Passwörter sind so in etwa das Nervigste unter der Sonne, abgesehen vielleicht von Castingshows im Fernsehen. Jeder hat Kennwörter – für alles: E-mail, Social Media, Onlinebanking, den PC zuhause, den PC auf der Arbeit und für die Blogplattform. Wie ein Passwort auszusehen hat, weiß zumindest theoretisch auch jeder: Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen – alles sollte darin vorkommen und das in ausreichender Menge. Eigentlich ist also alles soweit klar. Aber: Warum sind Passwörter dann immer noch so ein schwieriges Thema?
Dieser Gastartikel ist Teil der Reihe „Blogsicherheit“. Ab jetzt erscheint monatlich ein Beitrag von Tim Berghoff. Er ist Experte bei dem IT-Security-Unternehmen GData und lebt das Thema Security mit Leidenschaft.
Jedes Jahr gibt es aufs Neue eine Hitliste der schlechtesten Passwörter der Welt. Und fast immer sind Passwörter wie „12345678“ oder „passwort1234“ oder auch „abc123“ in den Top 10 vertreten. Aber auch Buchstabenkonstruktionen wie „QaWsEdRfTg“ finden sich in solchen Passwortlisten – der Grund dafür kommt noch. Aber eigentlich sollten solche Passwörter schon lange der Vergangenheit angehören.
Denn das Prinzip ist hunderte von Jahren alt und immer noch im Einsatz. Es ist Zeit, langsam Abschied davon zu nehmen. Inzwischen brauchen wir, um einigermaßen sicher zu sein, Passwörter, die über 20 Zeichen haben und die auch in keinem Wörterbuch vorkommen dürfen. Das können nur sehr wenige Menschen ohne Hilfsmittel umsetzen. Und diese Erkenntnis lässt nur zwei Möglichkeiten zu: entweder das Prinzip Passwort wird endgültig aufs Altenteil geschickt und macht Platz für etwas ganz Neues – oder seine Nutzung muss so gestaltet werden, dass dadurch wieder eine sichere Verschlüsselung möglich wird. Das ist nämlich möglich.
Passwörter werden nicht gehackt
Immer wieder wird darüber berichtet, dass Kennwörter „gehackt“ werden. Dabei stimmt das überhaupt nicht. Viele Fälle, die als spektakulärer Hack in den Medien landen, sind das Ergebnis von zwei unterschiedlichen Angriffsarten: Phishing und dem so genannten „Credential reuse“, also das mehrfache Verwenden eines Passwortes. Datenbanken mit geleakten Nutzerdaten tauchen dann oft im Netz auf und Kriminelle verwenden diese, um auf andere Konten Zugriff zu erlangen.
Und es wäre absolut keine Überraschung, wenn sich unter den teilweise hunderttausenden Zugangsdaten nicht auch solche befinden, die sowohl auf LinkedIn als auch auf Facebook Verwendung finden. Hand aufs Herz: Wer hat noch nie dasselbe Passwort für mehrere Accounts verwendet? Ich habe das definitiv schon gemacht – obwohl ich eigentlich wissen müsste, dass das eine schlechte Idee ist. Wie so viele andere Menschen bin ich manchmal einfach faul. Habe ich das hinterher korrigiert? Natürlich. Und schwer ist es auch nicht. Doch dazu später mehr.
Übrigens speichern Webseitenbetreiber und Webshops etc. nicht die Passwörter der Nutzer, sondern eine daraus errechnete Zeichenfolge, den so genannten Hash. Zumindest sollte das so sein. Wenn ihr also irgendwo die Passwort-zusenden-Funktion nutzt und dann KEIN temporäres Passwort oder einen Passwort-Reset-Link bekommt, sondern euer echtes Passwort, dann macht in Zukunft einen riesigen Bogen um diesen Dienst. Niemand sollte eure Kennwörter irgendwo gespeichert haben!
