[How-To] Lange Passwörter Erstellen/Merken

[Tw0F1sh]

Info
Hallo. Ich möchte euch ein Tutorial vorstellen was sich mit Passwörtern beschäftigt (erstellen/merken). Das Tutorial ist für jeden und befasst sich mit ganz individuellen Passwort Kombinationen. Ich habe in dieser Form noch kein Tutorial gesehen und fahre mit dieser Methode sehr sicher(was bei Passwörtern sein sollte) und einfach. Aber überzeugt euch selber.

__________________________________________________ ___________________________

Vorwort:
Jeder kennt es, wenn man kurze Passwörter nimmt dann haben sie wenig Sicherheit, lange Passwörter sind sicher aber um sich diese zu merken brauch es früher oder später einen digitalen/realen Zettel und einen digitalen/realen Stift, was die langen Passwörter auch auf eine Art ins unsichere katapultieren. Die Lösung ist also ein Passwort was nigenswo hinterlegt ist, aber trotzdem lang und am besten cryptisch niedergeschireben wird.

__________________________________________________ ___________________________

Angriffs-/Abwehrmethoden:
Um zuwissen wie man ein sicheres Passwort erstellt, muss man sich erstmal mit der Materie des "Wiso soll es überhaupt sicher sein" auseinander setzen. Hier wird nur kurz die Theorie angesprochen um das Tutorial nicht zu sprengen. Außerdem werde ich nur zwei von vielen Arten etwas umschreiben, diese sind die Hauptangriffsmethoden wo die Sicherheit von euch aus geht.

#1 Bruteforce-Attack:
Angriff:
Hier werden einfach alle Kombinationen von möglichen Passwörtern ausprobiert.
D.h. der Angreifer weis, dein Passwort hat z.b. 4 Zeichen und ist nur kleingeschrieben, ohne Sonderzeichen und ohne Zahlen. Dann sieht der Angriff in etwa so aus:

 Spoiler

aaaa
aaab
aaac
....
aaaz
aaba
aabb
aabc
....
aabz
aaca
aacb
aacc
--->
usw.

Diese Methode dauert sehr lange, doch hierbei kommt es auf die Hardware des Angreifers an (bessere Hardware = schnelleres knacken), früher oder später wird hier durch jedes Passwort geknackt, doch die frage ist wann.

Die Kombinationen kann man anhand einer einfach Rechnung errechnen.
Es gibt standard mäßig 96 zeichen in der Windows umgebung(z.b. China-Schriften ausgeschlossen). Dann muss man nur diese 96 hoch (^ = Computer-hoch-zeichen) die Passwortlänge nehmen. Die 96 wird genommen wenn der Angreifer nur die Passwortlänge weis, nicht den Inhalt. In dem o.g. Beispiel wäre die Rechnung dann, 96^4 = 84.934.656 Kombinationen. Es sieht viel aus aber man sagt "knapp über den Daumen" brauch ein Angreifer nur die Hälfte, da es unwarscheinlich ist das das Passwort, in diesem Fall, "zzzz" ist. 84.934.656 / 2 = 42.467.328. Mit einer mittelmäßigen Grafikkarte wäre diese Kombination binnen wenigen minuten geknackt.

Abwehr:
Ein langes Passwort wird hier abhilfe schaffen. Z.b. ein 64 stelliges Passwort mit Zahlen, Soderzeichen, Groß- und kleinbuchstaben.
Rechnung: 96^64 = 7,3^126 / 2 = 3,67^126 Möglichkeiten. Hier wird es mehrere Jahre dauern um das Passwort zu knacken, da man zu einem langen Passwort auch alle paar Monate sein passwort ändern sollte, haben wir hier den Bruteforce-Angriff ausgehebelt!

#2 Dictionary/RainbowTable-Attack:
Angriff:
Hier werden vorgefertigte Text Dokumente benutzt um jedes in dem Dokument stehende wort mit eurem passwort abzugleichen. Es gibt listen für länder, sprachen, namen, geb. daten, usw. Wenn man nun seinen namen und sein geb. datum als passwort nimmt, ist man sehr unsicher unterwegs. Da die Dokumente meist mehrere GigaByte fassen gibt es die o.g. RaindowTables. Diese sind mit bestimten Text-Algorythmen komprimiert um mehr platz zu schaffen.

Abwehr:
Zahlen, Sonderzeichen, Groß- und Kleinbuchstaben helfen hier. Dazu sollten auch keine namen oder sonstige daten deines Privat lebens (im kla text, hierzu später mehr) in dem passwort niedergeschrieben sein. Somit haben wir auch den Dir-Angriff ausgehebelt!


#3 Sonstige Angriffs Methoden:
Angriff:
Es gibt noch weitere methoden z.b. wenn eine Datenbank geleakt/"gehackt" wird. Hier liegt aber die sicherheit bei dem Betreiber der Datenbank (sicherheitslücken/DB-Verschlüsselung). Hier habt ihr keinen einflüss auf die passwort sicherheit.

Abwehr:
Den Betreiber auf evtl. sicherheits lücken hinweisen (Unklare dastellung der webseite, z.b. MySQL-Error seiten beim aufruf der betreiber seite). Hoffen das nichts passiert oder Informationen über die verschlüsselung des Betreibers sammeln.

