Passwort, Pin und Passphrase

ELektronik-KOmpendium.de
Online

Preis auf Anfrage
Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen

Wichtige informationen

  • Kurs
  • Online
Beschreibung

Passwort, Pin und Passphrase Ein Passwort ist der allgemeine Begriff für eine geheim gehaltene Zeichenkette, mit der wir uns Zugang oder Zutritt zu einem elektronischen System verschaffen. Ähnlich wie ein Schlüssel für eine Tür.
In der Praxis unterscheiden wir je nach Anwendung und Sicherheitsstufe zwischen Pin, Passwort und Passphrase.

Wichtige informationen

Was lernen Sie in diesem Kurs?

Sicherheit
WLAN

Themenkreis

Pin

Die Pin ist eigentliche eine Abkürzung für "Persönliche Identifikationsnummer", kurz PIN. Die Pin wird im allgemeinen Sprachgebrauch allerdings nicht als Abkürzung, sondern ganz normal als Wort verwendet. Es handelt sich dabei in der Regel um eine 4- bis 6-stellige, manchmal auch 8-stellige Nummer (Zahlenkombination). Anwendung findet die Pin im Zusammenhang mit Zahlungsvorgängen mit Bank- und Kreditkarten. Also zur Bestätigung von Transaktionen jeglicher Art. Außerdem kann eine Pin auch zur Zugangskontrolle verwendet werden. Zum Beispiel bei der Nutzung eines Mobilfunktelefons.

Eine Pin lässt sich vergleichsweise leicht merken. Allerdings ist sie je nach Länge der Zahlenkombination für eine sichere Identifikation bzw. Authentifizierung ungeeignet. Bei einer 4-stelligen Pin erreicht man nur 10.000 Pin-Kombinationen. Von "0000" bis "9999". Für einen Angreifer ist ein so geschütztes System, wenn es keine weiteren Sicherheitsvorkehrungen gibt, kein großes Hindernis. Notfalls würde man einfach 10.000 Kombinationen ausprobieren. Im Mittel liegt die Wahrscheinlichkeit die richtige Zahlenkombination durch Ausprobieren herauszubekommen bei rund der Hälfte. Also 5.000 Versuche. Hat man Kenntnis über eine Zahl und deren Stelle kann man die möglichen Kombinationen schnell reduzieren.

Aus diesem Grund sind in der Regel alle Pin-Zugangssysteme mit einem Mechanismus ausgestattet, der den Vorgang abbricht und weitere Versuche verwehrt, wenn die Pin mehrmals falsch eingegeben wurde. So wird eine Bankkarte gesperrt und eingezogen, wenn man die Pin 3 mal falsch eingegeben hat. Hier geht man davon aus, dass sich die wissende Person die Pin merken kann und häufiger verwendet, weshalb es höchstens zu Tippfehlern oder Fehlbedienung kommen kann. Bei längeren Pins lässt man mehr Fehlversuche zu, weil es hier häufiger zu Tippfehlern kommen kann.

Passwort

Passwörter kommen immer dann ins Spiel, wenn in Kombination mit einem Benutzernamen oder einer Benutzerkennung, die Identifikation eines Benutzers erfolgen soll. Hier reicht ein Passwort nicht aus, weil mehrere Benutzer das selbe Passwort haben können. Wenn man einem neuen Benutzer sagen müsste, dass sein Passwort schon vergeben ist, dann wäre dieses Passwort nicht mehr geheim. Und deshalb braucht es zusätzlich einen Benutzernamen, der aber nicht geheim bleiben muss.
Die Sicherheit eines Passworts ist von dessen Länge und viel wichtiger von dessen Zeichenumfang pro Stelle abhängig. Während eine Pin pro Stelle nur 10 unterschiedliche Werte annehmen kann (von 0 bis 9), erreicht man bei einem Passwort das aus Buchstaben, Zahlen, Sonderzeichen usw. zwischen 60 und 80 unterschiedliche Werte pro Stelle. Je mehr Werte und desto länger, desto komplexer ein Passwort und desto schwieriger ist es zu erraten und desto länger dauert es, bis man es durch Ausprobieren herausbekommen kann. Und genau das ist die Idee eines sicheren Passworts. Es muss so komplex und lang sein, dass das Ausprobieren viel zu lange dauern würde.

Da ein Passwort ein Identifikationsmerkmal ist, sollte jedes Passwort nur einmal benutzt werden, weil man nicht weiß wie sicher Passwörter gespeichert oder übertragen werden. Wenn einmal ein Passwort unverschlüsselt über die Leitung geht oder irgendwo ungesichert gespeichert wird, dann ist dieses Passwort verbrannt. Meist weiß man das nicht.

Generell gilt, dass Passwörter nicht unverschlüsselt übertragen und gespeichert werden sollten. Wenn es sein muss, und das ist in Zugangssystemen immer so, dann müssen die Passwörter gehashed werden. Der Hash-Wert ist so etwas wie eine Prüfsumme oder Quersumme. Allerdings muss der Hash-Wert kryptografisch erzeugt werden, damit man aus dem Hash-Wert nicht das Passwort zurückrechnen kann.

Eine kryptografische Hash-Funktion nimmt einen beliebig langen Wert an und berechnet daraus einen Wert fester Länge. Das besondere dabei, man kann den Hash-Wert nicht zurück berechnen. Auf diese Weise kann man ein Passwort sicher speichern und übertragen.
Ein Angreifer könnte nur durch ausprobieren herausfinden was der ursprüngliche Wert eines Hash-Werts ist. Aber, ein Angreifer braucht nicht zwangsläufig das Passwort. Es reicht auch schon der Hash-Wert.
Ein Beispiel: Wenn ein Angreifer eine Hash-Tabelle hat, dann kann er durch vergleichen der Hashes prüfen, welches Passwort sich dahinter verbirgt.

  • Kryptografische Hash-Funktionen
Passphrase

Eine Passphrase ist im Prinzip ein längeres Passwort, das auch Leerzeichen enthalten kann. Daher gibt es auch eine andere Bezeichnung dafür. Klassischerweise wird eine Passphrase dort verwendet, wo die Sicherheit durch die Länge eines Passworts nicht ausreicht oder wenn man die Passphrase nicht so oft eingeben muss. Der Nachteil einer Passphrase ist generell ihre Länge. Weshalb eine Passphrase aber auch sicherer ist.

Die Stärke einer Passphrase ist der Aufwand, den ein Angreifer betreiben muss, um sie herauszufinden. Eine Passphrase ist für einen gegebenen Zweck sicher, wenn dem Angreifer die zur Verfügung stehenden Ressourcen nicht ausreichen, um die Passphrase innerhalb einer akzeptablen Zeit herauszubekommen.

Passwort oder Passphrase

Die Frage ist natürlich, welchen Zweck ein Passwort erfüllen muss. Je sicherer etwas sein soll, desto länger muss das Passwort sein. Wenn etwas verschlüsselt werden soll, dann empfiehlt sich ein langes Passwort bzw. eine Passphrase zu verwenden.

Bezüglich der Länge und Aufbau von Passwörtern sollte man sich nicht verrückt machen lassen. Passwörter müssen vor allem praktisch und leicht zu merken sein. Die digitale Welt spiegelt nur die reale Welt wieder, in der es auch allerlei Gefahren gibt. So kommt jeder Schlüsseldienstmitarbeiter innerhalb weniger Minuten und unbemerkt in jede Wohnung und in jedes Haus.
Grundsätzlich sollte man immer möglichst lange und komplizierte Passwörter wählen. Kurze und einfache Passwörter sind nicht lange geheim. Umgekehrt müssen wir uns ein Passwort auch merken können. Das geht aber nicht immer. Um die Kenntnis über ein Passwort nicht zu verlieren, schreiben wir uns deshalb ein Passwort auf. Prinzipiell ist das nicht verkehrt. Das Problem dabei ist, wo wir das aufbewahren.

Zugangsdaten und Passwörter aufschreiben

Die meisten Regeln, die empfehlen "Passwörter nicht zu speichern" sind Unfug. Die meisten dieser Regeln stammen aus den 80er Jahren und sind heute nicht mehr gültig. Damals war der Angreifer beispielsweise die Putzfrau oder ein Kollege, der ein Passwort unter der Tastatur oder der Schreibtischunterlage vermutete. Heute kommt der Angreifer unsichtbar aus der Ferne. Außerdem hatte man damals auch nur ein Passwort. Heute muss man mit einer Vielzahl von Zugangsdaten und unter Umständen mehreren Passwörtern umgehen können.
Man sollte die meisten seiner Passwörter aufschreiben oder speichern. Wenn man es auf Papier tut, dann muss man das dann aber auch sicher ablegen. Beispielsweise in einer abschließbaren Schublade oder in einem Schrank.

