Unterrichtseinheit

Warum sollten Passwörter mindestens acht Zeichen lang sein ?

Passwörter sind die Schlüssel für den Zugang zu Daten und Diensten im Netz.

Sie schützen gegen unbefugten Zugriff. Deshalb sollten sie möglichst geheim bleiben und nur mit grossem Aufwand "geknackt" werden können.

Für die Anmeldung bei Instagram und Twitter, beim E-Banking und bei Amazon und bei allen anderen Plattformen mit persönlichem Benutzerkonto sind Passwörter nötig.

Bei der Registrierung werden wir meist darauf aufmerksam gemacht, dass unser Passwort mindestens 8 und möglichst unterschiedliche Zeichen (Gross- und Kleinbuchstaben, Ziffern, Interpunktionszeichen) umfassen soll.

Warum?

 
  • keine Namen, vor allem keine Namen von Familienmitgliedern, Freunden, Haustieren oder Berühmtheiten
  • keine Begriffe aus Wörterbüchern
  • keine einfallslosen Zeichenkombination (wie z.B. abcd1234)
  • je länger desto besser
  • Passwörter hin und wieder erneuern
  • ...
 

Wie können Passwörter "geknackt" werden?

Social Engineering

Social Engineering Angriffe nutzen die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Personen aus, um an vertrauliche Daten (z.B. Passwörter) zu gelangen.

Beispielsweise gibt sich ein Angreifer am Telefon als Mitarbeiter des Informatikdienstes aus und täuscht eine Störung vor, die durch Angabe des Passwortes behoben werden kann.

Phishing (per E-Mail) ist ebenfalls eine Form des Social Engineerings.

Dictionary Attack

Mit Dictionary Attack (Wörterbuch-Angriff) bezeichnet man ein Verfahren, bei dem die Einträge in einem Wörterbuch verwendet werden, um Passwörter zu knacken.

Im Wörterbuch sind häufig verwendete Passwörter eingetragen (z.B. Namen von Personen, Orten, usw.; einfallslose Zeichenkombinationen wie z.B. abcd1234, 1a2b3c4d, usw.).

Derartige Wörterbücher sind im Web frei verfügbar (z.B. https://thehacktoday.com/password-cracking-dictionarys-download-for-free/).

Brute Force Attack

Brute Force Attack (Angriff mit roher Gewalt) bezeichnet ein Verfahren, bei dem einfach alle möglichen Zeichenkombinationen eines Alphabets (Liste der erlaubten Zeichen) gebildet und ausprobiert werden.

Wie müssen wir uns das konkret vorstellen? Und wie lange dauert es, bis ein beliebiges Passwort bestimmter Länge mit diesem Verfahren gefunden wird?

  • Zahlenschlösser (Beispiel)
  • PIN Codes
  • ...
Video abspielen

Wieviele unterschiedliche Passwörter gibt es?

Ein Passwort umfasst eine beschränkte Anzahl Zeichen aus einem bestimmten Alphabet (Menge der zulässigen Zeichen). Zulässige Zeichen können in einem Passwort mehrfach vorkommen.

Beispiele mit dem Alphabet {"a-z", "A-Z", "0-9", ":", "-", "_"}

Demnach lautet die Frage präziser formuliert: Wieviele unterschiedliche Variationen (mit Wiederholung) von k (Passwortlänge) Zeichen aus der Menge der n zulässigen Zeichen (Alphabet) gibt es?

Das tönt mathematisch. Vielleicht veranschaulicht ein einfaches Beispiel den Zusammenhang zwischen der Länge eines Passworts, der Anzahl der zulässigen Zeichen und der sich daraus ergebenden Anzahl unterschiedlicher Passwörter?

Stell Dir Würfel mit sechs Flächen vor. Das entspricht einem Alphabet mit 6 Zeichen (n = 6). Wieviele unterschiedliche Wurfergebnisse gibt es mit ...

