Zuletzt aktuaÂliÂsiert am 21. FebruÂar 2019 durch JürÂgen Voskuhl
Was macht ein PassÂwort "sicher"? Wie merkt man sich am besÂten ein sicheÂres PassÂwort? Was ist noch wichÂtig, um Daten- und IdenÂtiÂtätsÂdiebÂstahl wirkÂsam vorzubeugen?
Vor dem HinÂterÂgrund des kürzÂlich bekannt geworÂdeÂnen DatenÂlecks, von dem PoliÂtiÂker und JourÂnaÂlisÂten betrofÂfen waren, sind dieÂse FraÂgen geraÂde wieÂder hochÂakÂtuÂell – zumal die meisÂten Daten wohl nicht durch einen HackerÂanÂgriff hochÂquaÂliÂfiÂzierÂter SpeÂziaÂlisÂten erbeuÂtet wurÂden, sonÂdern durch das AusÂnutÂzen von schwaÂchen PassÂwörÂtern und ungeÂnüÂgend abgeÂsiÂcherÂte Accounts.
MarÂkus ReuÂter bringt es in seiÂnem KomÂmenÂtar zum TheÂma sehr schön auf den Punkt:
Es braucht für den Daten-Gau keiÂne elaÂboÂrierÂten staatÂliÂchen HackerÂgrupÂpen, wenn die AngriffsÂzieÂle sowieÂso mit herÂunÂterÂgeÂlasÂseÂnen Hosen im Netz stehen.
ZahÂlenÂspieÂle
Aber schön der ReiÂhe nach. BeginÂnen wir bei der Passwort-Sicherheit.
Ein FakÂtor, der dabei eine signiÂfiÂkanÂte RolÂle spielt, ist die LänÂge des PassÂworts, also die Anzahl ZeiÂchen, aus der es besteht. "BreiÂte" bezieht sich auf den ZeiÂchenÂvorÂrat, also die Anzahl unterÂschiedÂliÂcher ZeiÂchen, aus denen ich beim ErstelÂlen eines PassÂworts schöpÂfen kann.
Genug der TheoÂrie, hier ein kleiÂnes RechenÂbeiÂspiel: Das AlphaÂbet besteht aus 26 GrundÂbuchÂstaÂben. Wenn ich also darÂaus ein vier ZeiÂchen lanÂges PassÂwort bilÂden möchÂte, habe ich genau 26 x 26 x 26 x 26, also etwa 457.000 Möglichkeiten.
LasÂsen Sie uns nun zusätzÂlich zwiÂschen Groß- und KleinÂbuchÂstaÂben unterÂscheiÂden. Damit verÂdopÂpeln wir offenÂsichtÂlich unseÂren ZeiÂchenÂvorÂrat. Somit haben wir jetzt 52 x 52 x 52 x 52 x 52 MögÂlichÂkeiÂten, das sind etwa 7,3 MilÂlioÂnen. KonÂkret habe ich also durch VerÂdopÂpeÂlung des ZeiÂchenÂvorÂrats die Anzahl der mögÂliÂchen KomÂbiÂnaÂtioÂnen verÂsechÂzehnÂfacht. Ganz nett, oder?
Sie denÂken, 7,3 Mio. MögÂlichÂkeiÂten sind ganz schön vieÂle MögÂlichÂkeiÂten? KomÂplett falsch!
