kommentare
Einen Kommentar schreiben