Passwörter und Legenden

BLOG: Datentyp

Informatik, Daten und Privatsphäre
Datentyp

Scheinbare Erkenntnisse und häufige Sicherheitsmaßnahmen rund um Passwörter gehen oft an der Realität und am Stand der Technik vorbei.

Die vor kurzem erfolgte Veröffentlichung des Referentenentwurfs zum Telemediengesetz sorgte für einen Aufschrei bei Netzpolitikern und digitalen Aktivisten. Zu den Daten, die bei Verdacht auf Straftaten aber auch schon bei Ordnungswidrigkeiten an Behörden herausgegeben werden müssen, gehören auch Zugangsdaten wie Passwörter und solche Daten, die als Antworten auf Sicherheitsfragen zum Passwort-Reset dienen können.

Die Kenntnis von Passwörtern ermöglicht den Zugriff auf Benutzerkonten und die Vorspiegelung der Identität der Betroffenen, die einer Straftat verdächtig sind. Nicht selten werden Passwörter mehrfach für verschiedene Konten genutzt. So könnten bei missbräuchlicher Nutzung der Zugangsdaten im Namen der Verdächtigen scheinbar authentische Nachrichten an Dritte versandt werden oder wirtschaftliche Transaktionen vorgenommen werden, was nicht zu den zulässigen Ermittlungsmethoden von Strafverfolgern gehört. Überhaupt ist die Vorstellung, dass jeder Polizist in Benutzerkonten und privaten Nachrichten herumstöbern könnte, beunruhigend; gab es doch schon Vorfälle, bei denen ermittelnde Beamte ihren privilegierten Zugang zu Daten missbrauchten.

Werden Passwörter denn überhaupt gespeichert?

Tatsächlich liegt bereits ein Versäumnis eines Diensteanbieters vor, wenn dieser Passwörter speichert. Dafür gibt es keinen sinnvollen Grund! Es stellt vielmehr ein unnötiges Risiko dar, wenn Passwörter klar oder verschlüsselt gespeichert werden, denn solche Passwort-Datenbanken sind ein gefundenes Fressen für Datendiebe. Es genügt völlig, kryptographische Prüfsummen (sogenannte Hashwerte) für Passwörter zu speichern. Hashfunktionen haben eine Einweg-Eigenschaft: Aus Kenntnis der Prüfsumme lässt sich nicht auf das Passwort zurückschließen. Es bleibt nur das Durchprobieren von vielen Passwörtern gemäß Wörterbüchern oder Listen, um das gehashte Passwort zu ermittelt. Ist dieses jedoch ausreichend lang und zufällig gewählt, bleibt dieser Brute-Force-Angriff erfolglos.

Passwort-Hash

Wer mit Daten nicht umgehen kann, soll sich auf analoge Geschäftsmodelle beschränken!

Leider gibt es immer wieder Fälle, in denen Anbieter es versäumen, Passwörter vor dem Speichern zu hashen. Dies stellt ein fahrlässiges Verhalten dar und sollte Konsequenzen haben. Das könnten Bußgelder seitens der Datenschutzbehörden sein oder – um mal eine politische Idee zu benennen – den Entzug der Erlaubnis, Telekommunikationsdienste oder digitale Geschäftsmodelle anzubieten, bewirken. Wer mit Daten nicht umgehen kann, soll sich auf rein analoge Geschäftsmodelle beschränken. Da aber noch immer viele Passwörter gespeichert werden und weil mit sensiblen Daten Passwörter zurückgesetzt werden können, ist die unqualifizierte Herausgabe von Zugangsdaten an Behörden abzulehnen.

Fallen Sie nicht auf Top-Ten-Listen von Passwörtern herein!

In Medienberichten werden meist im Jahresrhythmus Passwort-Charts veröffentlicht. Dabei werden die von Deutschen am häufigsten verwendeten Passwörter gelistet und es wird darauf hingewiesen, dass diese Passwörter unsicher sind und dass man sichere Passwörter wählen sollte. Die Top-Ten werden sowohl in Presseberichten als auch von Vortragenden zu Sicherheitsthemen oft als Indiz herangezogen, dass die Userschaft leichtfertig und schlecht informiert Passwörter auswählt. Letzteres ist jedoch blühender Unsinn! Die Top-Ten-Liste ist überhaupt kein Indiz für die Verbreitung besonders schwacher Passwörter.

