Wer kennt die Situation nicht: Unabhängig vom geschäftlichen oder privaten Umfeld werden immer mehr und mehr Themen im Internet abgewickelt. Sei es Online-Shopping, Video-Streaming, Bankgeschäfte oder einfach der Abruf von E-Mails. Zu jedem Dienst und zu jeder Tätigkeit im Internet gehört immer ein Set an Passwort-Daten, typischer Weise bestehenden aus Benutzername und Passwort.
Auch im geschäftlichen Umfeld übergebe ich dem Kunden nach Installation der Infrastruktur-Komponenten die gesetzten Passwörter. Viele Monate später findet man diese in Excel-Tabellen, in ausgedruckter Form in einem Akten-Ordner, offen zugänglich für jedermann oder noch viel schlimmer die Passwörter sind verloren.
Ich habe gerade mal meine privaten Passwort-Speicher ausgewertet und bin auf 247 Einträge gekommen! Gut, das mag wohl über dem Durchschnitt liegen. Es soll aber veranschaulichen, dass man ohne Hilfsmittel hier nicht mehr der „Herr der Lage“ werden kann.
Somit greift man bei der Erstellung des Passworts zunächst auf bereits bekannten Methoden zurück wie z.B. eine Kombination aus Name und einem Datum/Jahr. Zudem sind einfache Abfolgen von Zahlen oder Buchstaben wie „12345“ oder „qwertz“ nicht ungewöhnlich und laufen einem immer wieder über den Weg. Des weiteren sind persönliche Informationen wie der eigene Name oder ein bestimmtes Datum sehr beliebt.
Sicherheit gegen Bequemlichkeit
Das Thema der Passwort-Sicherheit ist an sich ein Thema was schon seit dem Verwenden von Zahlenschlössern existiert. Im Laufe des voran schreitenden Zeitalter der Digitalisierung nimmt die Nutzung von Passwörtern und die damit nötigen Sicherheitsmaßnahmen immer mehr zu.
Um das Thema der Passwort-Sicherheit zu veranschaulichen nehme ich immer gerne das Beispiel aus dem Film Spaceballs aus dem Jahre 1987 von Mel Brooks. In dieser Szene geht es darum, dass die böse gesinnten „Spaceballs“ vom König des Planeten Druidia die Kombination für den Luftschild erpressen wollen.
Das Video ist ein lustiges und sehr gutes Beispiel um vier entscheidende Themen zu veranschaulichen:
- frei Übersetzt: „Also so eine blöde Kombination habe ich ja noch nie gehört“
- Das gleiche Passwort wird für mehrere Zugänge benutzt (Luftschild und Koffer)
- Es werden einfach Zahlenfolgen verwendet (12345)
- Sobald dies einmal bewusst geworden ist, entsteht die Motivation etwas daran zu ändern (Es soll die Kombination vom Koffer geändert werden)
In der nachfolgenden Grafik wird genau dieses These nochmals untermauert. Es ist schlicht eine unlösbare Aufgabe den steigenden Anforderungen, sowie dem Thema der Sicherheit nachzukommen. Viele fühlen sich mit dem Thema einfach überfordert und suchen daher nach einfachen Lösungen.
Passwort-Leaks im Internet
Jetzt erwischt man sich garantiert bei dem Gedanken: „Aber mir passiert so etwas nicht…“. Dabei gab es in der Vergangenheit (sowie in der Zukunft in immer kürzeren zeitlichen Abständen) sog. Passwort-Leaks im Internet bei denen Millionen Zugangsdaten von Big-Playern wie z.B. Yahoo oder Facebook veröffentlicht werden. Sprich man muss nicht einmal selbst dafür die Verantwortung tragen, das sein Passwort in falsche Hände gerät. Bei solchen Leaks entstehen für die Unternehmen nicht selten ein Schaden in Millionenhöhe. Dennoch kann jeder selbst einen Beitrag für ein bisschen mehr Sicherheit leisten, in dem man regelmäßig die Passwörter für seine Online-Zugänge wechselt, „starke“ Passwörter verwendet und ebenfalls unterschiedliche Zugangsdaten nutzt.
Ob man nun selbst betroffen ist, kann man eigentlich nie genau sagen. Über den folgenden Link kann man unter Angabe einer E-Mail Adresse feststellen, ob man bereits ein Opfer von bekannten Daten-Leaks geworden ist (wobei diese Informationen nicht immer auf dem aktuellen Stand sind). Sofern man aber hier einen Treffer landet sollte man schleunigst handeln!
