Sicherheit III: Passwortsicherheit

Etwas ausser der Reihe, doch aus aktuellem Anlass: Gerade haben Hacker wieder zwei Millionen Passworte veröffentlicht. Passwortsicherheit ist de facto eines der größten Probleme für die Computersicherheit. Wie geht man mit Passworten eigentlich gut um?


Focus Online schreibt:

In einer globalen Attacke haben Hacker offenbar mehr als zwei Millionen Passwörter gestohlen und auf einer Internetseite veröffentlicht. Die Log-In-Daten stammen unter anderem von Facebook, Twitter und Google.

Angenommen, meine Passworte wären (möglicherweise) dabei gewesen: Was bedeutet das für mich?

tl;dr: Wieder ein Hack öffentlich – was muss ich tun

  1. Sichere Passworte verwenden (lang, neu, Sonderzeichen, Ziffern, Groß- und Kleinbuchstaben)
  2. Potenziell betroffene Passworte ändern (im Beispiel also Facebook, Twitter & Co.)
  3. Passworte überall ändern, wo das gleiche Passwort eingesetzt wird!
  4. Eine Passwort-Datenbank anlegen, z.B. mit Password Safe(*)

und jetzt nochmal langsam, im Detail:

Sichere Passworte verwenden

Die meisten kennen die Regeln für sichere Passworte:

Ein gutes Passwort ist mindestens zwölf Zeichen lang. Früher hieß es: Mindestens acht Zeichen lang, doch die Acht-Zeichen-Faustregel ist schon über 15 Jahre alt, und Hacker verwenden heute modernste Hardware, um Passworte zu knacken. Acht Zeichen sind inzwischen für Profis einfach durch „Ausprobieren“ in vernünftiger Zeit zu knacken, zwölf scheinen für die nächsten paar Jahre sicher.

Warum ist das wichtig? – Häufig werden nicht die „entschlüsselten“ Passworte geklaut, sondern die Datenbanken mit den verschlüsselten Passworten. Dann ist eine zentrale Frage: Wie viel Zeit habe ich, um mein Passwort zu ändern, bevor irgendein Unheil über mich hereinbricht?

Hier ist ein Artikel vom Juni 2012 mit einem netten Foto. Der Artikel berichtet, dass „normale“ Passwort-Knack-Hardware damals – also vor über 18 Monaten – etwa 350 Milliarden Passworte pro Sekunde (!) durchprobieren kann. Ein „normales“ Windows-XP-Passwort mit 14 Zeichen ist also nach sechs Minuten „durch“.

Zum Glück verwenden neuere Betriebssysteme bessere Verschlüsselungen. Die Verschlüsselung der Passworte macht bei sehr guten Passworten den Unterschied zwischen „sechs Minuten – 100 vor dem Frühstück“ und „sind so gut wie unknackbar“. Um es noch einmal zu sagen: Natürlich nur, wenn die Passworte wirklich sorgfältig gewählt sind. Wer als Passwort „password“ oder „123456“ verwendet, dem hilft auch die beste Verschlüsselung nicht – dazu später mehr.

Angenommen, der aktuelle Fall wäre so einer mit schwach verschlüsselten Passworten: Sagen wir… jede Sekunde wird ein Passwort (von den zwei Millionen) entschlüsselt. Schliesslich arbeiten mehrere Hacker zusammen. Dann habe ich eine statistische (!) Wahrscheinlichkeit, dass mein Passwort etwa in der Mitte liegt, also nach etwa einer Million Versuche. Angenommen, alle Passworte wären sicher (ha ha ha… mehr dazu unten), dann dauert es etwa eine Million Sekunden, bis mein Passwort „durch“ ist – das wären immerhin etwas über elf Tage.