1. 123456
2. 12345
3. passwort
4. hallo123
5. geheim
[…] (typische Liste häufiger Passwörter)

Starke Passwörter haben die globale Häufigkeit 1 (es gibt sie nur einmal) und kommen daher nie in Top-Ten-Listen vor. Es spielt daher keine Rolle, ob 60% oder 99% der Bevölkerung starke Passwörter verwendet: Die Listen werden immer so aussehen wie in den Jahren zuvor und bekannte Zeichenketten aufführen. Denn häufig verwendete Passwörter und schwache Passwörter fallen begrifflich zusammen; dazu braucht es keine Statistik. Wer also darauf wartet, dass in den Top-Ten-Listen einer sicherheitsbewussten Bevölkerung irgendwann einmal starke Passwörter auftauchen, wundert sich vielleicht auch darüber, dass Temperaturrekorde meist im Sommer auftreten und dass auf der Autobahn mehr Fahrzeuge auf der linken Spur geblitzt werden als auf der rechten. Eine politische Forderung, den Verkehr auf der linken Spur aus diesem Grund ganz zu sperren, wäre übrigens so unsinnig wie wirksam, denn mehr Staus senken Tempoverstöße deutlich. Warten wir also auf den Vorschlag, die zehn häufigsten Passwörter zu verbieten.

Alle 90 Tage Passwort wechseln? Unsinn!

Eine weitere Legende rund um das Thema Passwörter ist das oft kolportierte Gerücht, dass aus Sicherheitsgründen ein regelmäßiger Wechsel des Passwortes erzwungen werden sollte. Dabei werden oft 90 Tage als etablierte Frist herangezogen. Diese Vorgabe ist gut gemeint; man hofft, dass bereits kompromittierte Passwörter von selbst verschwinden. Idee: Vielleicht wurde vor Jahren einmal ein schwaches Passwort vergeben und der Wechsel schließt nun die Lücke. Es fehlt jedoch nicht nur ein Nachweis für die These, dass der erzwungene Wechsel wirksam ist. Nach Stand von Wissenschaft und Technik ist der erzwungene Wechsel vielmehr ein Risiko: Er setzt Menschen unter Druck, rasch Passwörter zu wählen, die sie sich schnell merken können bzw. Passwörter zu notieren bis hin zum kleinen Zettel, der unter der Tastatur aufbewahrt wird. Was soll man auch sonst tun, wenn man zur Unzeit und gestresst zum Wechsel genötigt wird?! Die Empfehlungen gut informierter Behörden wie deutscher Datenschutzbehörden oder auch des BSI sehen daher inzwischen keinen erzwungenen Wechsel mehr vor und raten davon ab. Vielmehr sollten die Nutzer anlassbezogen das Passwort wechseln, beispielsweise, wenn sie vermuten, dass jemand die Eingabe beobachtet haben könnte.

Okay, der Anbieter soll keine Passwörter speichern. Darf ich das denn?

Als Nutzer sollten Sie nicht nur sichere Passwörter wählen. Sie können sie auch beruhigt speichern, dann aber verschlüsselt mit einem Master-Passwort oder sonst in einem sicheren Datencontainer. Dann brauchen Sie nur noch dieses eine Master-Passwort auswendig zu wissen oder im Safe zu lagern, falls Sie vergesslich sind. Die damit verschlüsselte persönliche Passwort-Datenbank können Sie überall dort ablegen, wo Sie sie brauchen. Es spricht dann auch nichts mehr gegen eine Filecloud, um Ihre privaten wie dienstlichen Passwörter sicher abzulegen. Freie Lösungen dafür sind beispielsweise KeeWeb (plattformübergreifend) oder auch Browser-basierte Mechanismen wie z. B. das Masterpasswort beim Firefox-Browser. Damit können Sie die Passwörter bequem in die Formularfelder kopieren und müssen sie nicht mehr umständlich eintippen.