AufÂzeiÂgen möchÂte ich das anhand der WebÂsite how​se​cu​reis​my​pass​word​.net (sorÂry, die SeiÂte ist leiÂder nur in engÂliÂscher SpraÂche verÂfügÂbar KorÂrekÂtur v. 13.02.19: Janis von BleiÂchert stellt auf https://​www​.exper​te​.de/​p​a​s​s​w​o​r​t​-​c​h​eck das GanÂze auf Deutsch zur VerÂfüÂgung; außerÂdem checkt sein Tool auch gleich noch, ob das PassÂwort in der VerÂganÂgenÂheit in ZusamÂmenÂhang mit einem DatenÂleak aufÂgeÂtaucht ist). DieÂse SeiÂte berechÂnet, wie lanÂge es dauÂern würÂde, ein einÂgeÂgeÂbeÂnes PassÂwort mitÂtels eines BruÂte-ForÂce-Angriffs zu knaÂcken. Bei einer BruÂte-ForÂce-AttaÂcke werÂden einÂfach nachÂeinÂanÂder alle KomÂbiÂnaÂtioÂnen durchÂproÂbiert, bis man das gesuchÂte PassÂwort gefunÂden hat. Für unser BeiÂspiel mit dem vier ZeiÂchen lanÂgen PassÂwort, welÂches aus Klein- und GroßÂbuchÂstaÂben besteht, ermitÂtelt HSIMP (ich nenÂne die SeiÂte ab jetzt so, weil es nicht so sperÂrig ist) einen ZeitÂbeÂdarf von 200 µs, also 200 MilÂliÂonsÂtel SekunÂden! Das entÂspricht nicht mal einem Wimpernschlag.
Was kann man mit acht ZeiÂchen anfangen?
Was pasÂsiert nun, wenn wir unter BeiÂbeÂhalÂtung des ZeiÂchenÂvorÂrats die PassÂwortÂlänÂge verÂdopÂpeln, also auf acht ZeiÂchen erhöÂhen? Da werÂden aus den 200 µs gleich mal 22 MinuÂten. Das ist immer noch nicht wirkÂlich viel, aber man erkennt den Trend.
Wenn wir nun bei der PassÂwortÂlänÂge von acht ZeiÂchen bleiÂben und unseÂren ZeiÂchenÂvorÂrat um ZifÂfern und SonÂderÂzeiÂchen erweiÂtern, ermitÂtelt HSIMP neun StunÂden (tja, ComÂpuÂter sind heuÂte halt verÂdammt schnell!).
ErsÂte Erkenntnisse
Wir könÂnen also festÂhalÂten, das ein acht ZeiÂchen lanÂges PassÂwort, gebilÂdet aus dem in der PraÂxis maxiÂmal mögÂliÂchen ZeiÂchenÂvorÂrat (Klein-/GroßÂbuchÂstaÂben, ZifÂfern und SonÂderÂzeiÂchen) auf gar keiÂnen Fall als "sicher" gelÂten kann!
In der einÂschläÂgiÂgen FachÂliÂteÂraÂtur geht man heuÂte von einem sicheÂren PassÂwort aus, wenn dieÂses unter VerÂwenÂdung des maxiÂmaÂlen ZeiÂchenÂvorÂrat gebilÂdet wurÂde und minÂdesÂtens 16 ZeiÂchen lang ist.
Doch wie kommt man zu derÂarÂtig lanÂgen PassÂwörÂtern und wie merkt man sich diese?
Ein PassÂwort würfeln?
Eine MögÂlichÂkeit ist das sogeÂnannÂte "DiceÂwaÂre-VerÂfahÂren". HierÂbei würÂfelt(!) man sich ein leicht merkÂbaÂres und einÂgebÂbaÂres PassÂwort. EinÂzelÂheiÂten dazu könÂnen Sie hier nachlesen.
Ich perÂsönÂlich halÂte das VerÂfahÂren allerÂdings in seiÂner ReinÂform nicht für sicher – und das aus gutem Grund: Neben den bereits beschrieÂbeÂnen BruÂte-ForÂce-AngrifÂfen gibt es auch noch sogeÂnannÂte WörÂterÂbuchÂatÂtaÂcken. HierÂbei werÂden KomÂbiÂnaÂtioÂnen von WörÂtern durchÂproÂbiert, die in einem WörÂterÂbuch hinÂterÂlegt sind. Sie könÂnen absoÂlut sicher sein, dass die DiceÂwaÂre-WörÂter in allen für WörÂterÂbuchÂatÂtaÂcken genutzÂten WörÂterÂbüÂcher befinden!
