Pass­wort-Sicher­heit: Lie­ber lang oder breit?

Zuletzt aktua­li­siert am 21. Febru­ar 2019 durch Jür­gen Voskuhl

Was macht ein Pass­wort "sicher"? Wie merkt man sich am bes­ten ein siche­res Pass­wort? Was ist noch wich­tig, um Daten- und Iden­ti­täts­dieb­stahl wirk­sam vorzubeugen?

Vor dem Hin­ter­grund des kürz­lich bekannt gewor­de­nen Daten­lecks, von dem Poli­ti­ker und Jour­na­lis­ten betrof­fen waren, sind die­se Fra­gen gera­de wie­der hoch­ak­tu­ell – zumal die meis­ten Daten wohl nicht durch einen Hacker­an­griff hoch­qua­li­fi­zier­ter Spe­zia­lis­ten erbeu­tet wur­den, son­dern durch das Aus­nut­zen von schwa­chen Pass­wör­tern und unge­nü­gend abge­si­cher­te Accounts.

Mar­kus Reu­ter bringt es in sei­nem Kom­men­tar zum The­ma sehr schön auf den Punkt:

Es braucht für den Daten-Gau kei­ne ela­bo­rier­ten staat­li­chen Hacker­grup­pen, wenn die Angriffs­zie­le sowie­so mit her­un­ter­ge­las­se­nen Hosen im Netz stehen.

Zah­len­spie­le

Aber schön der Rei­he nach. Begin­nen wir bei der Passwort-Sicherheit.
Ein Fak­tor, der dabei eine signi­fi­kan­te Rol­le spielt, ist die Län­ge des Pass­worts, also die Anzahl Zei­chen, aus der es besteht. "Brei­te" bezieht sich auf den Zei­chen­vor­rat, also die Anzahl unter­schied­li­cher Zei­chen, aus denen ich beim Erstel­len eines Pass­worts schöp­fen kann.

Genug der Theo­rie, hier ein klei­nes Rechen­bei­spiel: Das Alpha­bet besteht aus 26 Grund­buch­sta­ben. Wenn ich also dar­aus ein vier Zei­chen lan­ges Pass­wort bil­den möch­te, habe ich genau 26 x 26 x 26 x 26, also etwa 457.000 Möglichkeiten.

Las­sen Sie uns nun zusätz­lich zwi­schen Groß- und Klein­buch­sta­ben unter­schei­den. Damit ver­dop­peln wir offen­sicht­lich unse­ren Zei­chen­vor­rat. Somit haben wir jetzt 52 x 52 x 52 x 52 x 52 Mög­lich­kei­ten, das sind etwa 7,3 Mil­lio­nen. Kon­kret habe ich also durch Ver­dop­pe­lung des Zei­chen­vor­rats die Anzahl der mög­li­chen Kom­bi­na­tio­nen ver­sech­zehn­facht. Ganz nett, oder?

Sie den­ken, 7,3 Mio. Mög­lich­kei­ten sind ganz schön vie­le Mög­lich­kei­ten? Kom­plett falsch!
Auf­zei­gen möch­te ich das anhand der Web­site how​se​cu​reis​my​pass​word​.net (sor­ry, die Sei­te ist lei­der nur in eng­li­scher Spra­che ver­füg­bar Kor­rek­tur v. 13.02.19: Janis von Blei­chert stellt auf https://​www​.exper​te​.de/​p​a​s​s​w​o​r​t​-​c​h​eck das Gan­ze auf Deutsch zur Ver­fü­gung; außer­dem checkt sein Tool auch gleich noch, ob das Pass­wort  in der Ver­gan­gen­heit in Zusam­men­hang mit einem Daten­leak auf­ge­taucht ist). Die­se Sei­te berech­net, wie lan­ge es dau­ern wür­de, ein ein­ge­ge­be­nes Pass­wort mit­tels eines Bru­te-For­ce-Angriffs zu kna­cken. Bei einer Bru­te-For­ce-Atta­cke wer­den ein­fach nach­ein­an­der alle Kom­bi­na­tio­nen durch­pro­biert, bis man das gesuch­te Pass­wort gefun­den hat. Für unser Bei­spiel mit dem vier Zei­chen lan­gen Pass­wort, wel­ches aus Klein- und Groß­buch­sta­ben besteht, ermit­telt HSIMP (ich nen­ne die Sei­te ab jetzt so, weil es nicht so sper­rig ist) einen Zeit­be­darf von 200 µs, also 200 Mil­li­ons­tel Sekun­den! Das ent­spricht nicht mal einem Wimpernschlag.

Was kann man mit acht Zei­chen anfangen?

Was pas­siert nun, wenn wir unter Bei­be­hal­tung des Zei­chen­vor­rats die Pass­wort­län­ge ver­dop­peln, also auf acht Zei­chen erhö­hen? Da wer­den aus den 200 µs gleich mal 22 Minu­ten. Das ist immer noch nicht wirk­lich viel, aber man erkennt den Trend.
Wenn wir nun bei der Pass­wort­län­ge von acht Zei­chen blei­ben und unse­ren Zei­chen­vor­rat um Zif­fern und Son­der­zei­chen erwei­tern, ermit­telt HSIMP neun Stun­den (tja, Com­pu­ter sind heu­te halt ver­dammt schnell!).

Ers­te Erkenntnisse

Wir kön­nen also fest­hal­ten, das ein acht Zei­chen lan­ges Pass­wort, gebil­det aus dem in der Pra­xis maxi­mal mög­li­chen Zei­chen­vor­rat (Klein-/Groß­buch­sta­ben, Zif­fern und Son­der­zei­chen) auf gar kei­nen Fall als "sicher" gel­ten kann!
In der ein­schlä­gi­gen Fach­li­te­ra­tur geht man heu­te von einem siche­ren Pass­wort aus, wenn die­ses unter Ver­wen­dung des maxi­ma­len Zei­chen­vor­rat gebil­det wur­de und min­des­tens 16 Zei­chen lang ist.
Doch wie kommt man zu der­ar­tig lan­gen Pass­wör­tern und wie merkt man sich diese?

Ein Pass­wort würfeln?

Eine Mög­lich­keit ist das soge­nann­te "Dice­wa­re-Ver­fah­ren". Hier­bei wür­felt(!) man sich ein leicht merk­ba­res und ein­geb­ba­res Pass­wort. Ein­zel­hei­ten dazu kön­nen Sie hier nachlesen.
Ich per­sön­lich hal­te das Ver­fah­ren aller­dings in sei­ner Rein­form nicht für sicher – und das aus gutem Grund: Neben den bereits beschrie­be­nen Bru­te-For­ce-Angrif­fen gibt es auch noch soge­nann­te Wör­ter­buch­at­ta­cken. Hier­bei wer­den Kom­bi­na­tio­nen von Wör­tern durch­pro­biert, die in einem Wör­ter­buch hin­ter­legt sind. Sie kön­nen abso­lut sicher sein, dass die Dice­wa­re-Wör­ter in allen für Wör­ter­buch­at­ta­cken genutz­ten Wör­ter­bü­cher befinden!
Wör­ter­buch­at­ta­cken füh­ren offen­sicht­lich alle Ver­fah­ren zur Pass­wort-Gene­rie­rung ad absur­dum, die auf soge­nann­ten Pass­phra­sen basie­ren, d. h. bei denen ein Pass­wort aus gan­zen Wör­tern gebil­det wird.

Ein Pass­wort-Mana­ger muss her!

Lan­ge Pass­wör­ter aus unüb­li­chen Kom­bi­na­tio­nen sind also vor dem Hin­ter­grund der Pass­wort-Sicher­heit unschlag­bar. Aller­dings sind die weder leicht merk­bar, noch ein­fach ein­zu­ge­ben. Auf­schrei­ben soll­te man Pass­wör­ter auch nicht unver­schlüs­selt. Ach ja, dann war da ja noch die Anfor­de­rung, für jeden Dienst ein indi­vi­du­el­les Pass­wort zu verwenden…
Sie sehen schon: In der Pra­xis führt kein Weg an einem Pass­wort-Mana­ger vor­bei! Der­ar­ti­ge Pro­gram­me gene­rie­ren auf Anfor­de­rung star­ke Pass­wör­ter und ver­schlüs­seln die­se lokal, bevor sie gespei­chert und gege­be­nen­falls auf ande­re Gerä­te syn­chro­ni­siert wer­den. Als Anwen­der muss ich mir fort­an nur noch ein Pass­wort mer­ken, näm­lich das Gene­ral­pass­wort für den Passwort-Manager.
In einem eige­nen Bei­trag gehen wir auf die Funk­tio­nen und Unter­schie­de von Pass­wort-Mana­gern ein.

Sind siche­re Pass­wör­ter, die in einem Pass­wort-Mana­ger gespei­chert sind, also der hei­li­ge Gral der Online-Sicher­heit? Nicht ganz…

Wis­sen und Besitz

Dem eige­nen E‑Mail-Account kommt eine zen­tra­le Bedeu­tung zu: über die­sen ist das Zurück­set­zen der Pass­wör­ter der meis­ten ande­ren Diens­te möglich.
Kommt ein Angrei­fer also doch "irgend­wie" an die Zugangs­da­ten mei­nes E‑Mail-Accounts, lie­gen ihm alle ande­ren von mir genutz­ten Ser­vices qua­si zu Füßen.
Akti­vie­ren Sie daher unbe­dingt die soge­nann­te 2‑Fak­tor-Authen­ti­fi­zie­rung (2FA) für Ihr E‑Mail-Kon­to!
Hier­bei geht es dar­um, neben dem Fak­tor "Wis­sen" (Benut­zer­na­me und Kenn­wort) als zwei­ten Fak­tor die Kom­po­nen­te "Besitz" ins Spiel zu brin­gen. Dabei kann es sich um einen phy­si­schen "Schlüs­sel" han­deln, den ich besit­ze oder aber auch um einen Zugriff­s­code, wel­cher an ein Gerät gesen­det wird, das sich in mei­nem Besitz befindet.

