To main content

Mit Wikipedia Passwörter knacken - Howto: Gute Passwörter

Veröffentlicht von Benjamin Marwell am
Im neuen Artikel auf heise.de wird beschrieben, wie man Passwörter mit Hilfe einer Wörterbuchliste aus Wikipedia noch schneller knacken kann. Der Trick dabei: In der Wikipedia sind auch alle erdenklichen Rechtschreibfehler enthalten. Dieser Artikel soll einige Möglichkeiten für gute Passwörter aufzeigen. Grundproblem: In vielen Firmen wird alle drei Monate oder sogar öfters ein Passwortwechsel gefordert. Dabei dürfen die letzten drei bis sieben Passwörter noch nicht wieder genutzt werden. Daher freuen sich offensichtlich viele Mitarbeiter, dass es vier Jahreszeiten gibt. Aua. Auch mit Zahlen wie Geheimzahl und/oder Geburtsdatum ist es noch "aua". Außerdem sollte man nie für zwei Dienste das selbe Passwort verwenden. Aber wie macht man es nun richtig? Generell: Mindestens acht Zeichen, inklusive Sonderzeichen, Zahlen, gemischter Groß- und Kleinschreibung. Solch eine Ausgabe liefert der Befehl pwgen -y1BN 1. Gute Passwörter sehen also etwa so aus:
  • ong;e3aR
  • Ree%bei3
  • oK@oo7ra
  • wi.meSh9
Aber wer will sich solche Passwörter schon merken? Jeweils eines von diesen Monstern für Youtube, seinen Freemailer, Flickr, etc.? Nein, das kann wirklich nicht gehen. Und Aufschreiben ist natürlich auch keine Option. Also hier ein kleiner Trick: Möglichkeit 1: Gleiche Anhängsel
  1. Man erstellt sich mit pwgen -y1BN 1 EIN Passwort, welches man sich gut merkt.
  2. Man wählt sich ein Trennzeichen aus, welches im Passwort noch nicht enthalten ist. Zum Beispiel & # % / ( ) = etc.
  3. Man setzt den Namen des Dienstes (z.B. Youtube) VOR oder Hinter das Passwort, und trennt es von diesem mit seinem Trennzeichen ab.
  4. Dadurch erhält man Passwörter, die man sich leicht merken kann, aber immer sehr unterschiedliche Hashes erzeugen.
  5. Beispiel: YouTube@wi.meSh9, Facebook@wi.meSh9 etc.
  6. Nachteil: Kommt einer an eines der Passwörter und erkennt das Schema, sind evtl. mehrere Accounts futsch. Aber meistens wird ja mit Salt oder wenigstens MD5 gespeichert. Für so lange Passwörter gibt es aber noch keine Rainbowtabellen.
  7. Vorteile: Sehr lang, einfach zu merken (nach etwas Übung), absolut sicher.
Möglichkeit 2: uuencode
  1. Man wählt wieder den Servicenamen (z.B. Facebook) und den Bentzer (z.B. user100)
  2. Das ganze tippt man dann in folgenden Befehl: echo "Facebook:bmhm" | uuencode -m - | sed -n '2p'
  3. Ergebnis: RmFjZWJvb2s6Ym1obQo
  4. Pro: Lange, scheinbar sinnlose Passwörter.
  5. Kontra: Leider noch einfacher durchschaubar als Methode 1. Außerdem braucht man jedes mal uuencode.
Welche Methode man nimmt, bleibt einem selbst überlassen. Wichtig ist aber, dass man sorgfältig mit den Kennwörtern umgeht und sie auf seinem eigenen PC erzeugt. Eine Verbindung zu einem Server sollte zusätzlich immer verschlüsselt sein. Sonst hilft eventuell auch das beste Kennwort nichts.