Eben gerade machte Heise.de darauf aufmerksam, dass auf der TrueCrypt-Seite der Hinweis zu finden wäre, dass die Software nicht sicher ist. Das ist nur insofern erstaunlich, als dass eine kürzlich erst stattgefundene Überprüfung des Quellcodes keine Sicherheitslücken ergeben hat. Auch der Heise Verlag vermutet, dass die Entwickler der Verschlüsselungssoftware einen NSL bekommen haben, der sie zur Herausgabe der Schlüssel verpflichtet. Damit dürften sie nicht darauf hinweisen, dass sie dazu aufgefordert werden – um die Nutzer zu schützen, wäre es lediglich logisch, dass sie von der weiteren Nutzung der Software abraten.

Hierzu gibt es etwas zu bedenken: da die Software quelloffen ist, gibt es nichts, was den Sicherheitsbehörden übergeben werden könnte. Passwörter werden schließlich und endlich nicht auf irgend einem Server gespeichert. Es ist also anzunehmen, dass die Software so sicher ist, dass die Behörden in verschlüsselte Container nicht hineingucken können. Der ist es ebenfalls verständlich, dass man nicht möchte, dass diese Software benutzt wird.

Nun ist es allerdings relativ einfach, die meisten Passwörter zu knacken. Insbesondere dann, wenn sie aus Zahlen und Buchstaben bestehen, sind sie nicht sonderlich sicher. Das klingt abenteuerlich, lässt sich aber auch relativ einfach beweisen. Es wird immer wieder empfohlen, dass ein Passwort mindestens 16 Zeichen haben soll und aus Zahlen und Buchstaben und Sonderzeichen zu bestehen hat. Je mehr Zeichen desto besser.

Noch viel sicherer ist allerdings ein Passwort, das aus zufälligen Worten besteht. Nun könnte man davon ausgehen, dass hier eine Wörterbuchattacke das Passwort in Sekunden zu Fall bringt. Nun, wie lange es für einen durchschnittlichen Computer dauert, ein aus zufälligen Worten bestehendes Passwort zu errechnen, kann auf dieser Website jeder nachvollziehen: https://howsecureismypassword.net/

Nehmen wir in den einfachen kleinen Satz „Dies ist ein sicheres Passwort“. Das Ergebnis ist erstaunlich:

Passwortsicherheit

Das macht es selbstverständlich einfach, sich für jede Website einfach einen Satz auszudenken, mit dem man sich dort eingeloggt. Allerdings – und das halte ich für ernsthaft problematisch – sind erstaunlich viele Websites nicht in der Lage, Passwörter mit einer Länge über 16 Zeichen überhaupt anzunehmen. Erst kürzlich habe ich mal wieder einen Satz neuer Passwörter generiert und dabei festgestellt, wie oft doch eine Begrenzung auf diese mysteriösen 16 Zeichen vorhanden ist.

Aber zurück zum Thema TrueCrypt:

Bisher kann ich keinen nachvollziehbaren Grund erkennen, warum man die Version 7.1a nicht benutzen sollte. Schließlich sind ja keine Lücken gefunden worden. Zumindest nicht im ersten Durchgang. Dafür, sollte man sich vielleicht nun ein neues Passwort ausdenken. Und wie wir sehen, kann dieses Passwort aus leicht zu merkenden Worten bestehen, bei denen eine Berechnung unglaublich lange dauern. Zum Glück nimmt die Software auch solch unglaublich lange Passwörter an.

Also dann: Ändert brav eure Passwörter. 😉

 

Tagged with:  

Kommentar verfassen

%d Bloggern gefällt das: