Warum Passwörter Mist sind – Tipps zu sicheren Passwörtern

Passwörter sind großer Mist! Der jüngst veröffentlichte Mega-Hack bei Yahoo, in dem über 500 Mio. Zugangsdaten gestohlen wurden, zeigt mal wieder, dass Passwörter ein schlechter Weg sind, um Zugänge abzusichern. Leider gibt es für die meisten Online-Dienste keine brauchbaren Alternativen. Grund genug die Hintergründe und Zusammenhänge zu beleuchten. Wann ist ein Passwort gut?

Was macht ein gutes Passwort aus?

Dazu hat das Bundesamt für Sicherheit in der IT auf seiner Webseite einige Hinweise veröffentlicht (in diesem Artikel verkürzt):

  • Es sollte mindestens acht Zeichen lang sein, je länger desto besser.
  • Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
  • Wenn möglich, sollte es nicht in Wörterbüchern vorkommen.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.
  • Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist auch nicht empfehlenswert.
  • Nutzen Sie einen Passwortmanager, um möglichst komplexe Passwörter gut verwalten zu können.

Zusammengefasst also: Lang und komplex, ohne Muster, nicht mehrfach verwendet. So weit so gut. Aber mal ernsthaft: Das kann sich doch kein Mensch merken!

Passwörter sollen lang und komplex sein

Es gibt eine Form des Angriffs auf verschlüsselte Passwörter, der, abhängig von den verfügbaren Ressourcen, immer erfolgreich ist: Die sogenannte Brute-Force Attacke. Hierbei werden schlicht alle denkbaren Kombinationen ausprobiert. Je länger und komplexer ein Passwort ist, desto aufwendiger ist das Angriffsverfahren. Ab einer gewissen Länge und Komplexität wird der Angriff so aufwendig, dass er keine Chancen auf Erfolg hat.

Um das zu verdeutlichen, habe ich eine kleine Tabelle erstellt:

 Komplexität / Länge 4 Zeichen 8 Zeichen 9 Zeichen 10 Zeichen
10 [0-9] <1 ms 100 ms 1 s 10 s
26 [a-z] <1 s 4 min 2 h 2 d
52 [A-Z;a-z] <1 s 15 h 33 d 5 y
62 [A-Z;a-z;0-9] <1 s 3 d 159 d 27 y
96 (+Sonderzeichen) <1 s 84 d 22 y 2.108 y

 

Eines wird aus dieser Tabelle deutlich: In Bezug auf Brute-Force Angriffe ist die Länge ein wesentlich wichtigerer Faktor. So ist zum Beispiel ein 10-Zeichen langes Passwort aus Groß- und Kleinbuchstaben (ohne Zahlen und Sonderzeichen) wesentlich schwieriger zu knacken, als ein Passwort bestehend aus 8 Zeichen mit hoher Komplexität (also Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen). Zusammengefasst bedeutet das:

Länge schlägt Komplexität

Hinzu kommt, dass man sich ein langes Passwort aus einer reinen Buchstabenfolge deutlich besser merken kann. Allerdings gibt es auch hier Regeln, um nicht Gefahr zu laufen, dass das „lange“ Passwort in einem Wörterbuch auftaucht.

Das NIST (National Institute of Standards and Technology) beschäftigt sich aktuell mit dieser Fragestellung und möglichen Lösungen. Wer sich berufen fühlt, ist aufgefordert an der Diskussion hier teilzunehmen.

Passwörter sollen für jeden Zugang individuell sein

Jeder Anwender (geschäftlich oder privat) steht früher oder später vor dem Problem einer Vielzahl von Konten. Dazu gehören Konten für geschäftliche Dienste (bspw. Anmeldung am PC/Active Directory, VPN, Web-Portalen, Kunden-Systemen, Lieferanten-Systemen, etc.) genauso wie die für private Zwecke (z.B. eBay, Amazon, Facebook, Mail-Provider, etc.). Ich habe die von mir genutzten Zugangsdaten mal gezählt und komme auf sage und schreibe 158 Benutzerkonten. Dennoch empfehle ich dringend:

Verwenden Sie Passwörter nicht mehrfach!

Wieso spricht jemand wie ich eine solche Empfehlung aus? Dazu habe ich eine kleine Statistik gebastelt. Die Webseite https://www.vigilante.pw/ sammelt Informationen zu gestohlenen Benutzerdaten (wie beispielsweise in dem in der Einleitung angesprochenen Yahoo Datendiebstahl). Man sieht hier deutlich wo die Reise hingeht:

Passwortstatistik

Das größte Problem bei dieser Entwicklung ist, dass wir alle dazu neigen für jeden Dienst dasselbe Passwort zu verwenden. Das wissen auch die Angreifer. Ist Ihr Passwort im Rahmen eines dieser Hacks öffentlich geworden, so sind die Chancen groß, dass genau dieses gestohlene Passwort für beispielsweise eBay auch bei Facebook, Amazon oder in der Firma funktioniert.

TIPP: Ob Ihre Zugangsdaten gestohlen wurden, können Sie einfach auf diesen beiden Webseiten prüfen: https://haveibeenpwned.com/ und  https://www.leakedsource.com/.

Passwörter sollen nicht notiert werden

„Haha – sehr witzig!“ – das werden sicher manche denken. Und Sie haben recht! Wer soll sich bitteschön 150 verschiedene Passwörter merken! Ich kann das jedenfalls auch nicht.

Zum Glück gibt es nützliche Tools, die den Anwender dabei unterstützen. Ich persönlich benutze gerne Keepass (Features von Keepass, die ich benötige: Integration mit meinem Browser, Synchronisation der Datenbank in die Cloud und mehr). Es gibt aber natürlich weitere brauchbare Alternativen, die Ähnliches leisten. Fast alle aktuellen Browser bieten zudem eine Möglichkeit Passwörter zu speichern. ABER: Sie sollten das nur tun, wenn Ihr Browser ein Masterpasswort unterstützt und dieses sollten Sie auch setzen. Der Vorteil liegt auf der Hand:

Sie müssen sich nur noch ein Masterpasswort merken – der Rest läuft automatisch.

Und ich lehne mich mal aus dem Fenster:

Schreiben Sie Ihr Passwort auf einen Zettel!

Bei Ihnen zu Hause in privaten verschlossenen Räulichkeiten, ohne Publikumsverkehr – warum sollten Sie sich dort nicht alle wichtigen Passwörter auf einem Stück Papier notieren und in die Schreibtischschublade legen? Der Hacker kommt an dieses Passwort jedenfalls nicht ran! In der Firma sieht das natürlich ganz anders aus:

Schreiben Sie niemals ihr Passwort auf!

Leider ist der Zettel am Monitor oder der Aufkleber unter der Tastatur hier kein Mythos. Werden Sie nicht zum einfachen Opfer! Um ein solches Passwort zu stehlen, ist keinerlei Security Know-How erforderlich.

Passwörter sollen gewechselt werden

Diese Idee lässt sich mit der Tabelle oben erklären. Ein komplexes Passwort mit einer Länge von acht Zeichen kann im Mittel innerhalb von 84 Tagen geknackt werden. Damit das nicht passiert, sollte es also nach spätestens 90 Tagen gewechselt werden. Wenn es hingegen lang, komplex und geheim ist, dann gibt es keinen wesentlichen Grund, weshalb das Passwort geändert werden sollte.

Wie man sichere Passwörter entwickelt

Um ehrlich zu sein, habe ich schon angefangen dazu zu schreiben. Und dann habe ich gemerkt: So einfach in zwei drei Absätzen ist das gar nicht erklärt. Also werde ich wohl bald auch dazu einen Blogbeitrag schreiben.

Welche Alternativen gibt es?

Leider zu wenige. Und leider alle mit Einschränkungen. Aber es gibt sie.

Fingerabdruckleser: Heute fast Standard bei neuen Smartphones und vielen Notebooks, bieten Fingerabdruckleser eine wesentlich höhere Sicherheitsstufe als PINs oder Mustersperren und sind daher äußerst empfehlenswert.

Multifaktorauthentifizierung: Im Banking Bereich absoluter Standard halten solche Lösungen auch bei Webdiensten Einzug (bspw. mittels Google Auth) und liefern einen hervorragenden Schutz vor Identitätsdiebstahl, da für den Zugang (oder beim Banking für die Transaktion) neben dem Passwort eben ein zweiter Faktor (TAN aus der SMS oder dem TAN-Generator) notwendig ist. Diese Alternative gibt es in verschiedensten Ausprägungen:

  • Token (als USB Stick oder als Software auf dem Smartphone)
  • In Form von SMS Nachrichten (allerdings ist dies nicht empfehlenswert)
  • Nutzung von Diensten Dritter (bspw oAuth oder Google Authenticator)

Smartcards: Die Anmeldung erfolgt über Zertifikate einer Smartcard. Streng genommen ist das eine Abwandlung der Multifaktoranmeldung.

Alle diese Alternativen sind aber im privaten Umfeld leider nicht oder nur mit Fachkenntnis umsetzbar. Es bleibt also nur der Rat:

Nutzen Sie lange, komplexe, geheime und sichere Passwörter!

 

 

6 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *