Leitfaden für starke Passwörter: Ihre sind zu schwach, hier ist die Lösung …

So erstellen und speichern Sie sichere Passwörter


Ein 6-Buchstaben-Passwort kann von einem Computer in 1 Sekunde erraten werden (wenn es sich um ein Wort aus dem Wörterbuch handelt). Ein 9-stelliges Kleinbuchstabenwort (wie „Spaghetti“) dauert knapp 32 Minuten. Und wenn ich so geraten habe, habe ich keine kleine Chance gemeint. Ich meine 100% ige Sicherheit, dass Ihr Passwort mithilfe eines sogenannten “Wörterbuchangriffs” geknackt werden kann..

Dies ist nur eine der vielen Techniken, die einem Hacker zur Verfügung stehen, um unbefugten Zugriff auf Ihr Konto zu erhalten. Und was ist, wenn Sie dasselbe Passwort für mehrere Konten verwenden? Was passiert, wenn der Hacker Zugriff auf Ihr primäres E-Mail-Konto erhält und von dort aus das Kennwort auf eines Ihrer anderen Konten zurücksetzen kann?!

Der Schaden wäre massiv und möglicherweise irreparabel.

Wir sprechen von einem möglichen Geldverlust, einem dauerhaften Verlust des Kontozugriffs, Identitätsdiebstahl, öffentlicher Diffamierung und der Offenlegung sensibler persönlicher oder finanzieller Informationen. Vertrau mir, es wäre schlecht.

Nachdem ich Ihre Aufmerksamkeit auf mich gezogen habe, möchte ich Ihnen zeigen, wie unsicher Ihre Passwörter wirklich sind (und die absolut besten Methoden zum Schutz der Sicherheit von Online- und Offline-Konten)..

Contents

In diesem Artikel erfahren Sie:

  1. 4 schnelle Tipps für sicherere Passwörter (aber Sie werden viel mehr lernen, wenn Sie den gesamten Artikel lesen)
  2. Wie Passwörter geknackt werden (eine Einführung)
  3. Wörterbuchangriffe
  4. Regenbogentische
  5. Passwortsicherheit
    1. Anatomie eines starken Passworts
    2. Best Practices für Kennwörter (eindeutige Kennwörter, 2-Faktor-Authentifizierung usw.)
    3. So merken / speichern Sie Ihre sicheren Passwörter
  6. Passwort-Tresore (Cloud- und selbst gehostete Optionen)
  7. Zwei-Faktor-Authentifizierung (Sie benötigen diese. Heute.)
  8. Zusammenfassung und zusätzliche Ressourcen

4 Regeln für sichere Passwörter

Hier sind meine schnellen und schmutzigen Top-Tipps, um Ihr Passwort und Ihre Kontosicherheit in kürzester Zeit zu maximieren. Diese Tipps sind ein guter Ausgangspunkt, aber wenn Sie Zeit haben, lernen Sie viel mehr, indem Sie den gesamten Artikel lesen.

# 1 – Verwenden Sie sichere Passwörter

Dies scheint ein Kinderspiel zu sein, aber die meisten Menschen wissen nicht, was “stark” bedeutet. Hier ist ein Cheatsheat:

  1. Stark – Verwenden Sie mindestens 3 von 4 (Groß-, Klein-, Zahlen, Symbole)
  2. Lange – 11+ Zeichen Minimum. 16 oder länger, wenn Sie Regel 1 ignorieren
  3. Zufällig – Es ist viel einfacher, ein Passwort mit echten Wörtern zu knacken („Donkey1975“).

# 2 – Verwenden Sie mehrere eindeutige Passwörter

Wenn eine Site einen Datenverstoß aufweist und Ihr Login / Passwort gestohlen wurde (ich garantiere, dass dies bereits mindestens einmal passiert ist), auf wie viele andere Sites kann der Hacker mit Ihren Anmeldeinformationen zugreifen? Idealerweise soll diese Zahl NULL sein.

In Wirklichkeit müssten die meisten Leute irgendwo zwischen “Ein paar” und “Fast alle von ihnen …” antworten.

Verwenden Sie niemals Passwörter für äußerst wichtige Websites wie:

  1. Bankkonten
  2. 401k / Aktienkonten
  3. Email

# 3 – Verwenden Sie einen Passwort-Tresor (um sich Ihre Passwörter zu merken)

Das Problem mit sicheren Passwörtern ist, dass es unmöglich ist, sich alle zu merken. Glücklicherweise gibt es mehrere “Password Vault” – und Cloud-Passwortlösungen, mit denen Sie alle Ihre sicheren Passwörter für jede Website generieren und speichern können. Sie müssen sich lediglich ein einziges „Master-Passwort“ merken..

Meine persönlichen Empfehlungen:

  • Lastpass – Cloud-Lösung, überall verfügbar. Browsererweiterung und mobile Unterstützung.
  • Keepass – Selbst gehostetes, verschlüsseltes Passwortfach. Auf Ihrem eigenen Gerät gespeichert.

# 4 – Aktivieren Sie die 2-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung fügt dem Anmeldevorgang eine zweite Sicherheitsebene hinzu. Ein Passwort allein reicht nicht aus. Sie benötigen sowohl das Kennwort als auch den Zugriff auf das Authentifizierungsgerät (normalerweise Ihr Mobiltelefon, das Bestätigungsanfragen per Text oder Push-Benachrichtigungen empfängt)..

