{"id":10733,"date":"2022-05-31T09:58:27","date_gmt":"2022-05-31T07:58:27","guid":{"rendered":"https:\/\/www.polyas.de\/blog\/?p=10733"},"modified":"2023-05-09T15:38:31","modified_gmt":"2023-05-09T13:38:31","slug":"sichere-passwoerter","status":"publish","type":"post","link":"https:\/\/www.polyas.de\/blog\/de\/digitale-demokratie\/sichere-passwoerter","title":{"rendered":"Sichere Passw\u00f6rter: Mythen und Fakten zur Sicherheit von Online-Wahlen \u2013 Teil 5"},"content":{"rendered":"

POLYAS sorgt f\u00fcr sichere Passw\u00f6rter im Online-Wahlmanager, indem beim Erstellen des Passworts automatisch bestimmte Kriterien \u00fcberpr\u00fcft werden. Welche das sind, erfahren Sie im f\u00fcnften und letzten Teil unserer Blogpost-Serie \u201eMythen und Fakten zur Sicherheit von Online-Wahlen\u201c<\/a><\/span>.<\/p>\n

<\/p>\n

Dass sichere Passw\u00f6rter eine gewisse L\u00e4nge haben sollten, um Schutz zu gew\u00e4hren, ist den meisten Internetnutzer:innen inzwischen wohl bewusst. Bei POLYAS m\u00fcssen Passw\u00f6rter, die f\u00fcr den Online-Wahlmanager<\/a> erstellt<\/span><\/span> werden, ab dem 28.06.2022 mindestens 10 Zeichen haben und bestimmte Zeichen beinhalten. Dass aber auch dann ein Sicherheitsrisiko vorliegen kann, wenn man zehn zuf\u00e4llige Zeichen w\u00e4hlt, wissen viele Internetnutzer:innen nicht. Denn wer Pech hat, dessen Passwort ist bereits einmal bei einem Datenleak in die \u00d6ffentlichkeit geraten.<\/p>\n

Damit w\u00e4re es f\u00fcr Hacker:innen ein Leichtes, sich Zugang zu dem Account zu verschaffen, mit dem Wahlprojekte erstellt, verwaltet und gestartet werden k\u00f6nnen. Wenn diese die zum Account geh\u00f6rige E-Mail-Adresse kennen, k\u00f6nnten sie einen sogenannten Brute-Force-Angriff starten. Dabei handelt es sich um den Versuch, ein Passwort per systematischem Ausprobieren zu knacken. Dazu w\u00fcrden zun\u00e4chst die Passw\u00f6rter probiert, die bereits einmal durch eine Datenschutzverletzung \u00f6ffentlich gemacht wurden.<\/p>\n

Sichere Passw\u00f6rter trotz Datenleaks<\/h3>\n
\"Bei<\/a>

Bei POLYAS werden sichere Passw\u00f6rter gro\u00dfgeschrieben<\/p><\/div>\n

POLYAS sch\u00fctzt seine Nutzer:innen vor einem solchen Szenario, indem wir bereits beim Erstellen des Passworts \u00fcberpr\u00fcfen, ob dieses bereits ver\u00f6ffentlicht wurde. Dazu nutzen wir den Service des Drittanbieters Have I Been Pwned? (HIBP)<\/em><\/a><\/span>. Pwn<\/em> ist ein englischer Slangausdruck aus der Videogamer-Szene und bedeutet so viel wie die Kontrolle \u00fcber einen Account oder Computer \u00fcbernehmen. <\/em>Die vom australischen Sicherheitsexperten Troy Hunt gegr\u00fcndete und \u00fcber Spenden finanzierte Datenbank listet unter anderem Passw\u00f6rter, die aus hunderten Datenschutzverletzungen bekannt geworden sind.<\/p>\n

Nutzer:innen k\u00f6nnen \u00fcber diese Webseite selbst \u00fcberpr\u00fcfen, ob Informationen \u00fcber die eigenen Daten ver\u00f6ffentlicht wurden. Aber auch POLYAS nimmt automatisch eine Pr\u00fcfung jener Passw\u00f6rtern vor, welche im POLYAS Online-Wahlmanager angelegt werden. Egal ob bei der Registrierung, dem Nutzen der “Passwort-vergessen”-Funktion oder dem Neusetzen des Passworts \u00fcber den eigenen Account \u2013 sollte das Passwort bereits kompromittiert sein, wird man darauf durch eine Warnmeldung hingewiesen. Dabei ist sichergestellt, dass Have I Been Pwnd<\/em> keine Informationen \u00fcber das Klartextpasswort erh\u00e4lt.<\/p>\n

Haben Sie bereits die ersten vier Teile unserer Serie \u201eMythen und Fakten zur Sicherheit von Online-Wahlen\u201c gelesen? Hier finden Sie <\/em><\/strong>Teil Eins<\/span><\/em><\/strong><\/a>, <\/em><\/strong>Teil Zwei<\/em><\/strong><\/a>,<\/u><\/em><\/strong> Teil Drei<\/em><\/strong><\/a><\/span> und <\/strong><\/em>Teil Vier<\/span><\/strong><\/a>.<\/strong><\/em><\/p>\n

F\u00fcnf Jahre zum Passwort knacken<\/h3>\n

Doch auch nicht-kompromittierte, sichere Passw\u00f6rter aus acht zuf\u00e4lligen Zeichen stellen heute keinen ausreichenden Schutz vor einem Brute-Force-Angriff mehr dar, da diese von einem einfachen Computer in rund acht Stunden geknackt werden k\u00f6nnten<\/span><\/a>. F\u00fcr ein Passwort aus zehn Zeichen w\u00fcrde ein handels\u00fcblicher PC hingegen f\u00fcnf Jahre brauchen \u2013 nur zwei Zeichen mehr, aber die Kombinationsm\u00f6glichkeiten vervielfachen sich. In der IT-Welt spricht man von einer hohen Entropie, also Informationsdichte.<\/p>\n

Auch POLYAS l\u00e4sst ab dem 28.06.2022 nur noch zehnstellige Passw\u00f6rter im Online-Wahlmanager<\/span><\/a> zu. Weitere Mindestbedingungen beim Erstellen eines neuen Passworts sind:<\/p>\n