6

Mit 1 Würfel können nur die Zahlen 1 bis 6 gewürfelt werden.

6 * 6 = 62

Mit dem ersten Würfel können die Zahlen 1, 2, 3, .., 6 gewürfelt werden. Mit dem zweiten Würfel ebenfalls. Daraus ergeben sich die Variationen (1,1), (1,2), (1,3) ... (1,6) / (2,1), (2,2), (2,3) ... (2,6) / (3,1), (3,2), (3,3) ... (3,6) / usw.

6 * 6 * 6 = 36 * 6 = 216 = 63

Zu jedem der 36 möglichen Wurfergebnisse mit 2 Würfeln kommen beim dritten Wurf 6 Möglichkeiten hinzu.

Rechne selber ...

Findest Du auch eine allgemeine Formel für die Berechnung?


Fazit

Mit 4 beliebigen Zeichen (k = 4) aus einem Alphabet mit 36 Zeichen (n = 36) können nk = 364 = 1'679'616 unterschiedliche Passwörter gebildet werden.


Experimente

  • Wie viele unterschiedliche Passwörter gibt es bei einem Alphabet mit 36 Zeichen, wenn die Passwörter mehr als 4 Zeichen umfassen?
  • Zeichne in einem Diagramm die Anzahl möglicher Passwörter in Abhängigkeit der Passwort-Länge als Punkte ein. Wie sieht die Kurve aus, wenn Du die Punkte verbindest? Du kannst dafür auch einen Online-Dienst verwenden, wenn Du willst (z.B. fooplot).
  • Wie lange dauert es, um ein Passwort mit 4, 5, 6, 7, 8 Zeichen zu "knacken"?
  • Was verändert sich, wenn Dir für ein Passwort nicht nur 36, sondern 66 Zeichen zur Verfügung stehen ("a-z", "A-Z", "0-9", "-", "_", ":", "!")?

Dein eigenes Fazit?

Wie würdest Du einer anderen Person in Deinem Alter in eigenen Worten erläutern, was ein "sicheres Passwort" ist?


Praxisbezug

Mit einem Brute-Force-Attack-Programm kann man das Passwort für die Anmeldung bei einem Web-Dienst (z.B. Facebook, Instagram, Dropbox, Web-Shops, usw.) nicht wirklich herausfinden; solche Web-Dienste verweigern in der Regel den Zugriff nach einigen Falscheingaben.

Aber für das "Knacken" von Passwörtern von Dokumenten (z.B. mit einem Passwort geschützte Excel-Tabellen oder PDF-Dokumente) gibt es entsprechende Programme. Diese darf man selbstverständlich nur dann anwenden, wenn einem das betreffende Dokument gehört. (Manchmal vergisst man die Schutz-Passwörter; in diesen Fällen ist die Anwendung eines solchen Programms legal.)

Am kritischsten sind Dateien, die viele unterschiedliche Passwörter enthalten. Beispielsweise legen die Browser (Safari, Chrome, Firefox, Opera, usw.) solche Dateien (bzw. Datenbanken) auf Deinem eigenen Computer an, wenn Du bei der Eingabe des Benutzernamens und Passwortes für die Anmeldung bei einem Web-Dienst bestätigst, dass der Browser Benutzername und Passwort speichern soll; Du musst dann diese Angaben nicht bei jeder folgenden Anmeldung wieder selbst eingeben.

Auch im Web kann man Dateien mit Passwörtern finden. Oft veröffentlichen Hacker solche Dateien, nachdem sie diese auf einem angegriffenen Web-Server "gefunden" haben.

Zwar sind die Passwörter in solchen Dateien verschlüsselt. Die gängigen Verschlüsselungsverfahren sind aber bekannt, sodass das Brute-Force-Attack-Programm die berechneten Passwörter einfach auch verschlüsseln und mit den Einträgen in der Datei vergleichen muss.

Ist Dein Passwort auch schon gehackt worden? Prüfe z.B. auf der Website haveibeenpwned.com.