__________________________________________________ ___________________________

Passswort Erstellung:
Nachdem wir nun gelernt haben wie man sein passwort unsicher macht, lernen wir jetzt wie man es sicher bekommt. Hierzu verwenden wir eine simple verschlüsselung die in unserem Gehirn abläuft.

Easy Way/Low-Securety:
Hier wird eine erstellung beschrieben die einfach zu merken ist aber keine hohe sicherheit (an sich ist das passwort sicher nur nicht die höchste sicherheit in diesem tutorial) aufweist. Es werden z.b. Sonderzeichen und Großbuchstaben ausgelassen.

 Spoiler

Schritt #1:
Als erstes nehmen wir einen kinder reihm, z.b. "Fischersfritze fisch frische fische".

Schritt #2:
Wir schreiben alles zusammen und klein:
"Fischersfritze fisch frische fische"->"fischersfritzefischfrischefische"

Schritt #3:
Wir assoziieren nun die buchstaben mit umgedrehten zahlen (leetspeak, link dazu findet ihr hier->L33TSP34K, dann muss ich es nicht erklären^^).
Also wir gucken uns den reihm an:
"fischersfritzefischfrischefische"
Ich nehme mir in diesem tutorial die Buchstaben: "e", "f", "s" und "i"

Schritt #4:
Wir ändern die die ausgesuchten buchstaben ind zahlen und behalten uns den "Algorythmus":
e = 3
f = 7
s = 2
i = 1

Schritt #5:
Wir ändern nun die buchstaben in dem wort in die zahlen:
"fischersfritzefischfrischefische" -> "f12ch3r2fr1tz3f12chfr12ch3f12ch3"

Schritt #6:
wir hängen noch eine einfach zu merkende kombination an das ende:
"1q2w3e4r5t6z7u8i9o0p"
Um die erstelllung der Zeichenkette zu erklären zeige ich euch mal ein Foto:

(Pfeile = Eingabenrichtung)
zweck? -> länge des passwortes vergrößern!

Schritt #7:
Nun haben wir unser 42 stelliges easy-passwort:
"f12ch3r2fr1tz3f12chfr12ch3f12ch31q2w3e4r5t6z7u8i9 o0p"

!Achtung!:
Ihr sollt euch selber ein Crypt-Algrythmus ausdenken, es nützt nix wenn ihr einfach copy&past von dem tutorial macht, da es hier im internet schon veröffentlicht ist kann man davon ausgehen das "Bad-Guys" sich ein Programm programmiren was ein Custom-Brutforce-Angriff mit gerade diesen "buchstaben->zahlen" kombinationen ausübt!
!Alle Schritte sollten von euch individuell angepasst sein!
Hier liegt ja die vielfalt und der zweck des tutorials!

Nun könne wir mit dem Punkt -> "Eingabe/Üben des Passwortes" weitermachen oder wir schauen uns noch das unten stehende hard-passwort tutorial an.

Hard Way/High-Securety:
Hier wird eine erstellung beschrieben die mittel-schwierig zu merken ist aber eine hohe sicherheit aufweist. Die abläufe sind im prinzip die selben nur umständlicher zu entschlüsseln.

 Spoiler

Schritt #1:
Es ist für eine hohe sicherheit umbedinkt notwendig das der reihm selbst ausgedacht ist und sehr lang ist. Ansonsten wird er in der theorie mit hoher warscheinlichkeit in irgend einem o.g. Dir-Angriffs Dokument niedergeschreiben sein. Und zu der länge haben wir ja schon im o.g. text etwas gelernt. Mein reihm für das Hard-Tutorial wird sein(ist jetzt nicht gerade lang aber sollte für die theorie reichen): "Frank ist krank von Sand".


Schritt #2:
Wir koriegieren die "leerzeichen" mit "Unterstrichen" :
"Frank ist krank von Sand"->"Frank_ist_krank_von_Sand"
Wahlweise kann man hier noch einen algorythmus benutzen, z.b. nur jedes zweite "leerzeichen" bekommt einen "Unterstrich":
"Frank ist krank von Sand"->"Frank ist_krank von_Sand"

Schritt #3:
Wir assoziieren nun die buchstaben mit umgedrehten zahlen und sonderzeichen (leetspeak, link dazu findet ihr hier->L33TSP34K, dann muss ich es nicht erklären^^).
Also wir gucken uns den reihm an:
"Frank_ist_krank_von_Sand"
Ich nehme mir in diesem tutorial die Buchstaben: "a", "f", "s", "v" und "n"

Schritt #4:
Wir ändern die die ausgesuchten buchstaben ind zahlen und behalten uns den "Algorythmus":
a = /7 ( ein Slash "/" und eine "7")
f = ?
s = $
v = \/ ( ein Back-Slash [tastendruck: ALT-Gr + ?] "\" und ein Slash "/")
n = /V ( ein Slash "/" und ein "V")
Hier ist zu beachten das 1:1 leetspeak von Bad-Guys schon verwendet werden kann, daher sollte es auch "unsinns-assoziierungen" geben. Oben zu sehen an dem "f". Ein "?" zeichen sieht in keiner weise wie ein "f" aus, aber wir alleine wissen es!

