Passwörter

Wer sich heute bei einer Webseite registriert, der muss sich meist ein Passwort überlegen. Doof, wer will sich denn schon wieder ein neues merken? Da nimmt man doch viel lieber jenes Passwort, das auch schon für alle anderen Webseiten verwendet wurde - Vielleicht noch mit einer kleinen Variation.

Eine gute Idee ist das aber nicht. Warum? Dafür müssen wir kurz in die Technik hinter den Webseiten abtauchen.

Wenn der "Registrieren"-Knopf betätigt wurde, dann schickt die Webseite das neue Passwort durch ein kleines Programm, das das Passwort in unverständlichen Buchstabensalat verwandelt. Der Buchstabensalat ist allerdings eindeutig, sodass jedes Mal, wenn das Passwort durch das Programm gejagt wird, der selbe Buchstabensalat herauskommt. Wird jedoch ein anderes Passwort durch das Programm gejagt, so kommt auch anderer Buchstabensalat heraus. Dieses Erzeugen von Buchstabensalat heißt Hashing.

Hash-Algorithmus

Der Betreiber der Webseite speichert jetzt nur die Kombination von Benutzername und Hash. Jedes Mal, wenn neu eingeloggt wird, wird auch der Hash neu erzeugt. Wenn der neue und der gespeicherte Hash übereinstimmen, so war das Passwort richtig.

Leider kommt es immer wieder zu Daten-Leaks, bei denen hunderttausende dieser Kombinationen öffentlich werden. Mit Hilfe von sehr schnellen Computern schaffen es Hacker, sehr viele mögliche Passwörter auszuprobieren, sodass sie insbesondere bei kurzen Passwörtern schnell das richtige finden können.
Hier eine graphische Darstellung von Daten-Leaks der vergangenen Jahre

Dann kann der Login auf anderen Webseiten mit diesen Passwörtern versucht werden und so Zugang zu den anderen Accounts erhalten werden.


Passwörter merken ist immer noch doof!

Daher gibt Passwort-Manager. Die erstellen komplizierte Passwörter, für jede Seite ein neues, und speichern diese. Nun ist es nur noch notwendig, sich ein einziges Passwort für den Manager zu merken - Alle anderen Passwörter merkt sich dieser für uns.

Ich verwende KeePassX, aber es gibt auch andere gute Passwort-Manager.

Es geht noch besser!

Viele Webseiten bieten Zwei-Faktor Authentifizierung an. Wenn es die gibt, lohnt es sich, die auch zu verwenden!