zurück zur Übersicht

Change-your-password-day: Heute schon gewechselt?

In früheren Zeiten war die gute alte Unterschrift und gegebenenfalls das persönliche Erscheinen mit Ausweis ausreichend, um sich bei wichtigen Angelegenheiten zu identifizieren.

Hätte Marc Zuckerberg damals gelebt: Er hätte mit Facebook viel Schreibarbeit gehabt. Und vermutlich tausende von Türstehern, die überwacht hätten, dass nur berechtigte Friends etwas an ihre Pinwand (oder die ihrer Freunde) heften.

Schluss mit dem 19. Jahrhundert, wir leben schließlich jetzt. Und hier und jetzt ist das Mittel der Wahl, um die eigene Identität zu bestätigen, noch immer das allseits (un-)beliebte Passwort.

Wenn man etwas mit der Materie zu tun hat (und das hat eben nunmal fast jeder täglich) begegnen einem irgendwann die verschiedenen Archetypen des modernen Passworts. Folgen Sie mir, wenn ich Ihnen diese Charaktere vorstelle.

The-One-and-Only

Wieviele Passwörter benutzen Sie eigentlich? Für manch einen mag die Antwort jetzt „eins“ lauten. Das bedeutet entweder, besagte Person hat wenig mit der digitalen Welt zu tun, oder – was weit gefährlicher ist: Der- oder Diejenige verwendet das gleiche Passwort überall: auf Facebook, Twitter, in Foren (die z.B. einmal besucht werden, um nur mal einen besonders blöden Beitrag zu kommentieren), beim Online-Banking und (wenig überraschend) auch beim Arbeitsplatzrechner im Firmennetzwerk.

Gestatten: Das Einzelpasswort. Es ist nicht per se schwach. Möglicherweise ist es sogar (relativ) lang und hinreichend komplex – immerhin muss man sich ja nur dieses eine Passwort merken. Probleme gibt es nur wenn einzelne Stellen andere Vorgaben machen (Es soll ja tatsächlich Banken geben, die den Online-Pin auf ganze fünf Stellen beschränken). Trotzdem ist es insgesamt recht bequem.

Das größte Sicherheitsrisiko: Hat jemand dieses Passwort erst einmal erbeutet kommt er überall hin. Der Generalschlüssel zum digitalen Leben quasi. Und nebenbei auch noch zum Firmennetzwerk. Denn nicht jedes von Laien betriebene Hobby-Forum schützt seine Daten ausreichend. Oft merken die Betreiber es dann auch garnicht, wenn die Logins sämtlicher Nutzer aus der ungepatchten Uralt-Datenbank komplett auskopiert und im Darknet verhökert werden.

Der Fantasielose

Eigentlich alt bekannt, aber die Statistiken sprechen eine deutliche Sprache: Das beliebteste Passwort der Deutschen ist immer noch 123456. (Und nicht erst seit diesem Jahr: https://www.cubespotter.de/cubespotter/1-2-3-4-5-ist-doch-sicher-genug-oder/) Dieser recht hartnäckige Passwort-Zombie tritt natürlich in einigen Varianten auf, die fast genauso originell sind: Das Wort „Passwort“. Gerne auch numerisch transkribiert: „Pa$$w0r1“. Vorname. Nachname. Vorname+Nachname (mit Großbuchstaben!). Telefonnummer. Vorname+Telefonnummer……

Ein Paradebeispiel dafür, was quasi Jedermann durch den Besuch auf dem Social Media Profil in kürzester Zeit in Erfahrung bringen kann.

Der kleine Komplexor

Wie war diese verstaubte Sicherheitsregel nochmal? Es soll Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. „Prima!“ denkt sich der kleine Komplexor, „ich nehme ‚Aa1!‘ “. Lässt sich schnell tippen und man kann einfach Varianten bilden. Fantasievolle Konstrukte wie Bb2“ zum Beispiel. Oder das ebenfalls recht beliebte ‚Q1w2e3r4‘.

Komplexität in der Theorie ist die eine Sache. Leider sind auch Hacker nicht ganz auf den Kopf gefallen. Besonders jene Kombinationen, die vordergründig die Anforderungen an ein komplexes Passwort erfüllen, aber eben verdammt einfach zu tippen und zu merken sind – werden nicht per stupidem BruteForce geknackt sondern per vorgeschalteter Dictionary Attack. Und zwar rasend schnell.

Das ultimativ komplizierte Passwort

OK, also Komplexität ist nicht alles. Die Länge des Passworts ist ebenfalls wichtig wegen der damit verbundenen Entropie (kurz ausgedrückt: mit jedem Zeichen steigt die Anzahl der möglichen Formen, die ein Passwort annehmen kann und es wird daher schwerer zu knacken).

Zeit für das Ultimativ komplizierte Passwort™. Jedes besteht aus 20 Zeichen, wild zusammengewürfelt, als hätte ein unentschlossenes Eichhörnchen auf dem Keyboard sich an einer Fred-Astaire-Nummer versucht. Nach vorsichtigen Schätzungen benötigt ein handelsüblicher Rechner zwischen zehn- und zwanzigtausend Jahren um diese Art Passwort zu knacken.

Leider kann es sich kein Mensch merken. Das Mail-Postfach quillt über vor Passwort-Reset-E-Mails, doch der Nutzer kann sie nicht lesen, weil er das Passwort für den E-Mail Account nicht mehr weiß. Und auch der Firmenadmin erwägt, den User auf die persönliche Ignore-Liste zu setzen, weil er jede Woche einmal das Passwort resetten muss.

Technische Unterstützung

Zugegeben: das war ein wenig überspitzt ausgedrückt. Doch im Kern ist die Frage berechtigt, wo das System „Passwort“ an sich hinführen soll. Natürlich gibt es einige technische Ansätze, um das Problem in den Griff zu bekommen. Beispiele wären:

  • Passwort Manager – eigentlich handelt es sich in der einfachsten Version lediglich um eine verschlüsselte Datenbank, in der die Logins aufbewahrt werden. Der Manager ist selbst passwortgeschützt, aber merken muss man sich eben nur diesen Login, quasi das Masterpasswort. Luxuriöser sind Systeme, die sogar komplexe Passwörter in beliebiger Länge zufallsbasiert generieren können. Moderne Versionen haben Browser-Plugins und können dadurch die mitunter zweifelhafte Sicherheit der „Passwort merken“-Funktion mit einer sichereren Funktion ersetzen. Dadurch ist die Nutzung vieler komplexer Passwörter recht gut in den Griff zu bekommen. Diese Technologie gibt es schon seit langer Zeit und ist in der Regel recht ausgereift.
  • Passwort Manager im Firmenumfeld – Diese Softwares bieten eine erweiterte Funktionalität zur firmenweiten Verwaltung von Passwörtern. So kann zum Beispiel per Policy festgelegt werden, in welchen Zeitabständen ein Passwort gewechselt werden muss. Dabei kann auch verhindert werden, dass allzu einfache Passwörter gewählt werden (der kleine Komplexor lässt grüßen) oder sich das neue Passwort nur in wenigen Zeichen vom alten unterscheidet. Integriert sind solche Systeme oft in PIM (Priviledged Account Management) Systeme.
  • Zwei Faktor Authentisierung – eine adäquate Lösung, wenn ein Login wirklich abgesichert werden soll. Dabei ist ein Login nur möglich, wenn der Nutzer sich an einem Zweitgerät authentisiert. Das kann zum Beispiel über die Bestätigung eines „Tokens“ geschehen, der nach dem Login am Desktop Computer an das Handy des Users geschickt wird. Bleibt die Bestätigung aus, z.B. weil ein Angreifer sich das Passwort erschlichen hat, aber keinen Zugriff auf das Handy hat, ist kein Login möglich. Nachteil ist der damit verbundene Aufwand in Implementierung und natürlich in der Benutzung.
  • Biometrische Authentisierung – noch relativ neu, und entsprechend mit eher durchwachsenem Reifegrad: Der Login per Fingerabdruck oder Gesichtserkennung. An sich sollte das Prinzip für große Sicherheit sorgen. Allerdings gibt es technisch immer noch Einschränkungen: Fingerabdrücke werden nicht erkannt, oder lassen sich durch gedruckte Faksimiles täuschen. Manche Kameras (bzw. die dahinter liegenden Algorithmen) können Fotos von Gesichtern schwer von echten Gesichtern unterscheiden. Die hauptsächlich aus Hollywood bekannten Retina-Scanner, die den Augenhintergrund zur Identifikation nutzen, sind mit Smartphone- und Laptop-Kameras schwer umzusetzen. Apropos Smartphones und Laptops: Während Betriebssysteme langsam erkennbare Fortschritte machen bei dieser Art der Useridentifikation hinkt das Internet weit hinterher. Es gibt bisher keine Webseite, die ein Biometrisches Login unterstützen würde. Das Web ist derzeit noch nicht auf diese Technik eingestellt. Dennoch liegt hier viel Potenzial.

Fazit: Irgendwie muss man sich ja authentifizieren

Ja, Passwörter sind lästig. Und es ist ärgerlich, dass man letztlich doch darauf angewiesen ist, sich zumindest einige davon ganz analog im Gehirn zu merken. Aber den Wohnungsschlüssel hängt man ja auch nicht außen vor der Tür auf und hofft das Beste.

Und mit etwas Glück werden biometrische Systeme in sehr absehbarer Zukunft das lästige Tippen von Passwörtern obsolet machen.

Darüber freut sich sicherlich auch mancher Admin.

Einen Finger verliert man schließlich nicht so leicht wie ein zwanzigstelliges Passwort.

 


Links:

https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/Biometrie/AllgemeineEinfuehrung/einfuehrung.html

https://pthree.org/2011/03/07/strong-passwords-need-entropy/

https://password.kaspersky.com/

http://www.zdnet.de/88264892/biometrisches-log-in-mit-windows-hello-kommt-auch-fuer-web-apps/

https://www.microsoft.com/en-us/research/wp-content/uploads/2016/02/QuestToReplacePasswords.pdf

https://en.wikipedia.org/wiki/Fred_Astaire

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer