Das „Sicheres-Passwort-Dilemma“

Das „Sicheres-Passwort-Dilemma“

In den vergangenen Wochen war das Thema Passwörter in den Medien präsenter als üblich. Schuld daran sind die online aufgetauchten Passwort-Listen. Hacker haben aus unterschiedlichen Quellen Milliarden von E-Mail-Passwort-Kombinationen gestohlen. Wer wissen möchte, ob seine E-Mail-Adresse in dieser umfangreichen Liste ist, kann das auf der Seite https://haveibeenpwned.com/ prüfen lassen. Hier erfährt man im Übrigen nicht, welches Passwort dabei gehackt wurde. Der Autor der Seite führt diese Informationen nicht zusammen und ist auch sonst als seriös zu bezeichnen. Dennoch bleibt es Jedem selbst überlassen, diesen Test zu machen. Umgekehrt kann man hier auch sein Passwort prüfen lassen, ob es in der Liste ist. Der Schritt ist aber trotz aller Versprechen mit Vorsicht zu genießen.

Die Erkenntnis aus diesen Hacks ist in den Medien in die Richtung geleitet worden, dass man selbst sein Passwort regelmäßig ändern und überall ein anderes verwenden sollte. Aber das ist nicht so banal, wie es zunächst klingt.

  1. Ist es gar nicht so einfach, alle Seite, bei denen man ein Passwort hinterlegt hat, aufzurufen. Wer will sich regelmäßig die Zeit nehmen, sich durch unterschiedlichste Backends zu forschen und die entsprechende Funktion zu suchen. Das kann schnell Stunden in Anspruch nehmen.
  2. Ist es gar nicht so einfach, sich regelmäßig neue und unterschiedliche Passwörter zu merken. Wer anfängt, sich diese „irgendwo“ zu notieren, oder Einfache zu nehmen, führt das System „Passwort“ selbst schnell ad absurdum. Ein Passwort-Manager kann hier natürlich bereits eine gute Idee sein. Das ist aber ein anderes Thema. Oder man verwendet Mehr-Faktor-Authentifizierung … auch ein separates Thema.
  3. Ist es nicht das Problem, dass ein Passwort lange Zeit nicht geändert wird. Wenn es sicher ist, kann es für zig Jahre dasselbe bleiben (ja, das sage ich grad wirklich). Welche Voraussetzungen für ein sicheres Passwort erfüllt sein sollten, klären wir gleich.
  4. Ist es in der Regel nicht die Schuld des Users, dass Passwörter enttarnt werden. Nur selten sind es Trojaner oder Key-Logger. Diese Kanäle organisieren keine Listen mit Milliarden Einträgen. Die aller-aller-allermeisten Hacks resultieren daher, dass Serviceanbieter ihre IT-Sicherheit auf die leichte Schulter nehmen. Nicht der User macht den Fehler, sondern die Seite, bei der ich mich anmelde. Die aktuelle Diskussion verschiebt die Verantwortung eigentlich von den Verursachern des Problems auf die Betroffenen.

Was wäre zu tun?

Ist das Kind erstmal in den Brunnen gefallen, führt kein Weg daran vorbei, das entsprechende Passwort zu ändern. Damit man aber nicht regelmäßig wieder dran muss, gelten folgende Regeln:

Hoffen, dass die Seite meine Daten sicher speichert.

Das kann ich zwar nicht beeinflussen, aber das wäre der wichtigste Schritt. Service-Anbieter, sichert eure Systeme vor Angriffen von außen.

Ein Passwort sollte so nicht im Wörterbuch stehen.

Hacker testen zunächst „Wörterbücher“ durch. Steht mein Passwort so nicht im Wörterbuch, gibt es keinen Treffer. Wie ich das gewährleiste? Nicht nur „ein Wort“ nehmen.

Ein Passwort sollte möglichst lang sein.

Ein Passwort sollte eigentlich eher Passphrase heißen, das macht es klarer. Es kommt, wenn die Wörterbuch-Regel erfüllt ist, gar nicht so sehr darauf an, möglichst viele Zahlen und Sonderzeichen zu verwenden, die Buchstaben dürfen schließlich sogar einen Sinn ergeben, solange die Phrase so nicht „üblich“ ist.

