Heute möchten wir einmal über Passwortsicherheit reden und haben Ihnen dazu ein paar interessante Links mitgebracht, die Ihnen dabei helfen können, sich sicher im WWW zu bewegen. Am Ende des Artikels zeigen wir Ihnen auch, wie Sie in wenigen Sekunden überprüfen können, ob von Ihnen genutzte Dienste Hackerangriffen zum Opfer gefallen sind und sich Ihre alten Passwörter möglicherweise im freien Umlauf befinden…
Vielleicht haben Sie ja in den vergangenen zwei Wochen von Bill Burr gehört? Bill Burr war 2003 in entscheidender Position bei der Formulierung eines bis heute vielerorts beachteten Ratgebers zur Gestaltung von Passwortregeln. Wann immer Sie in den vergangenen Jahren in regelmäßigen Abständen gezwungen wurden, Ihr Passwort zu ändern – Hätten Sie nachgehakt, so hätte man Sie früher oder später wohl an Bill Burrs „NIST Special Publication 800-63. Appendix A“ verwiesen – das nun bald 15 Jahre alte Dokument, von dem Bill Burr, mittlerweile 72 Jahre alt, kürzlich in einem Interview sagte, dass er es „heute bereue“. Aber von vorn:
Passwörter sind nach wie vor der verbreitetste Schutz vor unbefugtem Zugriff Dritter auf unsere digitalen Erinnerungen, Kontakte und Leistungen. Und obwohl wir uns täglich per Passwort vor einem oder mehreren digitalen Diensten „ausweisen“ müssen, scheinen viele sich um die Sicherheit ihrer Online-Identitäten & Passwörter wenig zu sorgen. Dabei sollte sich jeder Nutzer einer Webseite im Sinne der Accountsicherheit jedoch fragen, wie viel Vertrauen in die einzelnen Dienstanbieter jeweils angebracht ist.
Anbieter von Web-Diensten können durch vertrauenswürdiges Hosting, die Verwendung von sicheren Webtechnologien wie zum Beispiel HTTPS, SSL oder TLS, sichere Passwortspeicherungsmethoden und kontinuierliche Weiterentwicklung auf dem Stand der Technik die Risiken eines Verlusts von Zugangsdaten minimieren, aber niemals ganz ausschließen. Ein solches Sicherungsniveau kann viele Hackerangriffe vereiteln, aber die Vielzahl echter Passwort-Datenbanken, die durch das World Wide Web gereicht werden, zeigt uns doch, dass kein System wirklich absolut sicher sein kann.
Angreifer, die es auf Ihre Kreditkartendaten abgesehen haben, müssen sich aber nicht den Kopf an der Firewall eines abgesicherten Amazon-Rechenzentrums zerbrechen, sondern gehen den Weg des geringsten Widerstandes – und der lautet heute mit erschreckender Wahrscheinlichkeit „password“, „123456“ oder „monkey“, um nur 3 der am häufigsten gewählten Passwörter zu nennen, wie sie die Seite passwordrandom.com auflistet, die etliche echte Datenbank-Leaks auswertet hat.*
Mit einer solchen gut sortierten Liste der häufigsten Passwörter sparen Angreifer beim sog. Cracken (automatisiertes Durchgehen der möglichen Passwörter) einiges an Zeit, und Zeit ist auch im Internet Geld. Wenn die häufigsten Passwörter also in Millisekunden geknackt sind, während die selteneren, womöglich gar einzigartigen Passphrasen auf Jahre hinaus geheim bleiben könnten, da sie nie in die kursierenden Passwortlisten aufgenommen oder durch zufälliges Erraten kompromittiert werden, sollten sich Nutzer von Passworten des Kalibers „Passwort12“ einmal tief in sich gehen.
Neben der Entscheidung, ob man einem Diensteanbieter nun das Vertrauen in die sichere Aufbewahrung der Login- und sonstigen Daten schenken möchte, kommt es also besonders auf die Wahl eines sicheren Passworts an. Die IT-Sicherheitsforscher von heute sind nun etwas weiter als die Truppe um Bill Burr: Wir wissen heute, dass von Nutzern eine regelmäßige Passwortänderung zu verlangen das Sicherheitsniveau unter Umständen sogar senkt, nämlich wenn Nutzer sich dem zugrundeliegenden Gedanken des Passwortwechsels verwehren und ein Passwort zum Beispiel nur von monkey2016 zu monkey2017 ändern. Übrigens: Variierende Zahlen am Ende eines „Stammpassworts“ sind „der älteste Trick im Geschäft“ und halten wohl kaum einen motivierten Angreifer fern. Ganz ebenso verhält es sich mit vermeintlich „unknackbar langen“ Passwörtern, die sich nur aus Wörtern zusammensetzen, die jedes für sich auch im Wörterbuch zu finden wären. Leider hat die IT-Sicherheitsforschung wohl keine endgültigen Lösungen, außer uns zu empfehlen, sich dem Ratespiel mit folgendem Trick soweit wie möglich entgegenzustellen:
Je schwieriger sich ein Passwort einprägen und aussprechen lässt, umso länger hält es stand gegen geschickt ausprobierende Hacker. Beide dieser Eigenschaften nämlich sind Anzeichen großer sogenannter „Entropie“.
Passwortsicherheit ist aber immer auch ein Kompromiss zwischen Benutzbarkeit (Einprägsamkeit, leichte Eingabe, kein langes Überlegen bei der Auswahl) und der tatsächlichen „Unknackbarkeit“. Denn ein System zum Schutz der User-Identität, das die User unpraktikabel finden und daher immer zu umgehen versuchen werden, ist doch nur in der Theorie sicher. Erinnern Sie sich noch an den britischen Fernsehsender, dessen nach allen Regeln der Passwortkonstruktions-Kunst festgelegtes Passwort auf einem an einen Monitor angeklebten Post-It im Hintergrund eines Fernseh-Interviews zu sehen war, als die Kameras das Bild in die ganze Welt sendeten? Auch die längsten Passwörter helfen also nicht, wenn man sie auf ein Post-It am Monitor schreiben muss.
Was lässt sich denn daraus lernen? Was ist der „Stand der Technik“ bei der Passwortwahl? Wie wählt man gezielt ein weder einprägsames noch aussprechbares Passwort, und wie, bitte, soll man sich das dann noch merken?
Wir können Entwarnung geben: Niemand muss sich nun für jede Seite ein eigenes 20-stelliges Passwort aus zufälligen Zeichen merken, wenn er oder sie die eigenen Benutzerdaten sicher wissen möchte:
Denn dafür gibt es Passwortmanager! Passwortmanager wie LastPass, 1Password oder pass können Ihre bestehenden Passwörter aufnehmen, sichere Passwörter generieren und in einer abgesicherten Datenbank lokal abspeichern. Wo man also bisher noch von Hand Passwörter eintippte, kann man nun eine einem Account zugeordnete Zeichenkette (Passwort) per Copy+Paste oder, noch leichter, per Browserplugin aus der Datenbank entnehmen und in ein Login-Feld einfügen bzw. einfügen lassen, ohne dass man sich je ein Passwort merken oder gar „erfinden“ musste. Vertrauenswürdige Passwortmanager wie die oben genannten sind zwar auch nicht frei von Softwarefehlern, aber sie ermöglichen aber doch ein Passwort-Niveau, das mit dem Gedächtnis vermutlich nicht zu erreichen wäre und das die „Cyberkriminellen“ von heute entscheidend bremsen kann.
Doch erst einmal genug der Passwort-Überlegungen. Man weiß also: Auch die besten Zugangsdaten sind nur so sicher wie die Datenbanken, die ihre Authentifizierung beim Diensteanbieter beaufsichtigen. Leider geschehen solche Datenbank-Leaks aber immer wieder, doch aus Angst vor Ansehensverlusten kommen Diensteanbieter der Pflicht, die Nutzer darüber zu benachrichtigen, nur selten nach. Es ist wohl zu befürchten, dass sich heute viele betroffene Nutzer mit Username-Passwort-Kombinationen schützen, die in dunkleren Ecken des Internets bereits öffentliche Information sind.
Doch wie behält man als Internetnutzer die etlichen Zugänge im Blick? Die Seite HaveIBeenPwned.com kann für Sie die meisten großen Daten-Leaks der Vergangenheit nach Ihrem Nutzernamen und E-Mail Adresse durchsuchen und Ihnen wichtige Hinweise darauf geben, wenn Ihre Zugangsdaten sich bereits im Umlauf befinden. Vielleicht lassen auch Sie sich lieber von diesem Dienst benachrichtigen als durch eine böse Überraschung beim LogIn!
Übrigens: Die Empfehlung, doch bitte niemals das selbe Passwort für verschiedene Webseiten zu verwenden, wird sich wohl leider nicht mehr als Irrtum entpuppen. Es versteht sich von selbst: Verwenden Sie niemals Generalpasswörter!