Phishing kennt fast jeder. Das sind jene Mails, die den Empfänger oder die Empfängerin dazu bewegen sollen, persönliche Daten oder Zahlungsdaten wie etwa eine Kreditkartennummer oder einen Paypal-Login preiszugeben. Das Spektrum reicht von wirklich plumpen Versuchen („Sie haben gewonnen! Senden Sie uns jetzt sofort Ihren vollen Namen, Geburtsdatum, Passnummer und Postadresse, um IHREN Gewinn zu erhalten“) bis hin zu wirklich gut gemachten Phishing-Mails und -Webseiten, die selbst für das geübte Auge schwer zu erkennen sind. Letztere können beispielsweise angeblich von der Hausbank stammen und um einen „Abgleich der Kreditkartendaten“ bitten. Beide Methoden sind noch immer sehr erfolgreich. Leider!
Wir Menschen können keinen Zufall
Passwörter haben ein ganz wesentliches Problem: Keiner hat Lust, sich Dutzende davon zu merken. Wir sind alle (mich eingeschlossen) faul. Und obwohl Zufälligkeit ein Merkmal eines guten Passwortes ist, ist genau das die Achillesferse der Menschen: Wir sind schlecht darin, ein Zufallsmuster zu erstellen. Lernen kann man das nicht. Dagegen können wir Muster verwenden (ob bewusst oder unbewusst). Das liegt in unserer Natur.
Auf der anderen Seite ist das Erkennen von Mustern eine der größten Stärken eines Computers. Erinnert ihr euch noch an das doch recht kryptisch anmutende Passwort „QaWsEdRfTg“? Auch das folgt einem ganz bestimmten Muster. Schaut dazu einmal genau auf die Tastatur. Genau solche Muster können Computer ohne große Mühe erkennen. Deswegen können Computer auch längere und viel bessere, tatsächlich zufällige Zeichenketten erstellen.
Kleiner Exkurs: Mathematisch gesehen ist „Zufall“ ein Thema für sich. Ich kann allerdings jedem dazu nur das Buch „Humble Pi – A comedy of maths errors“ von Matt Parker ans Herz legen. Das Kapitel „Tltloay Rodamn“ ist dem Thema Zufall gewidmet – und nein, dieser Beitrag ist nicht vom Verlag gesponsert.
Ihr seht vielleicht schon, in welche Richtung sich dieser Artikel entwickelt. Es gibt immer mehr Passwort-Recycling und solche Kennwörter, die Menschen vermeintlich zufällig ausgewählt haben. Vorgaben von Arbeitgebern oder Dienstanbietern zwingen uns, Passwörter zu ändern.
Das Ergebnis: Kennwörter lassen sich immer schwerer im Kopf behalten, aber immer leichter mit Computerunterstützung erraten. Mal ehrlich: fast jeder hat schon einmal etwas wie „Passwort01“ durch „Passwort02“ ersetzt, gefolgt von „Passwort03“ und so weiter. Was also tun?
Die Lösung: Passwortmanager
Die Antwort besteht aus zwei Teilen. Erstens: Benutzt einen Passwortmanager. Das sind im Prinzip kleine verschlüsselte Datenbanken, die all eure Passwörter speichern. Ihr müsst euch dann nur noch ein einziges Passwort merken, nämlich das für den Passwortmanager. Die meisten Passwortmanager enthalten sogar eine Funktion zur Erstellung von sicheren Passwörtern in fast beliebiger Länge. Damit braucht ihr euch die Passwörter nicht nur nicht merken, sondern ihr müsst euch auch nicht mehr das Hirn zermartern, wenn es darum geht, ein neues Passwort zu finden. So konnte ich auch mit drei Mausklicks die Passwörter ersetzen, die aufgrund von Faulheit mehrfach in meiner Sammlung vorkamen.
Passwortmanager gibt es in zahlreichen Varianten, sowohl kostenfrei als auch kostenpflichtig. Eine Kombination, die ich lange benutzt habe, besteht aus KeePass und Dropbox. Die verschlüsselte Datenbank lag in meiner Dropbox, sodass ich sie immer und überall zur Verfügung hatte. Für unterwegs nutzte ich die mobilen Versionen. Kostenpflichtige Passwortmanager enthalten oft noch zusätzliche nützliche Funktionen, wie etwa eine, die regelmäßig kontrolliert, ob einer der eigenen gespeicherten Datensätze eventuell in einem Datenleck aufgetaucht ist.
Ein zweiter Faktor für mehr Sicherheit
Zweitens: Ein Passwort allein genügt nicht. Nutzt also einen „zweiten Faktor“, wo immer es geht. Ein zweiter Faktor stellt sicher, dass es nicht ausreicht, einfach nur euer Passwort zu raten oder irgendwo zu stehlen. Es gibt mehrere Möglichkeiten, diese Technik zu nutzen. Viele Plattformen bieten sie bereits an, sie müssen jedoch aktiviert werden. Die komfortabelste Methode sind Apps, die für jede Anmeldung eine Einmal-PIN generieren. Viele davon sind kostenfrei, wie etwa der Google Authenticator.
Um sich anzumelden, braucht es also nicht nur das Passwort, sondern auch die Einmal-PIN. Wer es noch sicherer haben möchte, der kann auch mit einem Hardware-Token arbeiten, das die gleiche Funktion erfüllt. Diese Tokens sind kleine Geräte, die man dann beim Einloggen parat haben muss. Manche erstellen auf Knopfdruck ein Einmalpasswort, das auf einem kleinen Display angezeigt wird. Dieses muss der Nutzer dann auf der Login-Seite angeben.
Andere sehen aus wie ein kleiner USB-Stick, der dann für den Login angesteckt werden muss. Manche verfügen sogar über einen NFC-Chip, sodass selbst die Nutzung an einem Smartphone mit passendem, eingebauten Empfänger möglich ist. Zum Login muss man dann das Token einfach nur an das Gerät halten. Ich habe davon zwei – eines liegt an einem sicheren Ort, das andere lebt an meinem Schlüsselbund. Mit diesem Token habe ich nicht nur Dinge wie meinen Facebook-Account gesichert, sondern auch meinen aktuellen Passwortmanager. Die YubiKey-Tokens, die ich nutze, sind übrigens ziemlich robust. Möglicherweise habe ich eines davon auch schon in der Waschmaschine gehabt…
Was kommt nach dem Passwort?
Passwörter als einzige Absicherung werden über kurz oder lang verschwinden. Wodurch sie ersetzt werden und was sich durchsetzen wird? Keine Ahnung. Biometrie ist vielleicht der erste Gedanke, der so manchem durch den Kopf geht. Verständlich – einen Finger, eine Hand oder ein Auge kann man unter normalen Umständen nicht im Bus verlieren oder morgens zuhause vergessen. Aber: Ein biometrisches Merkmal kann man nicht geheim halten. Man denke etwa an Fingerabdrücke oder den Klang der eigenen Stimme. Und selbst wenn jeder nur einen Fingerabdruck registriert: Die Möglichkeit, stattdessen einfach einen neuen Abdruck zu registrieren, hat … sagen wir, natürliche Grenzen. Und innerhalb eines Systems wird ein biometrisches Merkmal auch meist nicht viel anders behandelt als ein Passwort.
Ich bin darauf gespannt, was noch kommt. Bis dahin gilt allerdings: Nutzt wenigstens einen Passwortmanager und wo immer möglich, setzt einen zweiten Faktor ein! Damit macht ihr zumindest für die nähere Zukunft all eure Zugänge wesentlich sicherer.
Einen sehr häufig zitierten Tipp solltet ihr übrigens GANZ schnell vergessen: seine Passwörter regelmäßig ändern. Denn so entstehen oft unsichere Passwörter, bei denen nur Kleinigkeiten verändert werden, die letztlich weniger Sicherheit bieten, als ein Passwortmanager. Mehr erfahrt ihr im Beitrag Warum regelmäßiges Ändern von Passwörtern der Sicherheit schadet auf unserem G Data Security Blog.
Tim Berghoff begann seine Laufbahn bei der G DATA Software AG, neben dem Studium. Zu den von ihm betreuten Kunden zählten diverse nationale und internationale Unternehmen und öffentliche Einrichtungen. Auch die Begleitung größerer Projekte sowie Schulungen vor Ort gehörten hier zu seinen Aufgaben – ob Troubleshooting in einer italienischen Großklinik oder im Rahmen von Vorträgen auf IT-Messen in den USA oder auf den Philippinen.
Auf Youtube findet ihr noch mehr Tipps und Infos zum Thema Security von Tim.