Alternativen zum Passwort

Wenn Sie die Möglichkeit haben, sollten Sie eine Zwei-Faktor-Authentisierung aktivieren. Diese kombiniert zwei Sicherheitsmechanismen, so dass beispielsweise neben der Kenntnis eines Passwortes oder einer einfachen PIN auch der Besitz des persönlichen und entsperrten Smartphone über eine App nachgewiesen wird. Der Passwortdieb kann dann nicht auf das Konto zugreifen, wenn er nicht gleichzeitig auch das Handy klaut – und selbst dann ist er ohne Entsperrmöglichkeit meist machtlos. Diesen Service bieten inzwischen viele Social-Media-Anbieter an und auch bei dienstlichen Zugängen entwickelt er sich langsam zum sicheren Standard.

Passwort

Wenn es Ihnen schwer fällt, sich regelmäßig sichere Passwörter auszudenken, lassen Sie sich diese von Computern generieren! Die zuvor genannten Lösungen zum sicheren Speichern von Passwörtern können dies ebenfalls erledigen. Es erscheint Ihnen vielleicht paradox, aber: Computer sind perfekt darin, Passwörter zu erzeugen, die kein anderer Computer auf der Welt jemals herausfinden wird!

Ulrich Greveler

”The purpose of computing is insight, not numbers.” (Richard Hamming) Ulrich Greveler studierte in Gießen Mathematik und Informatik, arbeitete sechs Jahre in der Industrie im In- und Ausland, bevor er als Wissenschaftler an die Ruhr-Universität nach Bochum wechselte. Seit 2006 lehrt er Informatik mit dem Schwerpunkt IT-Sicherheit an der Fachhochschule Münster (bis 03/2012) und der Hochschule Rhein-Waal (seit 03/2012). Sein besonderes Interesse gilt datenschutzfördernden Technologien und dem Spannungsverhältnis zwischen Privatsphäre und digitaler Vernetzung.

15 Kommentare

  1. Meiner Meinung nach ist 2FA überhaupt gar keine Lösung für irgendwas, sondern eine Verschärfung des Problems (aus Nutzersicht! Anbieter können natürlich wie immer “profitieren”). Ich *will* als Nutzer auf gar keinen Fall eine weitere Tracking-Möglichkeit über die Telefonnummer (oder biometrische Daten oder sonstwas…) für irgendwelche anonymen “Anbieter” eröffnen. Wenn, wie richtig beschrieben wurde, irgendwelche “Anbieter/Plattformen” schon Passwörter fälschlich speichern (und IP-Nummern und Cookies und Fingerprints undundund…) und dies natürlich auch immer ohne Kenntnis/Wissen des Nutzers, dann ist eine weitere personifizierbare Datenmasse zum Verwerten nur eine weitere Quelle des Missbrauchs. 2FA ist für Nutzer SCHLECHT!

    • Den Punkt den Sie ansprechen, hatte ich beim Lesen des Artikels vollständig verdrängt. Gut, dass Sie das nochmal anmerken, denn Richtig! Mehr Daten für Unbekannte.
      Oft entwickelt sich aus (beabsichtigt oder nicht beabsichtigt) selektiver Berichterstattung ein vermeintlicher, nicht zu Ende gedachter Lösungsansatz, der womöglich unreflektiert zur Anwendung kommt. Schnelles Zeitalter.
      Daher Danke fürs Aufpassen!

      Diese Antwort hat mich die Preisgabe meine Email-Adresse gekostet

  2. Eine Frage habe ich zum Thema Zugangsdaten der Telekom/T-online. Sind da die Daten einschliesslich Passwörter gespeichert, daß man sie auslesen kann? Es gab doch Meldungen, daß diese im Internet angeboten wurde.

    Gruss
    Rudi Knoth

  3. Sog. Passwörter können gehärtet werden, korrekt, für den Fall, dass ein Angreifer bereits in einem Gerät sitzt, können mehrere Geräte, eben härtend für den Sicherheitskontext, verwendet werden.
    Sog. Brute-Force-Angriffe sind eher ein geringes Problem, denn die Authentifizierungssysteme können sie bemerken und reagieren.
    Insgesamt sind Authentifizierungssysteme gefordert den Nutzer zu zwingen komplexe Kennwörter anzulegen, wobei von ihnen auch auf Datenbasen mit häufig genutzten Kennwörtern zurückgegriffen werden kann.
    Das forcierte Ändern von Kennwörtern nach einigem Zeitabstand ist theoretisch nicht angewiesen, kann praktisch aber die Sicherheit erhöhen, es hängt vom zu schützenden Gegenstand ab.
    Kennwörter sind auf Anbieterseite zu “hashen”.
    MFG + weiterhin viel Erfolg
    Dr. Webbaer

    • Sog. Brute-Force-Angriffe sind eher ein geringes Problem, denn die Authentifizierungssysteme können sie bemerken und reagieren.

      Auch da irrt “Dr. Webbaer”.

  4. In diesem Sinnzusammenhang ergänzend aktuelle bundesdeutsche Politik webverwiesen :

    -> https://www.tagesspiegel.de/politik/umfassende-ueberwachungsrechte-fuer-den-staat-datenschuetzer-sehen-durch-passwort-herausgabe-grundwerte-in-gefahr/25339980.html

    ‘Hass’ ist aus liberaler Sicht natürlich erlaubt, wie Liebe nicht gut sein muss, kann Hass nicht schlecht sein müssen, es geht hier bundesdeutschen politischen Spitzenkräften, auch dem Bundesjustizministerium, um ein mehr an Überwachung.
    Mehr ist nicht los.

    MFG – WB

  5. Mahlzeit,

    komplexe Passwörter sind völliger Mumpitz. Passwörter müssen nur ausreichend lang sein.

    Beispiel:
    Passwort komplex 10 Zeichen lang – Groß- und Kleinbuchstaben, 10 Ziffern und sagen wir 10 Sonderzeichen zur Auswahl -> 72^10 = 3,743906243×10¹⁸ mögliche Kombinationen

    Passwort nicht komplex 13 Zeichen lang – nur Kleinbuchstaben und Leerzeichen -> 27^13 = 4,0526×10¹⁸ mögliche Kombinationen

    Also, nehmt einfach einen einfachen Satz und den dann als Passwort. Kann man sich gut merken und ist kaum zu knacken.

    “meine mutter heißt barbara” -> 27^26 = 1,642320327×10³⁷

    Viel Spaß damit.

    Gruß
    Klaus

    • Denkbar ist schon, dass einbrechende sog. Brute-Force-Algorithmen Komposita gezielt suchen.
      Ansonsten macht Länge den Braten nicht fett, irgendein Passwort, das mit ‘qwert’ beginnt, und so weiter macht, ist potentiell unsicher.
      Ansonsten liegen Sie richtig, Kommentatorenfreund Klaus Bärbel, die dbzgl. einzubrechen versuchenden Algorithmen klappern sozusagen bekannte Kennwörter ab, sofern ihnen dies vom Anbieter-System erlaubt wird.
      MFG – WB (dessen Mutter Barbara hieß)

    • Das ist eine Moeglichkeit, Passwoerter zu generieren, die Rechnung ist allerdings falsch. Sprache hat eine Entropie im Bereich von 2 Bit pro Buchstabe.

      Oder anders beschrieben:

      Typische Menschen haben einen Sprachwortschatz im Bereich von 10.000 = 10^4 Woertern. Wenn man vier Woerter aneinanderreiht, ergibt sich eine Gesamtauswahl in der Groessenordnung von 10^16. Selbst wenn man noch ein paar Kleinigkeiten dazuaddiert (z.B ein Faktor 2 wegen Leerzeichen vs. ohne Leerzeichen) ist das Welten entfernt von 10^37, auch wenn es, zumindest bei gehaerteten Hash-Funktionen, immer noch ausreichen sollte, um eine Brute-Force-Attacke abzuwehren.

      Angeblich soll es auch Moeglichkeiten geben, Brute-Force-Angriffe auf genau dieses Szenario einzustellen, aber da weiss ich dann nichts Genaues mehr.

      • Sprache hat eine Variabilität von n-Buchstaben von n möglichen.
        Zudem dürfen qua Tastatur auch Sonderzeichen genutzt werden.
        Dbzgl. Variabltiät meint dann einen deutlich höheren Informationsgehalt als 2 Bit pro Buchstabe.