Leider sind die meisten Passworte brüllend unsicher. Hier ist eine Studie von 2009 über die schlechtesten Gewohnheiten „normaler Menschen“ im Umgang mit Passworten. Für die Studie wurden 32 Millionen Passworte untersucht, und nur 5.000 verschiedene Passworte wurden von über 20% der Benutzer (also über 6 Millionen Passworte!) verwendet. Das heisst: Mit einem Wörterbuch-Vergleich von 5.000 Worten kann man jedes fünfte Passwort herausfinden. Oder: Von den 1 Million Passworten, die durchprobiert werden müssen, um „mein“ Passwort zu finden, werden etwa 200.000 „sofort“ gefunden, d.h. mein Passwort ist etwa zwei Tage früher dran…

Anders gesagt: Die Sicherheit meines Passworts schützt auch die Sicherheit aller anderen Benutzer und umgekehrt.

Wer jetzt glaubt, die Studie war doch von 2009, da hat sich sicher viel verändert: Die 2012’er Liste der häufigsten Passworte enthält leider immer noch genug alte Bekannte.

Betroffene Passworte ändern

Nach dem Gesagten sollte es eine Selbstverständlichkeit sein: Wenn der Verdacht aufkommt, dass eines meiner Passworte bekannt geworden ist, muss ich das Passwort ändern. Sonst kann irgendjemand in meinem Namen agieren: Je nachdem, worum es sich dreht, Geld verschieben, Sachen bestellen, in meinem Namen Emails schreiben, bei Facebook peinliche Sachen posten, meine Daten löschen, die NSA oder die GEMA provozieren und so weiter.

Ich ändere also meine Passworte. Das wirft zwei Probleme auf:

  1. Wie komme ich zu einem möglichst sicheren Passwort?
  2. Wie kann ich mir so einen Kauderwelsch merken?

Zu beiden Fragen ist meine persönliche Antwort: Ein Passwort Manager. Ein Stück Software, das auf meinem Computer läuft, sichere Passworte nach Regeln erzeugen kann und diese Passworte dann auch verschlüsselt speichert. Es gibt mehrere Produkte aus dieser Familie, ich persönlich verwende Password Safe. Andere Produkte heissen „Steganos Password Safe“ oder „Password Depot“.

Da stellt sich jetzt die Frage: Ist mein PC sicher? – Und meine Antwort ist: Wenn er nicht sicher genug für den Password Safe ist, ist er für gar nichts sicher genug. Virenscanner, regelmässige Updates usw. – mehr kann ich nicht tun.

Super wichtig ist:

Passworte überall ändern, wo das gleiche Passwort eingesetzt wird!

Erfolgreiche Hacker sind nicht blöd, im Gegenteil. Ein Passwort zu knacken, ist teuer – die Hacker schöpfen also so viel „Wert“ wie möglich ab. Sobald sie einmal ein Paar aus Benutzerkennung und Passwort gefunden haben, probieren sie diese Kombination überall aus: Bei sozialen Netzwerken wie Facebook, Google, Twitter, Flickr, XING, LinkedIn; bei Email-Diensten wie Hotmail, web.de, Outlook.com; bei Online-Shops wie Amazon, buecher.de, thalia.de, dress-for-less, vente-privee; bei Multimedia-Netzwerken wie watchever, Videoload, iCloud oder PSN; bei Job-Börsen, bei Banken, überall, überall, überall.

Also: Wenn heute das Facebook-Konto geknackt wurde und im Homebanking das gleiche Passwort eingesetzt wird, kann morgen das Bankkonto via Homebanking abgeräumt sein! (Wird es in der Praxis eher nicht, denn das wäre zu einfach nachzuvollziehen. Geldwäsche wäre bspw. einfach umzusetzen.)

Man sollte also tunlichst für jedes Konto ein separates Passwort verwenden.

Ohne Passwortmanager ist das – aus meiner Sicht – praktisch nicht zu machen. Mein Passwortmanager verwaltet inzwischen mehrere hundert Passworte für mich, das ist mit keinem anderen Verfahren mehr handhabbar.