Es ist bei weitem nicht so mühsam, wie es sich anhört, und viele 2FA-Systeme müssen Sie nur einmal überprüfen, es sei denn, Sie versuchen, sich später von einem unbekannten Gerät aus anzumelden.

Die zwei wichtigsten Konten für 2FA:

  1. Ihr Passwort-Tresor (Andernfalls kann jemand, der Ihr Hauptkennwort stiehlt, auf jedes Konto zugreifen.).
  2. Deine E-Mail (Ein Hacker mit Zugriff auf Ihre E-Mail kann Kennwörter für andere Konten problemlos zurücksetzen.).

Lastpass bietet mehrere (kostenlose) Optionen, um Ihrem Konto eine 2-Faktor-Authentifizierung hinzuzufügen. Was E-Mail-Anbieter betrifft, haben die meisten die 2FA-Technologie nur langsam eingeführt. Die bemerkenswerte Ausnahme ist Google, das hatte 2-Faktor-Authentifizierung in Google Mail jahrelang.

Wie Passwörter geknackt werden

Dieser Abschnitt gibt Ihnen eine solide Einführung in die verschiedenen Möglichkeiten, wie Ihr Passwort kompromittiert werden kann (Bedrohungsvektoren). Wir werden auch die Methoden diskutieren, die von Websites verwendet werden, um Ihre Anmeldeinformationen sicher (oder manchmal unsicher) zu speichern.

Außerdem erfahren Sie, wie Hacker verschlüsselte Kennwortdatenbanken rückentwickeln können (und wie Sie sich schützen können)..

Es gibt zwei Möglichkeiten, wie Ihr Passwort geknackt werden kann:

  1. Passwort erraten / Brute-Force-Angriffe
  2. Reverse Engineering-Passwörter, die von gehackten Websites gestohlen wurden.

Password Guessing-Angriffe

Diese Angriffe funktionieren (sowohl online als auch offline), indem mehrere verschiedene Passwörter für denselben Benutzernamen schnell hintereinander ausprobiert werden. Ein schneller Computer kann Tausende (oder sogar Millionen) Kombinationen pro Sekunde ausprobieren. Das Erraten von Angriffen funktioniert in Offline-Szenarien viel schneller (Knacken eines Betriebssystems oder eines Dateikennworts).

Das Erraten von Angriffen auf Websites ist langsamer, da der Webserver die Geschwindigkeit einschränkt, mit der ein Benutzer eine neue Kennwortkombination ausprobieren kann.

Häufige Vermutungsangriffe:

  1. Rohe Gewalt – Jede mögliche Zeichenkombination ausprobieren
  2. Wörterbuchangriff – Erraten Sie die häufigsten Wörter / Passwörter

Brute-Force-Angriffe

Dies ist die einfachste Form des Angriffs zum Erraten von Passwörtern. Der Hacker verwendet Software, um jede mögliche Kombination von Zeichen in jeder Kennwortlänge zu testen, bis die richtige gefunden wird.

Da die Kennwortanforderungen bestimmter Websites öffentlich bekannt sind (z. B. “muss mindestens eine Nummer enthalten”), können die Regeln für den Brute-Force-Angriff auf die Mindestkennwortanforderungen der Websites zugeschnitten werden.

Es gibt mehrere Websites, die die Zeit abschätzen können, die erforderlich wäre, um verschiedene Passwörter mit 100% iger Sicherheit durch rohe Gewalt zu knacken. Sie können sogar den Zeitunterschied zwischen einem persönlichen PC und einem Botnetz oder Supercomputer sehen.

Websites zur Schätzung Ihrer Passwortstärke:

  • Kapersky sichere Passwortprüfung
  • Passwortanzeige
  • Wie lange muss ich mein Passwort hacken?

Denken Sie, dass 12 Kleinbuchstaben ein sicheres Passwort darstellen? Denk nochmal. Hier sind die Brute-Force-Ergebnisse für das Passwort ‘Vpnuniversity’ Verwenden des Kapersky-Passwort-Tools:

Brute-Force-Passwort geknackt (Kapersky Secure Password Tool)

Das Passwort “vpnuniversity” wurde in 25 Minuten von einem 2012 Macbook-Laptop geknackt

Das stimmt. Ein Teenager-Hacker mit einem 4 Jahre alten Macbook kann ein 12-stelliges Kleinbuchstaben-Passwort in kürzerer Zeit knacken, als es für das Anschauen einer Episode von “Seinfeld” erforderlich ist. Und ein Botnetz könnte es in einer Sekunde schaffen.

Später in diesem Artikel (im Abschnitt zur Passwortsicherheit) vergleichen wir dieses Ergebnis mit einem zufällig generierten 12-Zeichen-Passwort, das alle 4 Zeichentypen enthält. Hinweis: Es ist viel stärker.

Wörterbuchangriff

Ein Dictionary-Angriff ist eine Brute-Forcing-Verknüpfung, mit der Kennwörter viel effizienter erraten werden können, indem eine bestimmte Annahme über Ihr Kennwort getroffen wird. Insbesondere, dass Ihr Passwort identifizierbare Wörter und / oder gebräuchliche Passwortphrasen enthält.

Durch die Beschränkung des Kennwortangriffs auf Kennwortkombinationen mit bekannten Wörtern (oder anderen gängigen Nicht-Wort-Kennwörtern wie “123123”) kann ein Angreifer einen Brute-Force-Angriff wesentlich effizienter gestalten. Der Grund? Nur ein winziger Bruchteil (weniger als 0,1%) aller zufälligen Zeichenkombinationen enthält tatsächlich bekannte Wörter mit 4 oder mehr Zeichen.

Vorteile: Angenommen, Sie verwenden ein Kennwort, das für einen Wörterbuchangriff anfällig ist, könnte Ihr Kennwort in weniger als 1/1000 der Zeit geknackt werden, die ein Computer benötigt, um zufällige Zeichenkombinationen zu versuchen, bis eine Übereinstimmung gefunden wird. Infolgedessen handelt es sich bei der überwiegenden Mehrheit der Online-Vermutungsangriffe um Wörterbuchangriffe.

Nachteile: Bei einem Wörterbuchangriff ist es unmöglich, ein Passwort, das aus rein zufälligen Zeichen, Zahlen und Symbolen besteht, richtig zu erraten. Wenn das Passwort kein Wort enthält, wird keine Übereinstimmung gefunden, selbst wenn der Angriff über einen unendlichen Zeitraum ausgeführt wird.

Datenhacks, Passwortverschlüsselung und -entschlüsselung

Während Angriffe zum Erraten von Passwörtern jeweils nur auf einen Benutzer abzielen, können Datenverletzungen die Anmeldeinformationen für Tausende oder sogar Millionen von Benutzern gleichzeitig offenlegen. In den letzten 4 Jahren gab es mehrere massive Datenverletzungen, darunter Target, Ashley Madison und Adobe.

In diesem Abschnitt werden die Techniken beschrieben, mit denen Websites Ihre Passwörter sicher speichern (oder nicht), sowie die gängigsten Techniken (wie Rainbow Tables), mit denen Hacker verschlüsselte Passwortdatenbanken zurückentwickeln.

Wie Websites Passwörter speichern

Die meisten Websites, auf denen Benutzerdaten gespeichert sind, treffen Vorsichtsmaßnahmen, um Kennwörter in verschlüsselter Form zu speichern. Selbst wenn die Benutzerdatenbank während eines Hacks gestohlen wird, ist es schwierig oder unmöglich, die Passwörter in Klartext zu entschlüsseln.

Websites speichern Passwörter mithilfe einer Technik namens “Hashing”..

Was ist Hashing??

In der einfachsten Form ist eine kryptografische Hash-Funktion oder ein ‘Hash’-Algorithmus ein Satz mathematischer Regeln, die jedes Textschnipsel in eine Folge von zufälligen Zeichen fester Länge umwandeln (unabhängig davon, wie lang der eingegebene Text ist, der ausgegebene Hash wird immer sein die gleiche Anzahl von Zeichen).

Die Mathematik hinter dem Hashing ist äußerst komplex und es stehen mehrere Hashing-Algorithmen zur Auswahl, aber alle haben eines gemeinsam: Dies ist der Grund, warum Hashes eine gute Möglichkeit zum Speichern von Passwörtern sind.

Eine kryptografische Hash-Funktion ist eine Einwegfunktion. Das heißt, es ist einfach, den Hash eines Textausschnitts zu berechnen, aber mathematisch sehr schwierig (im Wesentlichen unmöglich), einen Hash wieder mathematisch in den Originaltext umzuwandeln.

Es gibt auch 3 wichtige Eigenschaften von CHFs:

  1. Eine bestimmte Textzeichenfolge wie “Passwort” führt immer zur gleichen Hash-Ausgabe
  2. Ändern von 1 Zeichen der Eingabe (Passworty‘) Wird die Hash-Ausgabe dramatisch verändern
  3. Es ist sehr unwahrscheinlich, dass zwei verschiedene Eingabetextzeichenfolgen dieselbe Hash-Ausgabe generieren.

Es gibt viele kostenlose Websites, auf denen Sie Hashes selbst berechnen können, um zu sehen, wie der Prozess funktioniert. Hier sind ein paar:

  • http://www.sha1-online.com – verwendet die SHA1-Hash-Funktion.
  • MD5 Generator – Verwendet die MD5-Hashing-Funktion (gilt nicht mehr als sicher)

Wenn Sie beispielsweise den SHA1-Hash-Algorithmus für das Wort “Kennwort” ausführen, erhalten Sie Folgendes:

SHA-1-Hash-Beispiel

SHA-1-Hash des Wortes “Passwort”

Wie Websites Hashing für die Passwortverschlüsselung verwenden

Wenn Sie in einer Kombination einen Benutzernamen / ein Kennwort erstellen, speichert die Website Ihr Kennwort nicht in der Datenbank. Stattdessen speichern sie die Hash Ihres Passworts. Wenn Sie versuchen, sich anzumelden, berechnet die Site den Hash des Textes, den Sie in das Feld “Passwort” eingeben, und vergleicht dieses Ergebnis mit dem in der Datenbank gespeicherten Hash. Wenn sie übereinstimmen, ist Ihre Anmeldung erfolgreich.

In Wirklichkeit weiß die Website also nicht, wie Ihr Passwort lautet (weshalb Sie Ihr Passwort normalerweise nur zurücksetzen können und es nicht abrufen können, wenn Sie es vergessen)..

Der Vorteil liegt auf der Hand: Wenn die Benutzerdatenbank der Website gestohlen wird, haben die Hacker Ihr Passwort nicht. Sie kennen nur den Hash des Passworts, was nicht ausreicht, um sich in Ihrem Konto anzumelden.

