Reden wir doch einmal über sichere Passwörter

By:
Posted: 1. März 2018
Category: News

Hey, like this? Why not share it with a buddy?

Wie sieht ein sicheres Passwort aus?


Schon an dieser einfachen Frage scheiden sich die Geister.
Da gibt es die Empfehlung, die beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausspricht - möglichst viele verschiedene Zeichen - also Klein- und Großbuchstaben, Ziffern und Sonderzeichen - und davon mindestens acht bis 20 beim Passwort zu verwenden sowie dieses leicht kryptische Gebilde nach Möglichkeit noch regelmäßig durch ein neues, nach denselben Regeln gestaltetes auszutauschen.

 

Und was macht der User nun damit?


Leider hat diese Kombination einen gewaltigen Haken: Sie ist nicht benutzerfreundlich - vor allem vor dem Hintergrund, dass sich heutzutage fast jeder Nutzer dutzende Passwörter merken muss. Klar ein Passwort in der Form 38)+1Z|dv&Eq7_520rm% ist so gesehen erst einmal ziemlich sicher und nicht gerade leicht zu knacken.
Nur kann kaum ein Mensch sich solche Ungetüme merken - geschweige denn dutzende davon.
Was macht er also: Er denkt sich eine Kombination aus, die den Passwortvorgaben gerecht wird und für ihn eingängig ist. Raus kommt dann beispielsweise Thomas1234! und bestenfalls noch viele Varianten für all die Webseiten, Anwendungen und sonstigen Gelegenheiten, bei denen ein Passwort gefordert wird.

Regelkonform sind diese das Gedächtnis entlastende Kennwörter erst einmal alle; aber leider ganz und gar nicht sicher.

Wird der User jetzt noch - ohne ein Anzeichen, dass das Passwort Unberechtigten in die Hände gelangt ist -  regelmäßig gezwungen seine Passwörter zu ändern, steigt die Zahl der Varianten des Grundpasswortes. Bestenfalls. Vielleicht verwendet er auch die gleichen drei bis vier Varianten immer und immer wieder oder versucht die in seinen Augen restriktiven und das Leben erschwerende Vorgaben auf andere Weise auszuhebeln.

Merkzettel mit der Beschriftung See my password on the back side. Sinngemäß: Passwort auf der Rückseite
Sind die Regeln zu restriktiv, versucht der Nutzer diese zu umgehen


Problematisch wird es vor allem dann, wenn eine Variante des verwendeten Passworts einem Angreifer bekannt ist. Es ist ein leichtes für ihn - besser gesagt für die von ihm benutzten Tools - binnen kürzester Zeit weitere Varianten auszutesten und letztendlich zu knacken.

Kurz gesagt, die althergebrachten Regeln funktionieren in der Theorie super, scheitern aber an der Realität, in der der Nutzer sie aushebelt, was im Endeffekt zu weniger sicheren Passwörtern führt, wie unter anderem Troy Hunt in seinem lesenswerten Beitrag Passworts Evolved: Authetification Guidance for the Modern Era ausführlich darlegt.

 

Das Gebot der Stunde - Nutzerfreundlichkeit


Dass die alten Vorgaben nicht unbedingt das Gelbe vom Ei sind, hat auch kürzlich ihr Verfasser Bill Burr in einem Interview mit dem Wall Street Journal eingeräumt. „Am Ende waren die Richtlinien wahrscheinlich zu kompliziert, um von vielen verstanden zu werden“, resümiert der mittlerweile pensionierte Burr dort . Und auch sein ehemaliger Arbeitgeber das National Institute for Standards and Technology (NIST), in deren Auftrag er 2003 den Standard für Passwortregeln erarbeitet hat, kam zu diesem Schluss und hat das entsprechende Regelwerk mit dem etwas sperrigen Namen Special Publikation 800-63-3: Digital Authentification Guidelines komplett überarbeitet.

Ein mensch mit einer Liste in der HAnd. Der Titel der Liste: What schould I do?
Die alten Vorgaben waren vor allem eins - kompliziert


Das neue Regelwerk fordert explizit, dass Passwortregeln unbedingt benutzerfreundlich sein sollten. Ansonsten besteht die Gefahr, dass der Nutzer „schummelt“.

Um dem entgegen zu wirken, nimmt die neue Richtlinie erst einmal die Betreiber in die Pflicht und empfiehlt von alten Vorgaben Abstand zu nehmen.

So sollen sie keine unnötigen Kennwortwechsel, die zyklisch erfolgen, vorschreiben. Das führt mitunter nur dazu, dass die User sich schwächere Passwörter ausdenken. Kennwortwechsel sollten nur veranlasst werden, wenn die alten beispielsweise durch einen erfolgreichen Angriff kompromittiert sind.
Ganz verzichten sollten sie auf die Sicherheitsfrage, wie beispielsweise „Geburtsname der Mutter“. Solche Wiederherstellungshilfen sind einfach zu leicht zu knacken. Gleiches gilt für Erinnerungshilfen - auch darauf sollte zukünftig verzichtet werden. Zudem sollte es selbstverständlich sein, dass die Kennwörter durch Hashing und Salting geschützt und somit nicht im Klartext gespeichert werden.

Außerdem wird angeregt Neueingaben mit bekannten, kompromittierten Passwörtern abzugleichen und deren Verwendung von vornherein zu verbieten. Das lässt sich beispielsweise mit dem Dienst Have I Been Pwned bewerkstelligen, bei dem selbst zu Prüfzwecken das Kennwort nicht vollständig auf den Server übertragen wird. Wobei natürlich jeder für sich selbst feststellen muss, ob er ein solches externes Angebot nutzen möchte. Wie genau der Dienst funktioniert und wie er sicherstellt, dass die hier eingegebenen Passwörter nicht abgegriffen werden, beschreibt der Anbieter - der australische Sicherheitsexperte Troy Hunt in seinem Beitrag I've Just Launched "Pwned Passwords" V2 With Half a Billion Passwords for Download.

Zusätzlich spricht sich die NIST-Richtlinie dafür aus, den verwendeten Zeichenraum zu erhöhen und alle ASCII-Zeichen inklusive des Leerzeichens zu erlauben. Das geht einher mit der Forderung längere Passwörter, mit mindestens acht bis zu 64 oder mehr Zeichen zu ermöglichen.

 

Länger ist besser – Phasphrasen und sichere Passwörter


Das ist vor allem von daher interessant, da das NIST mittlerweile die Meinung vertritt, dass die Verwendung von umfangreichen Passphrasen aufgrund der Länge viel effektiver ist, als kurze, komplexe Gebilde aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Dabei sollte jedoch darauf geachtet werden, dass die gewählte Phrase nicht in Wörterbüchern oder Passwortlisten auftaucht. Sinnvoll ist die Verwendung eines Satzes, der so auf den ersten Blick keinen Sinn ergibt und nicht allzu populär ist, wie es etwa auf Filmzitate zutrifft.

Wie so eine Passwortphrase aussehen könnte, wie man sie sich merkt und warum sie wirkungsvoller ist, zeigt folgender kleiner Strip von xkcd.com:

Quelle: https://imgs.xkcd.com/comics/password_strength.png


Will man auf Nummer sicher gehen, wird der erdachte Satz oder die gewählte Wortfolge noch nach einem eigenen Muster abwandelt. Beispielsweise wäre es möglich jeweils die ersten beiden Buchstaben der einzelnen Wörter zu verwenden und das abschließende Satzzeichen.

Zur Veranschaulichung ein kleines Beispiel:
Zum Thema Industrial IT Security ist KORAMIS auf jeden Fall mein Ansprechpartner Nummer 1!

Wird zu:
ZuThInITSeisKOaujeFameAnNu1!

Die Wahrscheinlichkeit, dass eine solche Kombination in irgendeiner Wörterbuchliste auftaucht oder sie jemand errät, tendiert gegen null. Zudem ist dieses Passwort komplex und lange genug, um auch Brut-Force-Attacken standzuhalten.

 

Nützliche kleine Helferlein


Das Leben mit einer Vielzahl an Logindaten, Kenn- und Passwörtern erleichtern zudem Hilfsmittel, wie etwa Passwortmanager. Sie ermöglichen es alle Kennwörter, wie in einem Tresor, wegszuperren. Öffnen lässt er sich nur mit einem Masterpasswort, das natürlich möglichst sicher muss..

Dies ist umso wichtiger, da an dieser Stelle im Normalfall alle Passwörter hinterlegt werden. Vergisst der User sein Passwort, sind diese imRegelfall weg. Fatal wäre es, wenn ein unbefugter das Masterpasswort in die Hände bekommt. Damit hätte er auf einen Schlag Zugriff auf alle Anwendungen, zu denen das Kennwort hinterlegt ist. Insgesamt lässt sich aber konstatieren, dass Passwortmanager mit einem entsprechend starken Masterpasswort dabei helfen sich im Dschungel der Passwörter nicht zu verlaufen und zudem einen guten Kompromiss zwischen Sicherheit und Usability darstellen.

Related Posts