Ich durfte mal in den Genuss kommen einen Vortrag von Marco Di Filippo beizuwohnen. Die angesprochen Punkte seiner Live-Hacking Session kann man sehr gut auf dieses Thema projizieren. Je schwieriger ein Passwort zu „knacken“ ist und je häufiger man dieses wechselt, um zu schwieriger ist es auch Opfer einer Hacking-Attacke zu werden. Daher ist es beim Thema der Passwort-Sicherheit enorm wichtig möglichst wenig Angriffspunkte gegenüber Dritten zu präsentieren.
„Was schätzen Sie? Von 1000 Personen, wie viele müssen auf einen Phishing-Versuch hereinfallen um Erfolg zu haben? Genau 1 Person.“
Marco Di Filippo, Computer-Enthusiast, madifi.de
Wie sicher ist mein Passwort?
Nun ist eines klar: Passwörter sind ein Übel, aber ein notwendiges Übel. Doch was ist ein sicheres Passwort? Hierbei kann man sich an fünf einfachen Grundregeln für sichere Passwörter orientieren:
- Mindestens 8 Zeichen
- Groß- und Kleinbuchstaben verwenden
- Zahlen verwenden
- Sonderzeichen verwenden
- Leicht zu erratende Begriffe vermeiden (wie z.B. Name, Orte, Zahlenfolgen oder Geburtsdatum)
Eine weitere Methode ist das Bilden von einfachen Sätzen. Man kombiniert anschließend das Passwort aus den Anfangsbuchstaben des gewählten Satzes wie folgendes Beispiel zeit:
Mein Passwort ist sicher, weil ich mir nur 1 Satz merken muss ! = MPis,wimn1Smm!
Und zu guter letzt ist es die oberste Regel sein Passwort natürlich geheim zu halten. Wieder zur Veranschaulichung ein weiterer Videobeitrag um zu zeigen, wie man es NICHT! machen sollte.
Das nächste (vielleicht schon bekannte) Thema ist einfach die menschlich Eigenschaft sich erst einmal gegen Veränderung jeglicher Art auszusprechen. Ein Sprichwort sagt: „Der Mensch ist ein Gewohnheitstier“. Daher wird beim Passwortwechsel oft das ursprüngliche Passwort her genommen und einfach um ein neues Zeichen erweitert. Aus dem Blickwinkel der Sicherheit betrachtet ist dies natürlich wieder mal ein Schritt in die falsche Richtung. Viel mehr sollte man wieder die Sicherheit vor die Bequemlichkeit stellen, wie im Kapitel zuvor dargestellt.
Diese Thematik wird natürlich wieder durch weitern Filmausschnitt unterstützt. Dieses mal aus dem Film The Hangover: Part II. In dieser Szene wird der Deal mit dem Gangster-Boss per elektronischer Überweisung getätigt.
Wie sicher ein Passwort nun wirklich ist, kann man mit der nachfolgenden Webseite herausfinden. Als Ergebnis bekommt man die Zeit genannt, die ein Standard-PC benötigen würde um das Passwort zu errechnen. Des weiteren werden sinnvolle Verbesserungsvorschläge zu dem eigegebenen Passwort mitgegeben.
Passwortmanager
Um bei der Vielzahl der nun entstehenden Passwörter nicht den Überblick zu verlieren, empfiehlt sich eine Passwortmanager Software. Ob nun lokal als Software oder als Dienst in der Cloud, gibt es eine Vielzahl von Produkten auf dem Markt. Natürlich stellt sich auch hier die Frage ob man die Passwortmanager-Dienste aus der Cloud, unter dem Aspekt der Sicherheit nutzen möchte, bleibt jedem selbst überlassen. Sowohl die lokale Variante, als auch die Nutzung der Cloud haben Vor- sowie auch Nachteile. Im nachfolgenden Link findet sich ein Artikel des Magazins c´t zum diesem Thema.
Dennoch möchte ich auf eine immer lauernde Gefahr bei der Thematik der Passwortmanager hinweisen. Es geht um das automatische Speichern von Passwörtern im Internet-Browser wie z.B. Chrome, Edge oder Firefox. Auch hier schlägt die Bequemlichkeit wieder zu Gute! Sobald man ein Passwort im Browser über eine Anmeldemaske eingibt wird einem direkt vorgeschlagen, ob man diese gleich abspeichern möchte. Das ist für den Anwender super einfach und das Angebot wird dankend angenommen. Allerdings stellt sich hier keiner die Frage, wo das Passwort gespeichert ist, wie der Datensatz abgesichert ist und was im Falle eines Verlustes (z.B. durch Update oder Neuinstallation des Browsers) mit den gesammelt Daten geschieht. In den meisten Fällen klingelt dann mein Telefon und man darf die Browser-Daten aus Backups oder mit anderen Tricks wieder aufwendig rekonstruieren. Darüber hinaus sind solche Mechanismen in Browsern leicht angreifbar, wie im nachfolgenden Artikel der SySS detailliert dargestellt.
Der zweite Faktor
Ähnlich wie das Sinnbild von Schlüssel und Schloss zur Darstellung von Passwörtern verwendet wird, so gibt es für Zugangsdaten auch eine „mechanische“ Lösung, um diese Thematik etwas benutzerfreundlicher zu machen. Die Rede ist hier von einem zweiten oder mehreren Faktoren (2FA = two factor authentication / MFA = multi factor authentication) welcher als weitere Autorisierung des Benutzers bzw. zur Nutzung des Passwort-Datensatzes verwendet werden kann. Zum Einsatz als weiteren Faktor kann alles mögliche verwendet werden wie z.B. SMS-Code, Hardware-Tokens, mobile App, biometrische Daten wie Fingerabdrücke usw. Dies macht durchaus Sinn, um z.B. seinen Passwortmanager oder andere Dienste zusätzlich abzusichern.
Was man in diesem Umfeld immer wieder zu hören bekommt, ist die Abschaffung des Passwörter mit sog. FIDO2-Tokens. Es handelt sich hierbei um USB-Sticks zur sicheren Identifizierung. Hiermit ist es möglich unter Einsatz dieses Gerätes nach dem Prinzip von Schlüssel und Schloss sich Zugang ohne weitere Eingabe von Passwörtern zu ermöglichen. Natürlich ist es hier wie mit jedem Schlüssel, er kann verloren gehen oder zwecks der verwendeten Elektronik einfach einen Defekt haben. Daher sollte man sich immer eine Rückfalloption mit einem Passwort offen halten. Daher steht man sprichwörtliche wieder auf den „alten Füßen“.
:quality(90)/images.vogel.de/vogelonline/bdb/1658500/1658586/original.jpg)
Das der zweite Faktor als zusätzliche Absicherung stark im Kommen ist, macht sich seit Herbst 2019 mit dem Inkrafttreten der europäischen Zahlungsdienstrichtlinie PSD2 bemerkbar. Ein Bestandteil ist die verpflichtende „starke Kunden Authentifikation“ über einen zweiten Faktor. Im Falle der Banken läuft dies über das bereits etablierte TAN-Verfahren. Bei Zahlungsdienstleistern wie PayPal werden hier mehrere Methoden von SMS-Code bis Smartphone App angeboten. Auf jeden Fall ist der zweite Faktor für den Bereich von Zahlungen und Finanzen mittlerweile verpflichtend und wird weiter ausgebaut.
Fazit
Bei dem Thema der Passwörter ist die entscheidenden Frage, wie mit jedem IT-Security Thema: Wie viel Sicherheit ist sinnvoll? Am Ende machte es einfach eine sinnvolle Mischung aus verschiedenen Schutzmaßnahmen, welche dem Einsatzzweck angemessen sind. Dies gilt sowohl im privaten als auch im geschäftlichen Umfeld. An den gesunden Menschenverstand sollte ebenfalls appelliert werden. Denn mit ein paar kleinen und einfachen Verhaltensregeln kann man seine digitale Welt wieder ein großes Stück sicherer machen. Hierzu erinnert einmal pro Jahr der Welt-Passwort-Tag, welcher immer am ersten Donnerstag im Mai stattfindet.
Abschließend möchte ich eine Eselsbrücke für drei weitere Regeln im Umgang mit Passwörter nun mit auf dem Weg geben. Das ganze wird in den folgenden Plakat der Maastricht Universität sehr passend beschrieben:
Treat your passwords like your underwear / Behandle deine Passwörter wie deine Unterwäsche
- Never share them with anyone / Teile Sie mit keinem
- Change them regulary / Wechsele Sie regelmäßig
- Keep them off your desk / Lasse sie nicht auf dem Schreibtisch liegen