Passwort-Manager verwenden

Wenn man Passwörter und Zugangsdaten digital speichert, dann muss man es sicher speichern. Nicht nur Passwort-geschützt, sondern richtig verschlüsselt. Eine Excel-Datei ist zum Speichern von Passwörtern und Zugangsdaten eher nicht geeignet. Die Datei kann man zwar mit einem Passwort schützen, aber dabei wird der Inhalt nicht verschlüsseln. Ein einfacher Passwort-Schutz ohne Verschlüsselung ist eine Hürde, aber kein Hindernis.
Ein Passwort-Manager ist dafür besser geeignet. Damit erzeugt man sich zwar einen Single Point of Failure, weil die Zugangsdaten an einer einzigen Stelle liegen. Aber das ist besser, als wenn man überall das gleiche Passwort verwendet.

Auch auf dem Handy ist ein Passwort-Manager ok, wenn er nach mehreren Fehleingaben einer Zugangskontrolle, die Passwort-Datenbank löscht. Das hilft nicht, wenn Geheimdienste an die Passwörter kommen wollen, aber wenigstens bei Alltagshackern.
Verzichten sollte man auf die Synchronisation über die Cloud, wenn man den Passwort-Manager auf mehreren Geräten betreibt. Besser ist die Synchronisation per USB oder wenn nicht anders möglich über WLAN. Aber nur im eigenen WLAN, nicht in einem öffentlichen WLAN-Hotspot.

Wenn man einen Passwort-Manager verwendet, dann sollte man seinen PC sperren sobald man den Arbeitsplatz verlässt, weil sonst jeder an den Passwort-Manager rankommt.
Wichtig ist, der Passwort-Manager muss Passwort-geschützt sein und die Passwort-Datenbank verschlüsseln.

Sicherheitslücke: Keylogger

Eigentlich ist es gar nicht so wichtig, ob und wie man seine Zugangsdaten speichert. Wenn der Rechner, auf dem sie liegen Passwort-gesichert ist und bei Abwesenheit automatisch den Bildschirm schützt, dann hat man schon viel getan.
Die eigentliche Bedrohung kommt aus einer anderen Richtung. Die Frage ist, ob der Computer, auf dem die Zugangsdaten gespeichert sind, frei von Trojanern, Würmern und Viren ist. Oder ob dort ein Key-Logger installiert ist, der die Eingabe von Zugangsdaten aufzeichnet.
Wenn man seinen Rechner nicht mehr unter Kontrolle hat, dann bringt das sicherste Passwort nichts, weil der Keylogger jede Passworteingabe abgreifen kann.

Sicherheitslücke: Passwörter in der Auslagerungsdatei oder auf einem SWAP-Laufwerk

Wenn Programme Daten entschlüsseln muss dazu das Passwort im Arbeitsspeicher vorgehalten werden. Das ist mit Sicherheit nicht optimal, doch irgendwo muss das Passwort für den Entschlüsselungsvorgang im Prozessor gespeichert sein.
Weit problematischer ist, dass Betriebssysteme Auslagerungsdateien oder SWAP-Laufwerke nutzen, um den Arbeitsspeicher um einen virtuellen Arbeitsspeicher zu erweitern, und dabei Daten auf einer Festplatte zwischenspeichern. Ein Problem ist das dann, wenn Passwörter in die Auslagerungsdatei gelangen. Sie befinden sich dann im Dateisystem und hier kann ein Angreifer unbemerkt zugreifen.
Da man in der Regel nicht die Möglichkeit hat das zu unterbinden, macht es Sinn, wenn die Systempartition verschlüsselt ist. In so einem Fall ist es egal, ob das Betriebssystem Passwörter in die Auslagerungsdatei schreibt.

Weitere verwandte Themen:
  • Kryptografische Hash-Funktionen
  • SHA - Secure Hash Algorithm (SHA-1 / SHA-2 / SHA-3)
  • Kryptografische Zufallsgeneratoren
  • Authentifizierung im Netzwerk
  • Digitale Schlüssel (Verschlüsselung)

Vergleichen Sie diesen Kurs mit ähnlichen Kursen
Mehr ansehen