Die nächste Methode, mit der nämlich versucht wird, Passwörter zu knacken, nennt sich „Brute Force“, Brutale Gewalt. Dieser Methode ist es völlig egal, ob es sich bei einem Zeichen um einen Buchstaben, eine Zahl oder ein Sonderzeichen handelt, man testet einfach nacheinander alle Kombinationen durch. Aber es gilt, je mehr Stellen mein Passwort hat, desto länger dauert es, dieses zu knacken.

Ein einfaches und auch grob vereinfachtes Rechenbeispiel:

Wir nehmen mal an, es gäbe 25 Buchstaben (ist einfacher zu rechnen), jeweils groß und klein, macht 50, dazu 10 Ziffern und 15 „übliche“ Sonderzeichen. Wir haben also pro Stelle in unserem Passwort 75 mögliche Zeichen (es sind tatsächlich mehr, aber der Einfachheit halber …).

Für ein Passwort mit 4 Stellen ergibt das 75 x 75 x 75 x 75 Möglichkeiten, oder einfacher 75^4 Möglichkeiten. Das sind 31.640.625, oder etwas über Einunddreißigmillionen. Ziemlich sicher, oder? Also alles gut?! Natürlich nicht. Leistungsfähige Computer testen das in Sekunden durch, aber die Idee wird klar. Mit jeder zusätzlichen Stelle wird der Versuch, dass Passwort zu erraten um den Faktor 75 schwieriger. Achtstellige Passwörter sind nicht doppelt so sicher wie vierstellige, sondern sage und schreibe 31.640.625-mal so sicher. 1.001.129.200.000.000 unterschiedliche Kombinationen (eine Billiarde und einen Keks. Und der Keks ist deuuuuutlich größer, als der Wert für das vierstellige Passwort). Das beschäftigt auch einen guten Computer schon eine Weile.

Welches Passwort ist also besser?

„Q2ut$fdGf4“

oder

„SchatziistundbleibtdieBeste!“

Genau … Schatzi…! Und das sehr, sehr deutlich und ich kann mir das sicherere Passwort auch noch viel besser merken und auch schneller eintippen.

Wenn jetzt die Webseitenbetreiber noch dafür sorgen, dass unser Passwort nicht im Klartext gespeichert und auch nicht zurückzurechnen ist (das ist technisch an sich kein Problem), dann kann das Passwort bleiben.

Außer Schatzi ist nicht mehr die Beste.

Zusammengefasst lässt sich also sagen:
Manchmal ist weniger mehr und manchmal kommt es eben doch auf die Länge an. In vielen Unternehmen müssen die Nutzer regelmäßig ihre Kennwörter ändern. Das ist häufig kontraproduktiv, erklären auch IT-Experten. Wenn regelmäßig das Kennwort geändert wird, neigen die Nutzer dazu, simple Passwörter zu vergeben, die sich leicht merken lassen. Die wiederum sind für Programme schneller zu knacken. Müssen komplexe Passwörter vergeben werden, könne man dagegen häufig beobachten, dass Nutzer ihre Kennwörter auf Zetteln aufschreiben - auch das ist kontraproduktiv.

Einzige Ausnahme: Wurde der Nutzer oder das Unternehmen Opfer eines Hackerangriffs, muss das Passwort unverzüglich geändert werden. Wer viele komplexe Passwörter verwalten muss, sollte einen Blick auf Passwort-Manager (siehe Links am Ende des Beitrags) werfen. Die meisten gibt es auch als App fürs Smartphone.

Lange Passwörter, die sich aus mehreren einzelnen Wörtern zusammensetzen sind letztendlich der beste Kompromiss zwischen Sicherheit und Usability. Mehr können wir als Nutzer nicht machen, der Rest liegt in der Verantwortung der Service-Anbieter.

Weitere Informationen:

Links:

https://it-service.network/blog/2017/10/23/sichere-passwoerter-passwortsicherheit/

https://lastpass.com/

https://1password.com/

https://www.dashlane.com/

http://www.spiegel.de/netzwelt/web/collection-1-datensatz-mit-ueber-772-millionen-mail-adressen-aufgetaucht-a-1248455.html

https://www.heise.de/select/ct/2019/04/1550227129581885