Ändere Dein Passwort NICHT!

Der 1. Februar ist seit 2012 der »Ändere-Dein-Passwort-Tag». Prinzipiell tut man gut daran, dieser Aufforderung NICHT zu folgen.

Ich erläutere das:

Gute versus schlechte Passwörter

Ein gutes Passwort ist ein gutes Passwort ist ein gutes Passwort. Passwörter werden nicht im Laufe der Zeit schlechter, sie altern nicht. Ausnahmen bestanden in der Computer-Steinzeit, als Passwörter, die man in entsprechende Eingabefelder einzugeben hatte, aus nicht mehr als 6 oder maximal 8 Zeichen, kleingeschrieben, bestehen durften. Solche Passwörter waren allerdings auch damals schon schlechte Passwörter, und wer heute noch solche Beschränkungen verlangt zum Zugang zu seinen Dienstleistungen im Netz, auf dessen Dienstleistungen sollte man mangels Vertrauenswürdigkeit tunlichst verzichten. Und wer heute noch solche Passwörter verwendet, wo er längst nicht mehr muss, der verwendet heute schlicht schlechte Passwörter. Schlechte Passwörter bestehen aus wenigen Zeichen aus einem kleinen Zeichenvorrat. Und aus noch mehr, dazu aber später.

Gute Passwörter

Ein gutes Passwort besteht aus

• einer rein zufälligen Folge
• möglichst vieler Zeichen
• aus einem möglichst großen Zeichenvorrat

#T23u!ZhdL&9;KR271?Zß5Tu$_aB6= dürfte ein ziemlich gutes Passwort sein (jetzt allerdings nicht mehr, da öffentlich bekannt!). Es ist weitgehend zufällig^*), 30 Zeichen stark und der Zeichenvorrat enthält die 26 Großbuchstaben, 26 Kleinbuchstaben plus ß, die Ziffern 0-9 sowie die gewöhnlichen Satz- und Interpunktionszeichen des druckbaren deutschen ASCII-Zeichensatzes (94 druckbare Zeichen plus Leerzeichen). Man könnte sich aus dem größeren (256 Zeichen, glaube ich) Zeichenvorrat des hierzulande EDV-üblichen ISO-8859-15-Zeichensatzes bedienen, allerdings weiß ich nicht sicher, ob jede Passwort-Eingabebox die erweiterten Zeichen akzeptiert.

Passphrasen

Eine interessante Alternative zu Passwörtern sind Passphrasen. Gut dokumentiert hierfür ist das Diceware-Verfahren (Originalseite). Passphrasen werden mittels einer zufälligen Reihe von Wörtern gebildet, die durch ein Würfelverfahren aus einer vorgegebenen Wortliste entnommen werden. Die meisten Passwortmanager-Programme (dazu später mehr) sind in der Lage, sowohl höchst sichere Passwörter als auch Passphrasen zu generieren.

Schlechte Passwörter

fritz73 zum Beispiel ist ein schlechtes Passwort. Es ist viel zu kurz, schöpft lediglich aus einem kleinen Zeichenvorrat und – vor allen Dingen – es ergibt Sinn! Mindestens der Teil »fritz« ist aus dem sozialen Umfeld erratbar (Social Engineering) und der angehängte Zahlenteil könnte dem Geburtsjahr entnommen sein. Ich könnte also »fritz« erraten haben und probiere bei Nichterfolg einfach mal bekannte Zahlen im Zusammenhang mit diesem Fritz durch. Cracker-Skripte, wie sie zu Tausenden täglich Webseiten per Brute Force angreifen, dürften sich über eine ungenügende Absicherung mit »fritz73« freuen.

Weitere Varianten von schlechten Passwörtern sind die allzu bekannten idiotischen Zeichenketten wie 12345678 oder abcdefgh, aabbccdd, password…

Ein Brute-Force-Skript freut sich darüber, weil solcher Unfug in wenigen Sekunden Tür und Tor eines schützenswerten Zugangs öffnet.

Womit wir beim nächsten Punkt wären…

Angriffsszenarien

Einfach brutal angreifen

Der Klassiker unter den Angriffen auf Nutzernamen und Passwörter sind wahrscheinlich immer noch die Bot-Skripte, die in schierer Unzahl ganz primitiv, aber massiv und mit riesigen Wortlisten bestückt auf die Nutzernamen-Passwort-Combos auf interessanten Webseiten losgehen. Brute-Force-Angriff nennt man diese Methode. Jeder, der eine Website, ein Blog betreibt, dürfte das aus seinen Serverlogs kennen: hunderte, wenn nicht tausende erfolglose Zugriffsversuche täglich. Meist mit rotierenden IP-Adressen, so dass Blockadeversuche nach der Methode ‚maximal drei Versuche pro IP-Adresse‘ ins Leere gehen.

Gegen diese Angriffe hilft allerdings sehr zuverlässig ein gutes Passwort. Und am besten auch noch ein ebenso guter Nutzername. Doppelt sicher ist sicherer.

Selbst für solche Crackversuche nach Methode Brute Force eingesetzte Botnetze beißen sich an guten Passwörtern und Nutzernamen die Zähne aus. Hier beispielhaft einige Wahrscheinlichkeits-Zahlenspielereien dazu. Die Wahrscheinlichkeits-Grundlagen dazu sind eindeutig und klar, variabel ist die jeweils anzunehmende Computerleistung. Auf dieser Seite möge man selbst Passwörter testweise eingeben, die angenommene Rechenleistung beträgt 10 Milliarden Berechnungen pro Sekunde.

Datenbanken, frei verfügbar (gegen Bezahlung)

Es scheint mir, dass inzwischen ein anderes Szenario deutlich an Gewicht und Bedeutung zugelegt hat: Hacker/Cracker versuchen, sich die Nutzer-Datentabellen kommerziell bedeutender Dienstleister und Shops zu beschaffen. Hierzu greift man – leider viel zu oft erfolgreich – Sicherheitslücken von Servern im Web an. Das ist wohl u.a. auch bei Paypal gelungen.

Auf diese Weise gelangen dann Tausende, Zehntausende oder noch mehr gültige Zugänge zu Dienstleistern, bei denen man irgendwelche Waren kauft oder kostenpflichtige Dienste in Anspruch nimmt, in kriminelle Hände. Das kann im schlimmsten Fällen, wenn es gelingt, die erbeuteten Datensätze wirklich nutzbar zu machen, bis hin zum Identitätsdiebstahl führen.

In einem solchen Fall nutzt einem das beste Passwort nichts, weswegen es sich dringend empfiehlt, sofort nach Kenntnisnahme des erfolgreichen ‚Hacks‘ eines Dienstleisters mindestens das eigene Passwort zu ändern! (Eventuell kann man auch den Nutzernamen ändern)

Social Engineering und Unterseiten von Büromobiliar

Social Engineering in Bezug auf geschützte Zugänge bedeutet, dass ein neugieriger Zeitgenosse interessante Aspekte aus dem Leben eines ausgespähten Opfers zu ermitteln versucht. Das kann durch reines Beobachten geschehen, in Gesprächen (auch mit Freunden, Kollegen oder Familienmitglliedern) oder durch gezieltes Suchen an beliebten Stellen: Unterseiten von Tastaturen, Rückseiten von Monitoren usw.

Gute Passwörter – wie merken?

Keine Angst vor langen, komplexen Passwörtern oder gar Passphrasen! Wir leben in modernen Zeiten und es gibt für jede erdenkliche Plattform Passwort-Manager. Mit Hilfe solcher Software-Tools verwaltet man leicht und übersichtlich alle seine Passwörter bzw. alle seine Zugänge zu Diensten aller Art. Meinetwegen auch noch die Zahlenkombinationen der Fahrradschlösser, die man verwendet. Kein Problem.

In praktisch allen Programmen dieser Art lassen sich übrigens ganz leicht sehr gute Passwörter und Passphrasen erstellen.

Die große Mehrzahl der von vielen Stellen empfohlenen Passwort-Manager sind zudem kostenfreie oder Open-Source-Software.

Allerdings sollte man eine Sache dabei bedenken:

Viele Zugänge auf vielen Geräten

Heute verwenden viele von uns nicht mehr nur den heimischen PC, sondern zusätzlich Smartphones, Tablets und/oder Notebooks. Man benötigt also auf jedem dieser Geräte einen Passwort-Manager. Viele der angebotenen Programme gibt es für verschiedene Plattformen, so dass man seine Zugänge-Datenbank auf hoffentlich allen Geräten zur Verfügung stellen kann. Das kann im ungüstigen Fall etwas manuelle Synchronisierungsarbeit bedeuten. (In meinem Fall ist das so, aber das ist mir die Sicherheit meiner Zugänge wert)

Alternativ gibt es Lösungen, wo verschiedene Passwort-Manager-Instanzen auf einen gemeinsamen Datenbestand zugreifen können, der in einer Cloud, bei einem Cloud-Anbieter ausgelagert liegt. Das ist komfortabel, aber birgt das Risiko, dass meine Datenbank auf Cloud-Servern nicht so Hack-sicher liegen wie auf meinen persönlichen Geräten. Je mehr Personen an einer Kette der Datensicherung beteiligt sind, desto unsicherer wird die ganze Angelegenheit.

Zusammengefasst zum 1. Februar:

Selbst prüfen: Wer jetzt schon gute, sichere Passwörter verwendet und nicht vom »Freigang« einer kompromittierten Datenbank eines Dienstleisters betroffen ist, sollte heute seine guten Passwörter NICHT ÄNDERN!

*) Da ich die Zeichenfolge einfach so eingetippt habe, ist sie streng genommen – mathematisch – nicht rein zufällig. Es könnte sich rein theoretisch eine ausnutzbare Systematik dahinter zeigen, die ich nicht, aber womöglich ein Algorithmus erkennen könnte.