WörÂterÂbuchÂatÂtaÂcken fühÂren offenÂsichtÂlich alle VerÂfahÂren zur PassÂwort-GeneÂrieÂrung ad absurÂdum, die auf sogeÂnannÂten PassÂphraÂsen basieÂren, d. h. bei denen ein PassÂwort aus ganÂzen WörÂtern gebilÂdet wird.
Ein PassÂwort-ManaÂger muss her!
LanÂge PassÂwörÂter aus unübÂliÂchen KomÂbiÂnaÂtioÂnen sind also vor dem HinÂterÂgrund der PassÂwort-SicherÂheit unschlagÂbar. AllerÂdings sind die weder leicht merkÂbar, noch einÂfach einÂzuÂgeÂben. AufÂschreiÂben sollÂte man PassÂwörÂter auch nicht unverÂschlüsÂselt. Ach ja, dann war da ja noch die AnforÂdeÂrung, für jeden Dienst ein indiÂviÂduÂelÂles PassÂwort zu verwenden…
Sie sehen schon: In der PraÂxis führt kein Weg an einem PassÂwort-ManaÂger vorÂbei! DerÂarÂtiÂge ProÂgramÂme geneÂrieÂren auf AnforÂdeÂrung starÂke PassÂwörÂter und verÂschlüsÂseln dieÂse lokal, bevor sie gespeiÂchert und gegeÂbeÂnenÂfalls auf andeÂre GeräÂte synÂchroÂniÂsiert werÂden. Als AnwenÂder muss ich mir fortÂan nur noch ein PassÂwort merÂken, nämÂlich das GeneÂralÂpassÂwort für den Passwort-Manager.
In einem eigeÂnen BeiÂtrag gehen wir auf die FunkÂtioÂnen und UnterÂschieÂde von PassÂwort-ManaÂgern ein.
Sind sicheÂre PassÂwörÂter, die in einem PassÂwort-ManaÂger gespeiÂchert sind, also der heiÂliÂge Gral der Online-SicherÂheit? Nicht ganz…
WisÂsen und Besitz
Dem eigeÂnen E‑Mail-Account kommt eine zenÂtraÂle BedeuÂtung zu: über dieÂsen ist das ZurückÂsetÂzen der PassÂwörÂter der meisÂten andeÂren DiensÂte möglich.
Kommt ein AngreiÂfer also doch "irgendÂwie" an die ZugangsÂdaÂten meiÂnes E‑Mail-Accounts, lieÂgen ihm alle andeÂren von mir genutzÂten SerÂvices quaÂsi zu Füßen.
AktiÂvieÂren Sie daher unbeÂdingt die sogeÂnannÂte 2‑FakÂtor-AuthenÂtiÂfiÂzieÂrung (2FA) für Ihr E‑Mail-KonÂto!
HierÂbei geht es darÂum, neben dem FakÂtor "WisÂsen" (BenutÂzerÂnaÂme und KennÂwort) als zweiÂten FakÂtor die KomÂpoÂnenÂte "Besitz" ins Spiel zu brinÂgen. Dabei kann es sich um einen phyÂsiÂschen "SchlüsÂsel" hanÂdeln, den ich besitÂze oder aber auch um einen ZugriffÂsÂcode, welÂcher an ein Gerät gesenÂdet wird, das sich in meiÂnem Besitz befindet.
Der optiÂmaÂle PhisÂhing-Schutz: gesunÂder Menschenverstand!
Jetzt fehlt nur noch eine Zutat zur maxiÂmaÂlen Online-SicherÂheit, nämÂlich der gesunÂde MenÂschenÂverÂstand! KonÂkret geht es um PhisÂhing, also das "abfiÂschen" von ZugangsÂdaÂten. Ein BeiÂspiel für PhisÂhing ist etwa ein täuÂschend echt nachÂgeÂahmÂter InterÂnet-AufÂtritt einer Bank, auf welÂchen deren KunÂden dann per E‑Mail gelockt werÂden, um dort dann Ihre ZugangsÂdaÂten einzugeben.
Und wie schützt mich hier der gesunÂde MenÂschenÂverÂstand? Ganz einÂfach: meiÂne Bank senÂdet mir an meiÂnen norÂmaÂlen E‑Mail-Account höchsÂtens eine NachÂricht, das innerÂhalb meiÂnes Online-BanÂking-Zugangs neue InforÂmaÂtioÂnen für mich vorÂlieÂgen. DieÂse E‑Mail entÂhält jedoch keiÂnen Link dortÂhin. Selbst wenn in der E‑Mail ein Link entÂhalÂten wäre, würÂde ich den nieÂmals benutÂzen, sonÂdern immer auf das von mir selbst gespeiÂcherÂte LeseÂzeiÂchen in meiÂnem BrowÂser zurückÂgreiÂfen. Und selbst dann noch auf das VerÂschlüsÂseÂlungsÂsymÂbol und die angeÂzeigÂte Domain in der BrowÂser-AdressÂleisÂte achÂten. Oder ich nutÂze gleich die App meiÂner Bank.
EbenÂso wenig öffÂne ich E‑Mail-AnhänÂge, wenn eine E‑Mail für mich in irgendÂeiÂner Form unerÂwarÂtet in meiÂnem PostÂeinÂgang lanÂdet. "UnerÂwarÂtet" kann hierÂbei alles mögÂliÂche bedeuÂten: ein TheÂma, was ich mit dem vorÂgebÂliÂchen AbsenÂder noch nie theÂmaÂtiÂsiert habe oder eine (angebÂliÂche) RechÂnung oder MahÂnung von einer FirÂma, von der ich noch nie gehört habe.
Hier gilt: EntÂweÂder gleich löschen oder bei RestÂzweiÂfeln einÂfach mal den Hörer in die Hand nehÂmen und beim AbsenÂder nachÂfraÂgen. Bei Online-BetrugsÂverÂsuÂchen via E‑Bay hilft oft auch das GooÂgeln des AbsenÂders. Wer noch mehr AnreÂgunÂgen braucht: EinÂfach hier weiÂterÂleÂsen.
Und: Was zu schön ist, um wahr zu sein, ist auch nicht wahr – nein, niemals!
Fazit
- PassÂwörÂter sollÂten minÂdesÂtens 16 ZeiÂchen lang sein und aus dem maxiÂmaÂlen WortÂschatz, bestehend aus Klein- und GroßÂbuchÂstaÂben, ZifÂfern und SonÂderÂzeiÂchen gebilÂdet werden.
- PassÂwörÂter sollÂten ferÂner nie im KlarÂtext notiert werden.
- Es gilt außerÂdem der GrundÂsatz "für jeden Dienst ein eigeÂnes Passwort".
- Die genannÂten AnforÂdeÂrunÂgen sind nur per eigens dafür entÂwiÂckelÂter ProÂgramÂme, sogeÂnannÂte PassÂwort-ManaÂger, handlebar.
- Der E‑Mail-Account, über den die PassÂwörÂter aller andeÂren DiensÂte zurückÂgeÂsetzt werÂden könÂnen, sollÂte zusätzÂlich durch eine Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung geschützt werden.
- Neben all dieÂsen InfraÂstrukÂtur-MaßÂnahÂmen ist gesunÂder MenÂschenÂverÂstand unabÂdingÂbar, um Daten- und IdenÂtiÂtätsÂdiebÂstahl zu vermeiden.
NutÂzen Sie bereits einen PassÂwort-ManaÂger? Und wenn ja, welÂchen? Mit welÂchen MethoÂden hat man bei Ihnen schon verÂsucht, ZugangsÂdaÂten abzugreifen?
Ich freue mich auf Ihre Kommentare!
Wenn Sie eine PassÂwort-ManageÂment-Lösung für Ihr UnterÂnehÂmen suchen, spreÂchen Sie uns doch einÂfach an!