Sicherer Umgang mit Passwörtern

Passwort auf einem PostItIn der Serie IT-Sicherheit ist einer der zentralen Knackpunkte die Sicherheit der persönlichen Passwörter, denn mit diesen verifizieren wir unsere Identität. Was gilt es zu beachten?

Vor jeglicher Sicherheits- und Verschlüsselungstechnik kommt der wichtigste Punkt, der oft auch den größten Schwachpunkt in einem Sicherheitskonzept darstellt. Das Passwort. In allen Fällen steht und fällt die Sicherheit der Daten mit dem Umgang mit persönlichen Passwörtern. Für viele Menschen ist es schwer, sich ein komplexes und gleichzeitig ausreichend memorables Passwort zu erstellen. Noch komplexer wird das Problem, wenn man bedenkt, dass es sich nicht um ein einziges Passwort handelt, sondern um mehrere.

 

Aber fangen wir vorne an. Bei Passwörtern gibt es drei Aspekte zu beachten.
Länge, Komplexität und Einmaligkeit.

Passwortlänge

Ein Passwort sollte idealerweise immer mindestens 10 Zeichen haben, je mehr desto besser üblicherweise. Das kommt daher, dass ein Passwort was nicht bekannt ist von einem Angreifer erraten werden muss. Erraten bedeutet in diesem Fall, dass alle möglichen Passwörter durchprobiert werden, diese Technik nennt man „Brute Force“, zu deutsch „Brutale Gewalt“. Als Rechenbeispiel schauen wir uns mal an, wie lange das „erraten“ eines Passwortes mit einer Geschwindigkeit von einer Milliarde Versuchen pro Sekunde dauert, wenn man ein Passwort mit 8, 9 oder 10 Zeichen verwendet. Wir gehen von einem komplexen Passwort aus, was das bedeutet sehen wir nachher noch. Die Zeiten sind dann:

Länge des Passwortes Laufzeit
8 Zeichen 84 Tage
9 Zeichen 22 Jahre
10 Zeichen 2108 Jahre

Dieser Sprung kommt daher, dass sich mit jedem Zeichen die Möglichkeiten um die Anzahl der möglichen Zeichen multipliziert. Haben wir also das gesamte Alphabet, mit Groß- und Kleinschreibung, Sonderzeichen und Zahlen in der Suche berücksichtigt, macht das 96 Zeichen, also ist die Anzahl der möglichen Passwörter 96 hoch 10 bei einem Passwort mit zehn Zeichen. Das macht insgesamt 66.483.263.599.150.100.000 (66 Trillionen) mögliche Passwörter, die durchprobiert werden müssen. Bei nur acht Zeichen im Passwort sind es lediglich 7.213.895.789.838.340 (7 Billiarden) mögliche Passwörter, das ist immerhin ein Unterschied vom Faktor Zehntausend.

Passwortkomplexität

Wenn man nicht möchte, dass das Passwort per Brute-Force angreifbar ist, sollte man zusätzlich beachten, möglichst viele verschiedene Zeichentypen zu verwenden. Hinzu kommt noch, dass ein Passwortknacker erst einmal übliche bekannte Begriffe durcharbeitet, anhand einer so genannten Wortliste. Grundsätzlich sind Wörter die in einem Wörterbuch auftauchen absolut tabu für die Wahl eines Passwortes, denn diese sind innerhalb von wenigen Sekunden erraten. Aber auch wenn man sich ein zufälliges Passwort generiert, sollte man die Zeichenkomplexität berücksichtigen. Ein paar Zahlen zum Zeichenraum.

Zeichenraum Anzahl der Zeichen
a-z 26 Zeichen
a-z + A-Z 52 Zeichen
a-z + A-Z + 0-9 62 Zeichen
a-z;A-Z;0-9 + Sonderzeichen 96 Zeichen

Wenn ich zu den Kleinbuchstaben noch die Großbuchstaben, die Zahlen und die Sonderzeichen mit hinzuziehe, vervierfacht sich mein Namensraum und wie man weiter oben lesen kann, ist die Anzahl der möglichen Zeichen die Basis in der Potenz, das soll heißen, jedes Zeichen was mehr im Zeichenraum ist sorgt für ein vielfaches an zusätzlich nötigen Versuchen beim raten des Passwortes. Hier auch ein Rechenbeispiel. Gehen wir davon aus, jemand hat ein eigentlich ausreichend langes Passwort (zehn Zeichen) gewählt, wie sind dann die Laufzeitunterschiede für einen Angriff auf Passwörter die unterschiedliche Namensräume als Basis haben? Auch hier nehmen wir als Geschwindigkeit wieder eine Milliarde Versuche pro Sekunde an.

Zeichenraum Laufzeit
[26] a-z 2 Tage
[52] a-z;A-Z 5 Jahre
[62] a-z;A-Z;0-9 27 Jahre
[96] a-z;A-Z;0-9 + Sonderzeichen 21008 Jahre

 

Schwaches Passwort

Man kann deutlich erkennen, wie wichtig eine Kombination aus Passwortlänge und Passwortkomplexität für die Sicherheut des Passwortes ist. Ein Passwort wie „passwort“ ist wertlos, ein Passwort wie „!f#5SplM&A“ ist sicher, aber schwer zu merken. Dennoch sollte man natürlich der Passwortsicherheit immer den Vorrang vor der Bequemlichkeit geben, sich ein Passwort einfach merken zu können. Hier ein paar Beispiele für sehr schwache Passwörter.

  • Rein numerisch
    • 12345
    • 4711
    • 42
  • Begriffe aus Wörterbüchern
    • passwort / password
    • gott
    • katze
  • Eigennamen
    • Jessica
    • Emil
    • Bello
  • Geburtsdatum / Jahrestag
    • 01.01.1970
    • 25.05.2001
    • 04.05.2013

Das alles sind bekannte Tatsachen und dennoch lauten die häufigsten Passwörter 2012 laut PC Games wie folgt:

  • password
  • 123456
  • 12345678
  • abc123
  • qwerty

Mach es besser.

Starkes Passwort

Fassen wir also zusammen, was ein starkes und somit sicheres Passwort ausmacht.

  • Möglichst lang (mindestens 10 Zeichen)
  • Möglichst komplex (Verwende alle Zeichen die deine Tastatur hergibt)
  • Nicht aus bekannten Begriffen herleitbar (Keine Begriffe aus Wörterbüchern, auch nicht als Teil des Passwortes)
  • Keine Eigennamen oder Geburts-/Jubiläumsdaten (Auch nicht vom Hund oder der Katze)

Wenn man das alles beachtet, ergibt sich das folgende sichere Passwort:

%F9L#6sSq§DiU0RgK$vuIY/5k4)IVm#o*!

Das kann man natürlich so nicht im Hinterkopf behalten. Selbst wenn man sich dieses Passwort merken könnte, was niemand wirklich möchte, wäre das nur ein einziges Passwort. Ein einziges Passwort für alle Logins? E-Mail, Facebook, Twitter, Bankkonto,… Besser nicht.

Einmaligkeit

Ein viel größeres Risiko als ein zu kurzes oder zu einfaches Passwort ist das weit verbreitete „Password Reuse„, also das Mehrfachverwenden eines Passwortes. Wenn man ein Passwort zu oft an verschiedene Stellen nutzt, läuft man Gefahr, dass ein einzelnes kompromittiertes Nutzerkonto dazu führt, dass diverse weitere Nutzerkonten unsicher sind.

Als Beispiel stelle man sich vor, man hat die E-Mail Adresse mail@example.org. Jetzt melde ich mich bei Facebook mit dieser Mailadresse an und verwende bei Facebook das gleiche Passwort wie bei meinem Mailanbieter. Außerdem bin ich Hobbyfischer und melde mich beim Fischerforum ebenfalls mit genau diesen Daten an. Was ich nicht weiß ist, dass das Fischerforum nicht ordentlich gegen Passwortraub gesichert ist, wenn jetzt also jemand dieses Forum angreift und die Nutzerdaten extrahiert, hat er meine Mailadresse und mein Passwort und wird selbstverständlich bei meinem Mailanbieter versuchen sich damit einzuloggen. Wenn er die Mails liest und sieht dass ich bei Facebook angemeldet bin, hat er auch hierfür die entsprechenden Informationen.

Ein sicherer Umgang mit Passwörtern bedeutet, dass ich idealerweise für jeden Dienst bei dem ich mich registriere ein eigenes Passwort verwende und diese Passwörter auch nicht jeweils aus einem anderen herzuleiten sind.

Außerdem ist zu empfehlen, dass das Mailkonto besonders gut geschützt ist. Denn über die „Passwort vergessen“ Funktion, die quasi jeder Dienst anbietet, kann man am Ende jedes Konto übernehmen, wenn man erst einmal zugriff auf die E-Mails hat.

Passwortverwaltung

Nun kann man sich vorstellen, dass das Verwenden von solchen sicheren und auch noch unterschiedlichen Passwörtern aus dem Gedächtnis an seine Grenzen stoßen wird. Daher empfiehlt es sich, eine Software zur Passwortverwaltung zu verwenden. Empfehlen kann ich an dieser Stelle das unter GPL lizenzierte Tool KeePass, welches für Windows, Linux und sogar Mobilgeräte verfügbar ist. Man speichert seine Passwörter in einer verschlüsselten Datenbank und muss sich nur noch ein Hauptpasswort merken, mit dem man diese Datenbank bei Bedarf entsperrt.

Ein Kompromiss

Da es für bestimmte Passwörter unpraktikabel ist, wenn man jedes Mal den Passwortmanager öffnen muss um sich einzuloggen, bietet sich ein Kompromissweg an. Ein Passwort, welches man sich selbst herleiten kann aus einem gut merkbaren Satz, oder ein Passwort was zwar zum Teil aus Begriffen besteht die man sich merken kann, aber ansonsten als sicher angesehen werden kann, kann als Kompromiss gelten. Dann kann man sich mehrere Passwörter ausdenken und sie „gruppieren“, das heißt, man verwendet ein Passwort für Foren, eines für Facebook, Google und Twitter, eines für seine Mails und so weiter und so fort. Wichtig ist immer, dass das Mailpasswort niemals für ein weiteres Login verwendet werden sollte. Das gleiche gilt für sensible Konten jeder Art, zum Beispiel auch für Bankkonten.

Sicherheitsfragen

Viele Betreiber bieten zu der Option, sich ein Passwort per Mail zusenden zu lassen, auch noch eine Passwortüberbrückung durch so genannten „Sicherheitsfragen“ an. Oft wird dann nach dem Geburtsnamen der Mutter oder dem Namen des ersten Haustieres gefragt, welche beim Anbieter hinterlegt werden und dann beim Verlust des Passwortes genutzt werden können.

Hier wurde eine Option geschaffen, ein verlorenes Passwort, welches ja eine Personenverifizierung sein soll, durch eine andere Personenverifizierung zu umgehen. Was dabei nicht zu Ende gedacht wurde: Somit ist die Antwort auf eine der „geheimen“ Fragen gleichwertig mit meinem Passwort, mit dem Unterschied, dass der Geburtsname meiner Mutter potentiell heraus gefunden werden kann. Daher sollte man jede dieser Sicherheitsfragen und die dazu gehörigen Antworten wie das eigentliche Passwort betrachten und behandeln.

Am Ende…

…muss jeder für sich selbst entscheiden, welchen Weg man geht, aber es ist auf jeden Fall angebracht sich Gedanken um sein Passwortkonzept zu machen und mit einem Plan an das Problem heran zu gehen. Datendiebstahl und Identitätsdiebstahl sind ansonsten die kaum vermeidbaren Folgen. Übrigens, das Notieren von Passwörtern auf Zetteln ist eine böse Sünde.

Dieser Beitrag ist ein Teil der Reihe IT Sicherheit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.