Passwort-Sicherheit: Lieber lang oder breit?
Zuletzt aktualisiert am 21. Februar 2019 durch Jürgen Voskuhl
Was macht ein Passwort "sicher"? Wie merkt man sich am besten ein sicheres Passwort? Was ist noch wichtig, um Daten- und Identitätsdiebstahl wirksam vorzubeugen?
Vor dem Hintergrund des kürzlich bekannt gewordenen Datenlecks, von dem Politiker und Journalisten betroffen waren, sind diese Fragen gerade wieder hochaktuell – zumal die meisten Daten wohl nicht durch einen Hackerangriff hochqualifizierter Spezialisten erbeutet wurden, sondern durch das Ausnutzen von schwachen Passwörtern und ungenügend abgesicherte Accounts.
Markus Reuter bringt es in seinem Kommentar zum Thema sehr schön auf den Punkt:
Es braucht für den Daten-Gau keine elaborierten staatlichen Hackergruppen, wenn die Angriffsziele sowieso mit heruntergelassenen Hosen im Netz stehen.
Zahlenspiele
Aber schön der Reihe nach. Beginnen wir bei der Passwort-Sicherheit.
Ein Faktor, der dabei eine signifikante Rolle spielt, ist die Länge des Passworts, also die Anzahl Zeichen, aus der es besteht. "Breite" bezieht sich auf den Zeichenvorrat, also die Anzahl unterschiedlicher Zeichen, aus denen ich beim Erstellen eines Passworts schöpfen kann.
Genug der Theorie, hier ein kleines Rechenbeispiel: Das Alphabet besteht aus 26 Grundbuchstaben. Wenn ich also daraus ein vier Zeichen langes Passwort bilden möchte, habe ich genau 26 x 26 x 26 x 26, also etwa 457.000 Möglichkeiten.
Lassen Sie uns nun zusätzlich zwischen Groß- und Kleinbuchstaben unterscheiden. Damit verdoppeln wir offensichtlich unseren Zeichenvorrat. Somit haben wir jetzt 52 x 52 x 52 x 52 x 52 Möglichkeiten, das sind etwa 7,3 Millionen. Konkret habe ich also durch Verdoppelung des Zeichenvorrats die Anzahl der möglichen Kombinationen versechzehnfacht. Ganz nett, oder?
Sie denken, 7,3 Mio. Möglichkeiten sind ganz schön viele Möglichkeiten? Komplett falsch!
Aufzeigen möchte ich das anhand der Website howsecureismypassword.net (sorry, die Seite ist leider nur in englischer Sprache verfügbar Korrektur v. 13.02.19: Janis von Bleichert stellt auf https://www.experte.de/passwort-check das Ganze auf Deutsch zur Verfügung; außerdem checkt sein Tool auch gleich noch, ob das Passwort in der Vergangenheit in Zusammenhang mit einem Datenleak aufgetaucht ist). Diese Seite berechnet, wie lange es dauern würde, ein eingegebenes Passwort mittels eines Brute-Force-Angriffs zu knacken. Bei einer Brute-Force-Attacke werden einfach nacheinander alle Kombinationen durchprobiert, bis man das gesuchte Passwort gefunden hat. Für unser Beispiel mit dem vier Zeichen langen Passwort, welches aus Klein- und Großbuchstaben besteht, ermittelt HSIMP (ich nenne die Seite ab jetzt so, weil es nicht so sperrig ist) einen Zeitbedarf von 200 µs, also 200 Millionstel Sekunden! Das entspricht nicht mal einem Wimpernschlag.
Was kann man mit acht Zeichen anfangen?
Was passiert nun, wenn wir unter Beibehaltung des Zeichenvorrats die Passwortlänge verdoppeln, also auf acht Zeichen erhöhen? Da werden aus den 200 µs gleich mal 22 Minuten. Das ist immer noch nicht wirklich viel, aber man erkennt den Trend.
Wenn wir nun bei der Passwortlänge von acht Zeichen bleiben und unseren Zeichenvorrat um Ziffern und Sonderzeichen erweitern, ermittelt HSIMP neun Stunden (tja, Computer sind heute halt verdammt schnell!).
Erste Erkenntnisse
Wir können also festhalten, das ein acht Zeichen langes Passwort, gebildet aus dem in der Praxis maximal möglichen Zeichenvorrat (Klein-/Großbuchstaben, Ziffern und Sonderzeichen) auf gar keinen Fall als "sicher" gelten kann!
In der einschlägigen Fachliteratur geht man heute von einem sicheren Passwort aus, wenn dieses unter Verwendung des maximalen Zeichenvorrat gebildet wurde und mindestens 16 Zeichen lang ist.
Doch wie kommt man zu derartig langen Passwörtern und wie merkt man sich diese?
Ein Passwort würfeln?
Eine Möglichkeit ist das sogenannte "Diceware-Verfahren". Hierbei würfelt(!) man sich ein leicht merkbares und eingebbares Passwort. Einzelheiten dazu können Sie hier nachlesen.
Ich persönlich halte das Verfahren allerdings in seiner Reinform nicht für sicher – und das aus gutem Grund: Neben den bereits beschriebenen Brute-Force-Angriffen gibt es auch noch sogenannte Wörterbuchattacken. Hierbei werden Kombinationen von Wörtern durchprobiert, die in einem Wörterbuch hinterlegt sind. Sie können absolut sicher sein, dass die Diceware-Wörter in allen für Wörterbuchattacken genutzten Wörterbücher befinden!
Wörterbuchattacken führen offensichtlich alle Verfahren zur Passwort-Generierung ad absurdum, die auf sogenannten Passphrasen basieren, d. h. bei denen ein Passwort aus ganzen Wörtern gebildet wird.
Ein Passwort-Manager muss her!
Lange Passwörter aus unüblichen Kombinationen sind also vor dem Hintergrund der Passwort-Sicherheit unschlagbar. Allerdings sind die weder leicht merkbar, noch einfach einzugeben. Aufschreiben sollte man Passwörter auch nicht unverschlüsselt. Ach ja, dann war da ja noch die Anforderung, für jeden Dienst ein individuelles Passwort zu verwenden…
Sie sehen schon: In der Praxis führt kein Weg an einem Passwort-Manager vorbei! Derartige Programme generieren auf Anforderung starke Passwörter und verschlüsseln diese lokal, bevor sie gespeichert und gegebenenfalls auf andere Geräte synchronisiert werden. Als Anwender muss ich mir fortan nur noch ein Passwort merken, nämlich das Generalpasswort für den Passwort-Manager.
In einem eigenen Beitrag gehen wir auf die Funktionen und Unterschiede von Passwort-Managern ein.
Sind sichere Passwörter, die in einem Passwort-Manager gespeichert sind, also der heilige Gral der Online-Sicherheit? Nicht ganz…
Wissen und Besitz
Dem eigenen E‑Mail-Account kommt eine zentrale Bedeutung zu: über diesen ist das Zurücksetzen der Passwörter der meisten anderen Dienste möglich.
Kommt ein Angreifer also doch "irgendwie" an die Zugangsdaten meines E‑Mail-Accounts, liegen ihm alle anderen von mir genutzten Services quasi zu Füßen.
Aktivieren Sie daher unbedingt die sogenannte 2‑Faktor-Authentifizierung (2FA) für Ihr E‑Mail-Konto!
Hierbei geht es darum, neben dem Faktor "Wissen" (Benutzername und Kennwort) als zweiten Faktor die Komponente "Besitz" ins Spiel zu bringen. Dabei kann es sich um einen physischen "Schlüssel" handeln, den ich besitze oder aber auch um einen Zugriffscode, welcher an ein Gerät gesendet wird, das sich in meinem Besitz befindet.
Der optimale Phishing-Schutz: gesunder Menschenverstand!
Jetzt fehlt nur noch eine Zutat zur maximalen Online-Sicherheit, nämlich der gesunde Menschenverstand! Konkret geht es um Phishing, also das "abfischen" von Zugangsdaten. Ein Beispiel für Phishing ist etwa ein täuschend echt nachgeahmter Internet-Auftritt einer Bank, auf welchen deren Kunden dann per E‑Mail gelockt werden, um dort dann Ihre Zugangsdaten einzugeben.
Und wie schützt mich hier der gesunde Menschenverstand? Ganz einfach: meine Bank sendet mir an meinen normalen E‑Mail-Account höchstens eine Nachricht, das innerhalb meines Online-Banking-Zugangs neue Informationen für mich vorliegen. Diese E‑Mail enthält jedoch keinen Link dorthin. Selbst wenn in der E‑Mail ein Link enthalten wäre, würde ich den niemals benutzen, sondern immer auf das von mir selbst gespeicherte Lesezeichen in meinem Browser zurückgreifen. Und selbst dann noch auf das Verschlüsselungssymbol und die angezeigte Domain in der Browser-Adressleiste achten. Oder ich nutze gleich die App meiner Bank.
Ebenso wenig öffne ich E‑Mail-Anhänge, wenn eine E‑Mail für mich in irgendeiner Form unerwartet in meinem Posteingang landet. "Unerwartet" kann hierbei alles mögliche bedeuten: ein Thema, was ich mit dem vorgeblichen Absender noch nie thematisiert habe oder eine (angebliche) Rechnung oder Mahnung von einer Firma, von der ich noch nie gehört habe.
Hier gilt: Entweder gleich löschen oder bei Restzweifeln einfach mal den Hörer in die Hand nehmen und beim Absender nachfragen. Bei Online-Betrugsversuchen via E‑Bay hilft oft auch das Googeln des Absenders. Wer noch mehr Anregungen braucht: Einfach hier weiterlesen.
Und: Was zu schön ist, um wahr zu sein, ist auch nicht wahr – nein, niemals!
Fazit
- Passwörter sollten mindestens 16 Zeichen lang sein und aus dem maximalen Wortschatz, bestehend aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen gebildet werden.
- Passwörter sollten ferner nie im Klartext notiert werden.
- Es gilt außerdem der Grundsatz "für jeden Dienst ein eigenes Passwort".
- Die genannten Anforderungen sind nur per eigens dafür entwickelter Programme, sogenannte Passwort-Manager, handlebar.
- Der E‑Mail-Account, über den die Passwörter aller anderen Dienste zurückgesetzt werden können, sollte zusätzlich durch eine Zwei-Faktor-Authentifizierung geschützt werden.
- Neben all diesen Infrastruktur-Maßnahmen ist gesunder Menschenverstand unabdingbar, um Daten- und Identitätsdiebstahl zu vermeiden.
Nutzen Sie bereits einen Passwort-Manager? Und wenn ja, welchen? Mit welchen Methoden hat man bei Ihnen schon versucht, Zugangsdaten abzugreifen?
Ich freue mich auf Ihre Kommentare!
Wenn Sie eine Passwort-Management-Lösung für Ihr Unternehmen suchen, sprechen Sie uns doch einfach an!