Warten Sie, warum kann sich der Hacker nicht einfach mit dem von ihm gestohlenen Hash anmelden??

Denn wenn sie versuchen, sich anzumelden, berechnet die Website den Hash aller Eingaben in das Feld “Passwort”. Wenn der Hacker nur versucht, den von ihm gestohlenen Hash als Passwort zu verwenden, berechnet die Website den tatsächlich Hash des Hash die nicht mit den Anmeldeinformationen in der Datenbank übereinstimmen, und deren Anmeldung wird abgelehnt.

Zum Beispiel. Wir haben bereits den Hash des Wortes “Passwort” berechnet, aber was ist, wenn Sie den Hash des Hash berechnen? Du bekommst das…

Hash eines Hash-Beispiels

Hash des Hashs von “Passwort”

Obwohl sie den verschlüsselten Hash Ihres Passworts gestohlen haben, wissen sie immer noch nicht, wie Ihr Passwort tatsächlich lautet. Aber Mr. Hacker hat immer noch einen Trick im Ärmel. Es heißt a Regenbogentisch und er könnte in der Lage sein, Ihr Passwort noch zu entschlüsseln …

Regenbogentische

Per Definition ist es mathematisch unmöglich, eine Hash-Funktion zu invertieren (Sie können den Originaltext nicht basierend auf dem ausgegebenen Hash berechnen), sodass Hacker beschlossen, das Problem aus einer anderen Richtung anzugehen. Die Lösung? Regenbogentische.

Dieser neuartige Ansatz ähnelt eher einer Brute-Force-Methode. Der Hacker möchte eine Datenbank mit gehashten Passwörtern entschlüsseln, also verwendet er tatsächlich Software, um den Hash von Millionen (oder sogar Milliarden) von Passwortkombinationen zu berechnen. Diese berechneten Hashes werden in einer Datenbankkonfiguration gespeichert, die als “Rainbow Table” bezeichnet wird..

Sobald er eine Regenbogentabelle hat, kann der Hacker einfach seine Datenbank mit gestohlenen Hashes mit seiner Regenbogentabelle mit berechneten Hashes vergleichen. Jedes Mal, wenn die Software eine Übereinstimmung findet, kann der Hacker das Passwort leicht ableiten, da die Regenbogentabelle jedes Klartext-Passwort dem Hash zuordnet.

Wie machbar ist ein Rainbow Table Attack??

Sehr, wie die Verletzung von Ashley Madison bewies. Mithilfe von Regenbogentabellen konnten die Hacker mehr als 11 Millionen der 30 Millionen Passwörter entschlüsseln, die bei dem Verstoß gestohlen wurden, da einige Konten der frühen Benutzer mit dem unsicheren Algorithmus MD5 gehasht wurden.

Der Zugang zu Regenbogentischen ist überraschend einfach. Ob Sie es glauben oder nicht, Sie können Regenbogentabellen selbst auf einem Heimcomputer mit kostenloser Software wie Rainbow Crack erstellen. Es gibt auch kostenlose Datenbanken zum Kauf oder sogar kostenlos auf Torrent-Sites und Hacking-Foren. Es gibt sogar kostenlose Websites, die Hashes mit Tabellen mit vorberechneten Werten vergleichen.

Es überrascht nicht, dass Hashes von gängigen Ein-Wort-Passwörtern mithilfe einer kostenlosen Online-Datenbank (d. H.) Sofort sofort entschlüsselt werden können viel kleiner als ein echter Regenbogentisch).

Haben Sie daran gedacht, Ihr Passwort zu Ihrer Lieblingsmannschaft (American Football) zu machen? Denk nochmal…

Hash Reverse Password Lookup

Kurze Ein-Wort-Passwörter können leicht rückgängig gemacht werden

Schwächen und Verteidigung des Regenbogentischs

Regenbogentabellen haben eine große Schwäche: Es gibt eine Grenze für die Menge an Daten, die sie speichern können, bevor sie langsam, unhandlich oder zu groß zum Speichern werden. In einer tragbaren Regenbogentabelle können nur Hashes für alle Kennwortkombinationen mit einer Länge von bis zu 12 Zeichen gespeichert werden, bevor sie aus Zeit- und Kostengründen zunehmend undurchführbar werden (diese Verarbeitungsleistung ist nicht kostenlos)..

Diese Grenzen können etwas erweitert werden, wenn die Regenbogentabelle nicht alle zufälligen Zeichenkombinationen enthält, sondern sich auf bekannte Wortkombinationen konzentriert (wie bei einem Wörterbuchangriff)..

Es gibt zwei Haupttechniken, um diese Einschränkung zu nutzen und Ihre Passwörter sicher zu halten:

  1. Salzen (wird von der Website implementiert, wenn Sie Ihr Passwort hashen)
  2. Stärkere Passwörter (Das hier liegt bei dir, Bruder.)

Passwort salzen

Salting ist bei weitem die beste Verteidigung gegen Regenbogentabellen, und die ordnungsgemäße Verwendung von Salting-Passwörtern kann den Angriff fast völlig unpraktisch machen, da der Hacker gezwungen ist, für jedes einzelne Passwort, das er knacken möchte, eine eindeutige (und große) Regenbogentabelle zu erstellen.

In einfachen Worten, a Salz ist eine Zeichenfolge aus zufälligen Zeichen, die am Ende Ihres Kennworts hinzugefügt wird, bevor es zur Speicherung in der Datenbank der Site gehasht wird. Die Datenbank speichert sowohl den Hash als auch den Salt-Wert, sodass der Hash bei jeder Anmeldung korrekt berechnet werden kann.

Da jedes Benutzerkonto beim Erstellen seines Kennworts einen anderen Salt-Wert verwendet, funktioniert jede Regenbogentabelle, die mit einem bekannten Salt (aus der Datenbank gestohlen) erstellt wurde, nur für das Reverse Engineering des Kennworts dieses einen Benutzers (vorausgesetzt, das Salt erstellt das Kennwort + Salzlänge viel zu lang, um in einem Regenbogentisch aufbewahrt zu werden).

Damit dieselbe Regenbogentabelle zum Entschlüsseln aller Hashes in der Datenbank verwendet werden kann, muss sie größer genug sein, um alle Eingabekombinationen, die Kennwortlänge + die Salzlänge, zu enthalten. Wenn Sie das Salz groß genug machen (sogar 16 Zeichen wären ausreichend), wäre es unmöglich, den Hash aller möglichen Kombinationen zu berechnen.

Die Verwendung eines anderen Salt-Werts für jeden Benutzer bedeutet auch, dass selbst wenn zwei Benutzer dasselbe Kennwort haben, der in der Datenbank gespeicherte Hash für jeden Benutzer unterschiedlich ist (da das eindeutige Salt vor dem Hashing an das Kennwort angehängt wird, wodurch die Ausgabe geändert wird.

Ashley Madison nicht Salzen Sie ihre Passwörter richtig, weshalb es so einfach war, die in der Sicherheitsverletzung gestohlenen MD5-Hashes zu entschlüsseln.

Lange Passwörter

Die meisten Unternehmen befolgen die entsprechenden Sicherheitsverfahren und verwenden ein großes Salz, bevor sie Ihr Kennwort zur Speicherung speichern. Von manchen nicht, entweder durch Faulheit oder Unwissenheit. Dies ist nur ein weiterer Grund, warum Sie es auf sich nehmen sollten, Ihr Passwort so sicher wie möglich zu machen.

Indem Sie Ihr Passwort auf mehr als 16 Zeichen setzen und alle 4 Zeichentypen verwenden, können Sie einen Regenbogentabellenangriff auch gegen ungesalzene Hashes unpraktisch machen.

Die Hacker geben sich damit zufrieden, die 90% der schwachen Passwörter von Benutzern umzukehren, die es nicht besser wissen, und Ihre Daten sollten hoffentlich sicher bleiben.

Starke Passwörter (Alles was Sie wissen müssen)

Wenn Sie diese empfohlenen Best Practices für die Auswahl und Speicherung von Passwörtern befolgen, verringern Sie das Risiko im Falle einer Datenverletzung erheblich. Niemand kann absolute Sicherheit garantieren (ich kann es sicherlich nicht), aber diese Prinzipien sind ein massiver Schritt in die richtige Richtung.

Was macht ein starkes Passwort aus??

Ein gutes Passwort sollte idealerweise so lang wie möglich, so zufällig (oder zumindest scheinbar zufällig) wie möglich sein und so viele Zeichentypen wie möglich enthalten:

Die 4 Zeichentypen sind:

  • Großbuchstaben
  • Kleinbuchstaben
  • Zahlen
  • Symbole

Um zu veranschaulichen, wie wichtig es ist, beim Erstellen eines Kennworts so viele dieser 4 Zeichentypen wie möglich hinzuzufügen, betrachten wir die Schwierigkeit, Ihr Kennwort mit brutaler Gewalt zu brechen:

Es gibt 26 Kleinbuchstaben (im englischen Alphabet), daher hat ein 8-stelliges Passwort in Kleinbuchstaben 268 einzigartige Kombinationen.

Wenn Sie Großbuchstaben, Zahlen 0-9 und 10 Symbole hinzufügen (die 10, die durch Drücken von UMSCHALT + [eine Zahl 0-9] verfügbar sind), erhalten Sie 72 eindeutige Zeichen zur Auswahl. In einem 8-stelligen Passwort ergibt dies 728 einzigartige Kombinationen.

Möchten Sie erraten, wie viele weitere Kombinationen es gibt, wenn Sie 72 Zeichen für Ihr Passwort verwenden??

Lass uns rechnen:

268 = 208.827.064.576

728 = 722,204,136,308,736

728/268 = 3458 (auf die nächste ganze Zahl gerundet).

Mit anderen Worten, wenn es 1 Tag dauern würde, um das erste Passwort zu knacken, würde es fast 10 Jahre dauern, um das zweite zu knacken.

Wenn Sie zu 12 Zeichen gehen, ist der Unterschied noch dramatischer:

7212 / 2612 = 203.381 mal so stark.

Die Regeln für ein gutes Passwort:

  • Stark (mehrere Zeichentypen)
  • Lange (Mindestens 11 Zeichen, 13+ ist besser)
  • Zufällig (Vermeiden Sie gebräuchliche Wörter, die für Wörterbuchangriffe anfällig sind.).

Best Practices für Passwörter (Minimiert Ihre Gefährdung nach einer Datenverletzung).

Befolgen Sie diese einfachen Regeln, um den Schaden (falls vorhanden) zu minimieren, der entstehen kann, wenn Hacker eine Datenbank mit einem Ihrer Passwörter gestohlen haben.

Regel 1 – Verwenden Sie eindeutige Passwörter (insbesondere für wichtige Konten).

Die meisten Leute verwenden immer wieder dasselbe Passwort für verschiedene Konten. Das Problem dabei ist offensichtlich. Wenn ein Hacker Ihr Passwort stiehlt, kann er jetzt auf jedes Konto zugreifen, das diese Login / Passwort-Kombination verwendet.

Wenn Sie für jedes Konto ein eindeutiges Kennwort verwenden, macht der Diebstahl eines Kennworts keines Ihrer anderen Konten anfällig. Passwort-Tresore wie Lastpass verfügen über einen integrierten Generator für zufällige Passwörter, mit dessen Hilfe Sie für jede Site ein eindeutiges sicheres Passwort auswählen können.

Es gibt keinen Grund, warum jemand auf Ihr Bankkonto zugreifen sollte, nur weil er Ihr Twitter-Konto gehackt hat (und wenn Sie Prominenten glauben, wird Twitter ständig gehackt).. Verwenden Sie eindeutige Passwörter.

Regel 2 – Aktivieren Sie die 2-Faktor-Authentifizierung für Ihre wichtigen Konten

Wenn Sie 2FA noch nicht verwenden, sollten Sie es sein. Es ist sehr schwierig für andere Personen, die Kontrolle über Ihr Konto zu übernehmen, selbst wenn sie über die richtige Kombination aus Login und Passwort verfügen. Es ist einfach zu implementieren, auf vielen Websites verfügbar und normalerweise kostenlos.

Was ist eine Zwei-Faktor-Authentifizierung?

2FA (manchmal auch als Zwei-Faktor bezeichnet Nachprüfung) ist eine Sicherheitsmaßnahme, bei der Benutzer zwei separate Schritte ausführen müssen, bevor sie auf ein Konto zugreifen können. Die häufigste 2FA-Kombination ist:

  1. Etwas, das Sie wissen (Login / Passwort-Kombination)
  2. Etwas, das Sie haben (Smartphone, Sicherheitstoken, Flash-Laufwerk usw.)

Nachdem Sie Ihr Login / Passwort eingegeben haben, verwenden Sie Ihr physisches Überprüfungsgerät, um die Anmeldung abzuschließen. Dies erfolgt häufig in Form einer Textnachricht oder einer Push-Benachrichtigung, die an Ihr Smartphone gesendet wird und einen eindeutigen (und vorübergehenden) Bestätigungscode enthält.

Selbst wenn es einem Hacker gelingt, Ihr Passwort zu entschlüsseln, ist es höchst unwahrscheinlich, dass er Ihr Authentifizierungsgerät in die Hände bekommt (es sei denn, er ist es) Ja wirklich motiviert).

Wo man 2FA benutzt?

Viele Websites bieten zwar eine 2-Faktor-Authentifizierung an, die meisten jedoch nicht. Außerdem verlängert sich der Anmeldevorgang geringfügig, sodass es sich normalerweise nur für die wichtigsten Websites lohnt.

Es gibt 3 Hauptkategorien von Websites, für die wir dringend empfehlen, 2FA zu aktivieren:

  1. Ihr primäres E-Mail-Konto
  2. Ihr Passwort-Cloud-Tresor (falls Sie einen verwenden)
  3. Bank- / Maklerkonten

Warum diese Kontotypen?

Bank- / Makler- / Alterskonten – Diese Konten sind für 2FA eine offensichtliche Wahl, da eine Kontoverletzung verheerend wäre. Der Großteil Ihres Nettovermögens (außerhalb Ihres Hauses, wenn Sie eines besitzen) besteht im Grunde nur aus Ziffern in einer Computerdatenbank. Wenn ein Hacker Zugriff auf Ihr Konto erhält, kann er Ihre Ersparnisse auf ein anderes Konto übertragen, und Sie sind, wie wir sagen, Shit Outta Luck.

E-Mail- / Passwort-Tresorkonten – In vielerlei Hinsicht sind diese Konten tatsächlich die wichtigsten, da ihre Gateway-Konten. Wenn ein Hacker auf Ihre E-Mail zugreifen kann, kann er Ihre Passwörter für jede Website zurücksetzen, die diese E-Mail-Adresse verwendet. Ein Passwort-Tresor ist noch gefährlicher, und wenn er kompromittiert wird, kann der Hacker buchstäblich alle Ihre Anmeldekombinationen als Klartext herunterladen. Huch.

Es gibt jedoch einige schlechte Nachrichten. Nur sehr wenige E-Mail-Anbieter halten 2FA für die Mühe wert. Glücklicherweise ist Google weiterhin auf dem neuesten Stand der persönlichen Sicherheit. Das Aktivieren der 2-Faktor-Authentifizierung für Google Mail ist schnell und einfach.

Warum brauchen Sie einen Passwort-Manager?

Das Problem mit sicheren, eindeutigen Passwörtern besteht darin, dass sie sich nicht mehr merken können. Buchstäblich.

Aus diesem Grund haben sich Millionen (möglicherweise Milliarden) Benutzer an Kennwortverwaltungsdienste wie Lastpass, Keepass, Dashlane und 1Password gewandt. Alles, woran Sie sich erinnern müssen, ist ein einziges “Hauptkennwort”, und der Kennwortmanager übernimmt das Aufheben und Speichern Ihrer Online-Anmeldeinformationen.