        Ist abär auch egal, begriffen worden ist wohl allgemein, dass Kennwörter individuell zu generieren sind, nicht abgeschrieben werden müssen und auch nicht festen Regeln, bspw. dem Geburtsort und dem Geburtsdatum folgend zu entwickeln sind.

        MFG – WB

  6. Dass man Passwörter nicht speichern muss, sondern einen Hash erzeugt, der dann geprüft wird, wußte ich noch nicht. Ich arbeite zwar schon seit meinem Studium (ca. 20 Jahren) am und mit dem Computer, aber mit Sicherheitstechnik kenn ich mich nicht besonders gut aus. Danke für die Aufklärung!

    Mir stößt jedoch der Begriff Authentisierung unangenehm auf. Das Wort habe ich noch nie gehört. Eine kurze Recherche ergab, dass Fachleute offenbar unterscheiden zwischen dem Vorgang 1. eine Identität zu behaupten (Authenthisierung) und 2. die Identität zu prüfen (Authentifizierung).

    Ich verstehe ja, dass Fachleute dazwischen unterscheiden müssen, aber mich verwirrt das nur. Für mich ist das Wortklauberei. Zumal es lt. Wikipedia auf Englisch nur ein Wort gibt (authenticate).

    Für mich ist das Anmelden mit Passwort eine Authentifikation (oder Authentifizierung). Diese beiden Begriffe sind auch allgemein bekannt und jeder weiß, was damit gemeint ist. Fachbegriffe tragen nicht zum allgemeinen Verständnis bei sondern verwirren nur.

    Gruß
    Olaf

    • Ischt schon wichtich, die dbzgl. Schichtentrennung, vergleiche :

      Mir stößt jedoch der Begriff Authentisierung unangenehm auf. Das Wort habe ich noch nie gehört.

      Ein Teilhaber bei einem (gesellschaftlichen) System wird authentifiziert um dann mit bestimmten Rechten versehen autorisiert zu werden. [1]
      ‘Fachbegriffe tragen [] zum allgemeinen Verständnis bei [..,]’ – Dr. W. musste hier ein wenig schmunzeln, danke für Ihre Nachricht, Kommentatorenfreund ‘Olaf’,
      weihnachtliche Grüße
      Dr. Webbaer

      [1]

      Die Authentifizierung meint letztlich die Identifizierung, es darf an dieser Stelle mit Verfahren wie dem Postident verglichen werden.

  7. Noch zwei weitere Gedanken:

    Zum Einen gibt es Dienste, wo ich gezielt schwache Standardpasswoerter verwende, weil ich sie selten nutze und die Auswirkungen einer Kompromittierung (fuer mich) ueberschaubar sind. Beispielsweise muss man sich fuer das Submitten von Papers bei dem entsprechenden Verlag gerne mal einen Account besorgen. Dort schaue ich dann in den folgenden Monaten fuenfmal rein (hochladen Reviewer-Kommentare abholen, Antworten an die Reviewer abschicken, gelegentlich den Status pruefen), dann liegt der Account erstmal jahrelang brach.

    Das Schlimmste, was ein Angreifer hier machen kann, ist, den Publikationsprozess zu sabotieren, und wenn sich jemand diese Muehe macht, laesst sich das auf dem kurzen DIenstweg per Anruf klaeren, und ich habe wahrscheinlich groessere Probleme als irgendwelche ungueltigen Submissions. Speichern will ich das Passwort auch in einem Passwort-Manager nicht, das ist mir zuviel Muehe, also bekommt der Account ein 08/15-Passwort, das ich auch nach Jahren noch erraten kann.

    Zum Anderen gibt es bei haeufigen Passwort-Wechseln eine nette Strategie: Kein Mensch uerberlegt sich viermal im Jahr ein vernuenftiges neues Passwort, also faengt man einfach an, das alte zu verwenden und eine “1” ranzuhaengen oder aehnliche primitive Transformationen zu machen. Das laesst sich schwer unterbinden und reduziert den theoretischen Sicherheitsgewinn ziemlich stark.

Schreibe einen Kommentar