Hallo. Ich möchte euch ein Tutorial vorstellen was sich mit Passwörtern beschäftigt (erstellen/merken). Das Tutorial ist für jeden und befasst sich mit ganz individuellen Passwort Kombinationen. Ich habe in dieser Form noch kein Tutorial gesehen und fahre mit dieser Methode sehr sicher(was bei Passwörtern sein sollte) und einfach. Aber überzeugt euch selber.
__________________________________________________ ___________________________
Vorwort:
Jeder kennt es, wenn man kurze Passwörter nimmt dann haben sie wenig Sicherheit, lange Passwörter sind sicher aber um sich diese zu merken brauch es früher oder später einen digitalen/realen Zettel und einen digitalen/realen Stift, was die langen Passwörter auch auf eine Art ins unsichere katapultieren. Die Lösung ist also ein Passwort was nigenswo hinterlegt ist, aber trotzdem lang und am besten cryptisch niedergeschireben wird.
__________________________________________________ ___________________________
Angriffs-/Abwehrmethoden:
Um zuwissen wie man ein sicheres Passwort erstellt, muss man sich erstmal mit der Materie des "Wiso soll es überhaupt sicher sein" auseinander setzen. Hier wird nur kurz die Theorie angesprochen um das Tutorial nicht zu sprengen. Außerdem werde ich nur zwei von vielen Arten etwas umschreiben, diese sind die Hauptangriffsmethoden wo die Sicherheit von euch aus geht.
#1 Bruteforce-Attack:
Angriff:
Hier werden einfach alle Kombinationen von möglichen Passwörtern ausprobiert.
D.h. der Angreifer weis, dein Passwort hat z.b. 4 Zeichen und ist nur kleingeschrieben, ohne Sonderzeichen und ohne Zahlen. Dann sieht der Angriff in etwa so aus:
Diese Methode dauert sehr lange, doch hierbei kommt es auf die Hardware des Angreifers an (bessere Hardware = schnelleres knacken), früher oder später wird hier durch jedes Passwort geknackt, doch die frage ist wann.
Die Kombinationen kann man anhand einer einfach Rechnung errechnen.
Es gibt standard mäßig 96 zeichen in der Windows umgebung(z.b. China-Schriften ausgeschlossen). Dann muss man nur diese 96 hoch (^ = Computer-hoch-zeichen) die Passwortlänge nehmen. Die 96 wird genommen wenn der Angreifer nur die Passwortlänge weis, nicht den Inhalt. In dem o.g. Beispiel wäre die Rechnung dann, 96^4 = 84.934.656 Kombinationen. Es sieht viel aus aber man sagt "knapp über den Daumen" brauch ein Angreifer nur die Hälfte, da es unwarscheinlich ist das das Passwort, in diesem Fall, "zzzz" ist. 84.934.656 / 2 = 42.467.328. Mit einer mittelmäßigen Grafikkarte wäre diese Kombination binnen wenigen minuten geknackt.
Abwehr:
Ein langes Passwort wird hier abhilfe schaffen. Z.b. ein 64 stelliges Passwort mit Zahlen, Soderzeichen, Groß- und kleinbuchstaben.
Rechnung: 96^64 = 7,3^126 / 2 = 3,67^126 Möglichkeiten. Hier wird es mehrere Jahre dauern um das Passwort zu knacken, da man zu einem langen Passwort auch alle paar Monate sein passwort ändern sollte, haben wir hier den Bruteforce-Angriff ausgehebelt!
#2 Dictionary/RainbowTable-Attack:
Angriff:
Hier werden vorgefertigte Text Dokumente benutzt um jedes in dem Dokument stehende wort mit eurem passwort abzugleichen. Es gibt listen für länder, sprachen, namen, geb. daten, usw. Wenn man nun seinen namen und sein geb. datum als passwort nimmt, ist man sehr unsicher unterwegs. Da die Dokumente meist mehrere GigaByte fassen gibt es die o.g. RaindowTables. Diese sind mit bestimten Text-Algorythmen komprimiert um mehr platz zu schaffen.
Abwehr:
Zahlen, Sonderzeichen, Groß- und Kleinbuchstaben helfen hier. Dazu sollten auch keine namen oder sonstige daten deines Privat lebens (im kla text, hierzu später mehr) in dem passwort niedergeschrieben sein. Somit haben wir auch den Dir-Angriff ausgehebelt!
#3 Sonstige Angriffs Methoden:
Angriff:
Es gibt noch weitere methoden z.b. wenn eine Datenbank geleakt/"gehackt" wird. Hier liegt aber die sicherheit bei dem Betreiber der Datenbank (sicherheitslücken/DB-Verschlüsselung). Hier habt ihr keinen einflüss auf die passwort sicherheit.
Abwehr:
Den Betreiber auf evtl. sicherheits lücken hinweisen (Unklare dastellung der webseite, z.b. MySQL-Error seiten beim aufruf der betreiber seite). Hoffen das nichts passiert oder Informationen über die verschlüsselung des Betreibers sammeln.
__________________________________________________ ___________________________
Passswort Erstellung:
Nachdem wir nun gelernt haben wie man sein passwort unsicher macht, lernen wir jetzt wie man es sicher bekommt. Hierzu verwenden wir eine simple verschlüsselung die in unserem Gehirn abläuft.
Easy Way/Low-Securety:
Hier wird eine erstellung beschrieben die einfach zu merken ist aber keine hohe sicherheit (an sich ist das passwort sicher nur nicht die höchste sicherheit in diesem tutorial) aufweist. Es werden z.b. Sonderzeichen und Großbuchstaben ausgelassen.
Hard Way/High-Securety:
Hier wird eine erstellung beschrieben die mittel-schwierig zu merken ist aber eine hohe sicherheit aufweist. Die abläufe sind im prinzip die selben nur umständlicher zu entschlüsseln.
__________________________________________________ ___________________________
Eingabe/Üben des Passwortes:
So ein "umständliches" passwort muss auch sitzen um es im ernstfall einzugeben. Dazu können wir verschiedene methoden benutzen.
#1 TrueCrypt:
- Man kann in TrueCrypt sein passwort ändern und dort kann man dann die eingabe überprüfen lassen
- !ACHTUNG NICHT ZU EMPFEHLEN! TrueCrypt passwort auf das selbst erstellte ändern, PC neustarten und probieren
#2 Tool:
Ich habe mich mal hinngesetzt und ein Tool geschreiben was euch das über vereinfachen sollte:
Info/Funktionen:
- Eingabe-Passwort Abgleich
- Übungs-Passwort Hide
- Richtig-/Falsch angabe durch farbliche kennzeichung
- Log-Counter für übungs nachhaltung
Screens:
Virustotal:
Download:
#3 Editor:
Einfach das erstellte passwort in den editor einfügen und die proben drunterschreiben, danach 1:1 die buchstaben kontrolieren
#4 Sonstige:
Ihr könnt natürlich andere wege finden um euer passwort zu lernen
Fazit:
Meiner meinung nach kann man hiermit sehr gute passwörter erstellen und auch benutzen. Aber das müsst ihr wissen
-> Für konstruktive kretik und Feedback wäre ich dankbar.
-> Fals jemand den Scource-Code haben möchte, PN an mich.
-> Fragen? Kein Problem, in skype, Steam oder über PN bin ich immer zu erreichen
-> Viel spaß beim erstellen & benutzen
EDIT: Formatierungs, Design und Schrift anpassungen folgen...