Also noch einmal:

Eine Passwort-Datenbank anlegen

Professionelle Passwort-Datenbanken bieten gute Unterstützung und sind einfach zu verwenden. Mein Favorit ist Password Safe. Damit kann ich

  • Möglichst sichere Passworte generieren lassen, z.B. 16 Zeichen / Ziffern, Groß- und Kleinbuchstaben und Sonderzeichen
  • Diese Passworte verschlüsselt speichern
  • … und nach Kennworten wiederfinden.

Alternative Konzepte

Facebook, Microsoft, Google, Twitter & Co. bieten seit einiger Zeit ein alternatives Konzept zu Passworten (und den damit verbundenen Sicherheitsproblemen) an: Man kann sich auf vielen Webseiten „direkt“ z.B. mit seinem Facebook- (Google- usw.) Account anmelden, braucht also nur ein einziges Passwort. Das Konzept heisst „Single-Sign-On“ (SSO), etwa: einmalige Anmeldung.

Ich mag diese Konzepte im „freien Internet“ aus drei Gründen nicht:

  • Es schafft „nur“ einen Hebel: Wer sich überall mit seinem SSO-Account anmeldet, ist auch „überall zugleich“ gehackt, wenn das SSO-Passwort bekannt ist. Klar, man braucht dann nur ein Passwort zu änder, doch wenn der Hack erst spät bemerkt wird, ist das Problem groß.
  • All diese SSO-Techniken (SSO-Techniken) hinterlassen Datenspuren bei den SSO-Anbietern. Genau genommen hinterlassen wir diese Datenspuren normalerweise sowieso, und trotzdem mag ich diese Abhängigkeit von den „Datenkraken“ nicht.
  • Realistisch werden nie alle alle Webseiten SSO unterstützen – ich werde also sowieso immer eine Passwort-Datenbank brauchen. Dann kann ich sie auch gleich für alles verwenden.

Für Unternehmensnetzwerke finde ich SSO praktisch und gut. Ich kann auch die Menschen verstehen, die SSO im Internet als das kleinere Übel sehen.

Für die Neugierigen: Wie kann man Passworte knacken?

Um Passworte zu knacken, gibt es mehrere Ansätze. Einer der wichtigsten ist: Danach fragen!

BBC News berichtet unter der Überschrift „Passwords revealed by sweet deal“ über eine Studie, in der Pendler in einer englischen Bahnstation nach ihrem Passwort gefragt wurden. 70% der Versuchspersonen hätten ihr Passwort gegen einen Schokoriegel herausgerückt, über 30% auch ohne solche „Bestechung“.

Eine andere sehr häufige Möglichkeit, um an die Passworte von persönlichen Bekannten zu kommen, ist die Passworte zu erraten: Die Namen von Partner, Kindern, Haustieren, Spitznamen, Familie, Freunden, Orten und so weiter sind – oft ein bisschen verkompliziert – häufig Passworte. Das könnte dann z.B. „OnkelEmil“, „Schatzi1″oder „Prinzessin007“ sein. Wer seine Pappenheimer kennt, kommt mit überschaubar wenigen Versuchen zum Ziel.

Erst wenn das nicht klappt, muss der Computer ‚ran. Erst einmal mit Wörterbuch-Attacken („a“, „ab“, „aber“, „ach“, … – Wörterbücher gibt es im Internet zum Herunterladen, sogar schon nach Häufigkeit sortiert). Und wenn auch die Wörterbuch-Attacken nichts bringen, werden mit roher Gewalt alle Buchstabenkombinationen durchprobiert: „a“, „aa“, „ab“, „ac“, „ad“ und so weiter.

Fazit

Passwort-Sicherheit ist eines der größten Sicherheitsthemen in modernen IT-Systemen. Sinnvolle Alternativen gibt es – wenigstens im Internet als Ganzem – nicht. Das kleinste Übel sind entweder Passwort-Datenbanken oder SSO-Systeme.


(*)Siehe: „Sicherheit und Vertrauen„: Vertraust Du mir, dass ich Dir eine gute Empfehlung geben will? Vertraust Du auch meiner Fachkenntnis? Woher weißt Du?

Mehr zum Thema:

Wie denkst Du darüber?