Der opti­ma­le Phis­hing-Schutz: gesun­der Menschenverstand!

Jetzt fehlt nur noch eine Zutat zur maxi­ma­len Online-Sicher­heit, näm­lich der gesun­de Men­schen­ver­stand! Kon­kret geht es um Phis­hing, also das "abfi­schen" von Zugangs­da­ten. Ein Bei­spiel für Phis­hing ist etwa ein täu­schend echt nach­ge­ahm­ter Inter­net-Auf­tritt einer Bank, auf wel­chen deren Kun­den dann per E‑Mail gelockt wer­den, um dort dann Ihre Zugangs­da­ten einzugeben.
Und wie schützt mich hier der gesun­de Men­schen­ver­stand? Ganz ein­fach: mei­ne Bank sen­det mir an mei­nen nor­ma­len E‑Mail-Account höchs­tens eine Nach­richt, das inner­halb mei­nes Online-Ban­king-Zugangs neue Infor­ma­tio­nen für mich vor­lie­gen. Die­se E‑Mail ent­hält jedoch kei­nen Link dort­hin. Selbst wenn in der E‑Mail ein Link ent­hal­ten wäre, wür­de ich den nie­mals benut­zen, son­dern immer auf das von mir selbst gespei­cher­te Lese­zei­chen in mei­nem Brow­ser zurück­grei­fen. Und selbst dann noch auf das Ver­schlüs­se­lungs­sym­bol und die ange­zeig­te Domain in der Brow­ser-Adress­leis­te ach­ten. Oder ich nut­ze gleich die App mei­ner Bank.

Eben­so wenig öff­ne ich E‑Mail-Anhän­ge, wenn eine E‑Mail für mich in irgend­ei­ner Form uner­war­tet in mei­nem Post­ein­gang lan­det. "Uner­war­tet" kann hier­bei alles mög­li­che bedeu­ten: ein The­ma, was ich mit dem vor­geb­li­chen Absen­der noch nie the­ma­ti­siert habe oder eine (angeb­li­che) Rech­nung oder Mah­nung von einer Fir­ma, von der ich noch nie gehört habe.
Hier gilt: Ent­we­der gleich löschen oder bei Rest­zwei­feln ein­fach mal den Hörer in die Hand neh­men und beim Absen­der nach­fra­gen. Bei Online-Betrugs­ver­su­chen via E‑Bay hilft oft auch das Goo­geln des Absen­ders. Wer noch mehr Anre­gun­gen braucht: Ein­fach hier wei­ter­le­sen.
Und: Was zu schön ist, um wahr zu sein, ist auch nicht wahr – nein, niemals!

Fazit

• Pass­wör­ter soll­ten min­des­tens 16 Zei­chen lang sein und aus dem maxi­ma­len Wort­schatz, bestehend aus Klein- und Groß­buch­sta­ben, Zif­fern und Son­der­zei­chen gebil­det werden.
• Pass­wör­ter soll­ten fer­ner nie im Klar­text notiert werden.
• Es gilt außer­dem der Grund­satz "für jeden Dienst ein eige­nes Passwort".
• Die genann­ten Anfor­de­run­gen sind nur per eigens dafür ent­wi­ckel­ter Pro­gram­me, soge­nann­te Pass­wort-Mana­ger, handlebar.
• Der E‑Mail-Account, über den die Pass­wör­ter aller ande­ren Diens­te zurück­ge­setzt wer­den kön­nen, soll­te zusätz­lich durch eine Zwei-Fak­tor-Authen­ti­fi­zie­rung geschützt werden.
• Neben all die­sen Infra­struk­tur-Maß­nah­men ist gesun­der Men­schen­ver­stand unab­ding­bar, um Daten- und Iden­ti­täts­dieb­stahl zu vermeiden.

 

Nut­zen Sie bereits einen Pass­wort-Mana­ger? Und wenn ja, wel­chen? Mit wel­chen Metho­den hat man bei Ihnen schon ver­sucht, Zugangs­da­ten abzugreifen?
Ich freue mich auf Ihre Kommentare!

Wenn Sie eine Pass­wort-Manage­ment-Lösung für Ihr Unter­neh­men suchen, spre­chen Sie uns doch ein­fach an!