Schritt #5:
Wir ändern nun die buchstaben in dem wort in die zahlen/sonderzeichen:
"Frank_ist_krank_von_Sand" -> "?r/7/Vk_i$t_kr/7/Vk_\/on_$/7/Vd"

Schritt #6:
Wir ändern die Groß- und Kleinbuchstaben mit einem Algorythmus.
Z.b. jeder zweite vorkommende buchstabe groß geschrieben
"?r/7/Vk_i$t_kr/7/Vk_\/on_$/7/Vd" -> "?r/7/VK_i$T_kR/7/Vk_\/On_$/7/VD"


Schritt #7:
wir hängen noch eine einfach zu merkende kombination an das ende:
"1q2w3e4r5t6z7u8i9o0p"
Um die erstelllung der Zeichenkette zu erklären zeige ich euch mal ein Foto:

(Pfeile = Eingabenrichtung)
zweck? -> länge des passwortes vergrößern!
Hier ist zu beachten das natürlich auch hier ein "assoziierungs-algorythmus" verwendet werden kann, evtl. buchstaben tauschen oder eine andere kombination als im bild zu sehen!

Schritt #8:
Nun haben wir unser 51 stelliges hard-passwort:
"?r/7/VK_i$T_kR/7/Vk_\/On_$/7/VD1q2w3e4r5t6z7u8i9o0p"

!Achtung!:
Ihr sollt euch selber ein Crypt-Algrythmus ausdenken, es nützt nix wenn ihr einfach copy&past von dem tutorial macht, da es hier im internet schon veröffentlicht ist kann man davon ausgehen das "Bad-Guys" sich ein Programm programmiren was ein Custom-Brutforce-Angriff mit gerade diesen "buchstaben->zahlen" kombinationen ausübt!
!Alle Schritte sollten von euch individuell angepasst sein!
Hier liegt ja die vielfalt und der zweck des tutorials!

Nun könne wir mit dem Punkt -> "Eingabe/Üben des Passwortes" weitermachen

__________________________________________________ ___________________________

Eingabe/Üben des Passwortes:
So ein "umständliches" passwort muss auch sitzen um es im ernstfall einzugeben. Dazu können wir verschiedene methoden benutzen.

#1 TrueCrypt:
- Man kann in TrueCrypt sein passwort ändern und dort kann man dann die eingabe überprüfen lassen
- !ACHTUNG NICHT ZU EMPFEHLEN! TrueCrypt passwort auf das selbst erstellte ändern, PC neustarten und probieren

#2 Tool:
Ich habe mich mal hinngesetzt und ein Tool geschreiben was euch das über vereinfachen sollte:
Info/Funktionen:

• Eingabe-Passwort Abgleich
• Übungs-Passwort Hide
• Richtig-/Falsch angabe durch farbliche kennzeichung
• Log-Counter für übungs nachhaltung

Screens:

 Spoiler

Virustotal:

 Spoiler

Download:

 Spoiler

#3 Editor:
Einfach das erstellte passwort in den editor einfügen und die proben drunterschreiben, danach 1:1 die buchstaben kontrolieren

#4 Sonstige:
Ihr könnt natürlich andere wege finden um euer passwort zu lernen


Fazit:
Meiner meinung nach kann man hiermit sehr gute passwörter erstellen und auch benutzen. Aber das müsst ihr wissen

-> Für konstruktive kretik und Feedback wäre ich dankbar.
-> Fals jemand den Scource-Code haben möchte, PN an mich.
-> Fragen? Kein Problem, in skype, Steam oder über PN bin ich immer zu erreichen
-> Viel spaß beim erstellen & benutzen

EDIT: Formatierungs, Design und Schrift anpassungen folgen...

[Chiller3o3]

Ganz nettes Tutorial, jedoch solltest du mal deine Rechtschreibung überarbeiten. D: Da sind ja Sachen dabei, hehe.

Ich finde die genannte Methoden sehr nett erklärt und es wird sicher den einen oder anderen helfen.

[Tw0F1sh]

Ja da muss noch einiges gemacht werden, aber danke schonmal und steht ja auch drunter das da noch watt gemacht wird ^^

[#AchilezZ]

Vielen Dank, super Tutorial!!!

[Kutzlor]

Alles echt schön erklärt, fein gemacht. Das mit der Rechtschreibung wurde schon gesagt und nicht jeder weiß, dass ein langes Passwort wichtig ist.

Bei 42 Zeichen braucht man auch kaum mehr Sonderzeichen, schaden würden sie trotzdem nicht.

[Tw0F1sh]

Quote:

Originally Posted by Kutzlor

Alles echt schön erklärt, fein gemacht. Das mit der Rechtschreibung wurde schon gesagt und nicht jeder weiß, dass ein langes Passwort wichtig ist.

Bei 42 Zeichen braucht man auch kaum mehr Sonderzeichen, schaden würden sie trotzdem nicht.

Mit den sonderzeichen kann man sich ja noch mehr absichern, für paranoide leute :P