Die meisten dieser Dienste sind “Cloud-basiert”, dh Ihr Passwort-Tresor ist an jedem Ort mit Internetverbindung verfügbar. Ihre Passwörter werden in einer verschlüsselten Datenbank gespeichert, wobei dieselbe Technologie wie bei der professionellen Festplattenverschlüsselung verwendet wird (die Ihre Daten auch dann schützen sollte, wenn die Datenbank gehackt wird)..

Es gibt zwei Arten von Passwort-Managern:

  1. Selbst gehostete (Offline-) Lösungen.
  2. Cloud (online) -Lösungen

Sowohl Cloud- als auch selbst gehostete Passwortmanager erreichen dasselbe (Speichern und Speichern aller Ihrer Passwörter in verschlüsselter Form), aber jedes hat seine eigenen Vor- und Nachteile.

Self Hosted vs. Cloud-basierte Passwortmanager

Die meisten Kennwortverwaltungsdienste sind jetzt Cloud-basiert, da Benutzer in der Cloud ihr Kennwort auf allen Geräten synchronisieren und von jedem Gerät mit Internetverbindung auf ihre Kennwörter zugreifen können. Während diese Bequemlichkeit ein großer Vorteil ist, gibt es auch zwei Einschränkungen:

  1. Sie müssen Ihrer Passwortverwaltungsfirma vertrauen, um Ihre Passwörter nicht zu verlieren (oder sogar zu stehlen).
  2. Sie müssen darauf vertrauen, dass sie Ihre Passwörter verschlüsseln und vor Diebstahl durch andere schützen können.

Endeffekt: Solange Sie sich an die Passwortverwaltung mit den vertrauenswürdigsten Namen halten, sollten Ihre Daten sicher sein und Sie können darauf vertrauen, dass Ihre Passwörter durch branchenübliche Best Practices geschützt werden, wie z.

  • Wissensfreie Verschlüsselung (Nur Sie haben den Verschlüsselungsschlüssel)
  • HTTPS-verschlüsselte Datenübertragung von Passwörtern zu / von Ihrem Tresor
  • Versalzen von gehashten Passwörtern (daher ist es schwierig, sie zurückzuentwickeln, selbst wenn Ihr Tresor beschädigt ist)..

Unsere 3 beliebtesten Passwort-Manager

Unsere 3 bevorzugten Passwort-Manager (nicht in Ordnung) sind:

  • Lastpass (nur Wolke)
  • Dashlane (Cloud und lokale Synchronisierung)
  • Keepass (lokaler Tresor mit Synchronisierungsoption)

Jedes hat seine eigenen Vorteile. Welche Sie wählen sollten, hängt von Ihrem Budget, Ihren Datenschutzeinstellungen und davon ab, ob Sie Komfort mehr als Sicherheit bevorzugen.

Lasspass (Wolke | Freemium)

Lasspass ist ein Nur-Cloud-Passwort-Manager, mit dem Ihre Anmeldedaten von jedem Gerät aus leicht zugänglich sind.

Sie arbeiten mit einem Freemium-Preismodell, bei dem der PC-Browser erweitert oder kostenlos ist. Sie müssen jedoch bezahlen, um von Ihrem Mobilgerät aus auf Ihren Lastpass-Tresor zugreifen zu können.

Lastpass Firefox

Lastpass Firefox-Erweiterung

Wie Lastpass funktioniert

Sie verwenden Lastpass, indem Sie deren Erweiterung für Ihren bevorzugten Webbrowser installieren (alle gängigen Browser werden unterstützt). Sie melden sich mit einem einzigen “Master-Passwort” in Ihrem Lastpass-Konto an und erhalten dann Zugriff auf Ihren vollständigen Lastpass-Tresor..

Lastpass füllt die Anmelde- / Kennwortfelder für gespeicherte Websites automatisch vor (oder sogar automatisch, wenn Sie dies bevorzugen)..

Alle Ihre Benutzernamen / Passwörter werden lokal verschlüsselt, bevor sie mit AES 256-Bit-Verschlüsselung an die Lastpass-Cloud gesendet werden. Lastpass kennt nicht einmal Ihr Master-Passwort (es wird nur ein gesalzener Hash davon zur Überprüfung der Anmeldung gespeichert). Es ist ein wahrer wissensfreier Passwort-Manager.

Ist LastPass sicher??

Sehr. Ihre gesamte Datenbank wird in verschlüsselter Form gespeichert. Selbst wenn Daten von ihren Cloud-Servern gestohlen werden, ist es äußerst unwahrscheinlich, dass Hacker die Verschlüsselung zum Schutz Ihrer Kennwörter aufheben.

Lastpass wurde 2015 tatsächlich gehackt, aber die Eindringlinge konnten Benutzerkonten dank der mehrfach redundanten Sicherheitsmaßnahmen, die Lastpass implementiert, nicht gefährden.

Zwei-Faktor-Authentifizierung

Machen Sie Ihren Lastpass-Tresor noch sicherer, indem Sie die 2-Faktor-Authentifizierung aktivieren (sie bieten mehrere Optionen, von denen viele kostenlos sind). Dies macht es einem Hacker fast unmöglich, auf Ihr Konto zuzugreifen, selbst wenn er Ihr Hauptkennwort hat.

Preisgestaltung

Lastpass ist ein Freemium-Dienst. Grundsätzlich ist es völlig kostenlos, den letzten Pass in Ihrem bevorzugten Webbrowser zu verwenden. Sie müssen jedoch ein Upgrade durchführen, um Kennwörter mit Ihrem Smartphone oder einem anderen mobilen Gerät zu synchronisieren. Die Prämie beträgt nur 12 USD pro Jahr.

Holen Sie sich Lastpass

Dashlane (Local + Cloud Sync | Freemium)

Dashlane ist ein weiterer Freemium-Passwort-Manager wie Lastpass. Sie haben noch mehr Funktionen, aber die kostenlose Version funktioniert nur auf einem einzigen Gerät. Um Dashlane optimal nutzen zu können, müssen Sie ein Upgrade auf den Premium-Plan durchführen, der 39,99 USD / Jahr kostet.

Dashlane Passwort Manager

Dashlane synchronisiert Ihre sicheren Passwörter auf allen Geräten

Wie Dashlane funktioniert

Im Kern ist Dashlane Lastpass sehr ähnlich. Ihre Passwortdatenbank wird lokal mit einem Master-Passwort verschlüsselt, das nur Sie kennen. Mit der Dashlane-Browsererweiterung (alle gängigen Browser) oder der Dashlane-App auf Ihrem Smartphone / Tablet können Sie problemlos auf Ihre Passwörter zugreifen.

Eigenschaften

  • 256-Bit-AES-Verschlüsselung (Zero-Knowledge)
  • Synchronisieren Sie Ihre Passwörter sicher mit der Cloud
  • Greifen Sie von jedem Gerät aus auf Ihre Passwörter zu
  • Ändern Sie alle Ihre Passwörter mit einem Klick (über 250 unterstützte Websites).
  • Passwortgenerator “Stark”
  • Speichern Sie Ihre Kreditkarteninformationen sicher
  • Zwei-Faktor-Authentifizierung (optional)

Die mit Abstand einzigartigste Funktion ist die Kennwortänderung mit einem Klick, mit der Sie alle Ihre Kennwörter auf über 250 der weltweit beliebtesten Websites wie Evernote, Amazon, Spotify und anderen sofort ändern können.

Preisgestaltung

Dashlane ist auf jedem Gerät kostenlos oder Sie können ein Upgrade für 39,99 USD / Jahr durchführen, um mehrere Geräte zu unterstützen.

Besuchen Sie Dashlane

Keepass (Lokale Datenbank mit Synchronisierungsoption | Kostenlos)

Keepass ist ein völlig kostenloser Passwort-Manager, der Ihre Anmeldungen / Passwörter in einer verschlüsselten Datenbank auf Ihrem eigenen Gerät speichert. Es gibt Projekte von Drittanbietern, die auch Unterstützung für mobile Geräte hinzufügen.

Keepass

Keepass lokale Passwortdatenbank

Wie es funktioniert

Benutzernamen / Passwörter werden alle in einer lokalen Datenbank (auf Ihrem eigenen Computer) gespeichert, die mit einem von Ihnen gewählten Verschlüsselungsalgorithmus verschlüsselt werden kann, einschließlich: AES, Blowfish oder Twofish.

Die Datenbank wird mit einem “Hauptkennwort” verschlüsselt, mit der Option, eine “Schlüsseldatei” hinzuzufügen, wenn Sie dies bevorzugen. Schlüsseldateien sind eine Form der Zwei-Faktor-Überprüfung, mit der Sie jede Datei auf Ihrem Computer als sekundären Schlüssel verwenden können, der zusätzlich zum Kennwort erforderlich ist.

Sie können Login / Passwörter per Drag & Drop von keepass in Ihren Webbrowser ziehen oder eine der vielen kostenlosen Erweiterungen verwenden, um Passwortfelder direkt aus keepass automatisch auszufüllen.

Mobiler Support

Keepass wurde ursprünglich nur für Mac- und Windows-Computer entwickelt, wurde aber auch von Drittentwicklern auf iOS und Android portiert. Sie können eine der folgenden Apps verwenden, um Ihren Keepass-Tresor mit Ihrem Mobilgerät zu synchronisieren:

  • KeepassDroid (Android)
  • Keepass2Android (Android)
  • MiniKeePass (iOS)
Laden Sie Keepass herunter

Einpacken

Nachdem Sie nun wissen, warum Ihre 6-9-stelligen Kleinbuchstaben so unsicher sind, müssen Sie die erforderlichen Schritte ausführen, um etwas dagegen zu unternehmen. Die einzige Person, die nach Ihrer Online-Sicherheit Ausschau hält, ist Du.

Es ist unvermeidlich, dass Hacker eine Datenbank mit Ihrem Login / Ihren Daten stehlen (aller Wahrscheinlichkeit nach ist es bereits passiert, ob Sie es bemerken oder nicht)..

Durch die Nutzung starke, eindeutige Passwörter Sie können die Wahrscheinlichkeit minimieren, dass ein Hacker Ihr Passwort rückentwickelt (vorausgesetzt, die Site befolgt die richtigen “Hashing” -Praktiken). Wenn Sie niemals dasselbe Passwort zweimal verwenden, müssen Sie sich keine Sorgen machen, dass ein gestohlenes Passwort zum Anmelden bei mehreren Websites verwendet wird.

Speichern Sie alle Ihre sicheren Passwörter in einem Passwort-Manager (wie Lastpass) und aktualisieren Sie Ihre Sicherheit mit 2-Faktor-Authentifizierung.

Hacker verfolgen meistens die niedrig hängenden Früchte (dh Leute mit kurzen, einfachen Passwörtern). Wenn Sie diese einfachen Regeln befolgen, werden Sie zu einem weniger attraktiven Ziel. Komm schon.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map