Alle Treffer anzeigen
Dieses Fenster schließen

Schlüsseldienst: Das sichere Passwort

Kolumne

11.11.2013
schluesseldienst_maxkabakov.jpg.png
schluesseldienst_maxkabakov.jpg.png

Von Prof. Dr. iur. Tobias O. Keber

 

Der NSA-Abhörskandal hat vor allem eines gezeigt: die Nutzer müssen den Schutz ihrer Daten selbst in die Hand nehmen. Diese Erkenntnis setzt sich mittlerweile auch in der breiten Bevölkerung durch. Im August offenbarte eine in der SPON-Netzwelt vorgestellte Forsa-Studie noch das verblüffende Ergebnis, dass auf die Frage "Haben Sie Ihr Verhalten bei der Kommunikation im Internet aufgrund der bekannt gewordenen Abhöraktionen verändert oder nicht?" 89 Prozent der Befragten mit "Nein" geantwortet haben. Bei Heise war dann im Oktober zu lesen, eine aktuelle Umfrage von Yasni mit ähnlicher Fragestellung habe ergeben, dass 47 % der Befragten angegeben haben, nunmehr weniger online zu sein bzw. Verschlüsselungs- und Anonymisierungsdienste einzusetzen.

 

In der Informationsgesellschaft bedarf es digitaler Mündigkeit. Dazu werden mehr als bloß marginale technischer Kenntnisse von IT-Infrastruktur und Funktionsweise der Anwendungsprogramme benötigt. Wer nicht programmieren kann, läuft Gefahr, selbst programmiert zu werden, formulierte der Medientheorethiker Douglas Rushkoff unlängst scharf. Hier setzt diese Kolumne an. Hierbei kann und will sie nicht in die Tiefen der Informatik hinabtauchen, sondern die erforderlichen Schlüsselkompetenzen im Netz leicht verständlich und auch für Nicht-Techniker nachvollziehbar vermitteln.

 

Vorgestellt werden künftig plattformübergreifend gängige Dienste und Anwendungsprogramme rund um das Thema und aus der Perspektive Sicherheit im Netz. Die NSA Affäre hat auch gezeigt, dass der Einsatz nichtkommerzieller Dienste und Software gegenüber proprietären Systemen und Diensten vorzugswürdig sein kann. Daher wird es künftig auch darum gehen, Alternativen zu Google, WhatApp, Facebook & Co vorzustellen.

 

Schlüsseldienst Folge 1: Das Sichere Passwort

 

Unabhängig davon, ob es um den Zugang zum System (Desktop, Tablet, Smartphone), zum hauseigenen W-Lan oder zu Online-Diensten geht, das Passwort ist Nukleus der Sicherheit im Netz.

 

Die Passwort-Apokalypse

 

Im vergangenen Jahr berichtete der Journalist Mat Honan im US-amerikanischen Technik-Magazin „Wired“, wie binnen einer Stunde seine Apple-, Gmail, und Twitter-Accounts gehackt wurden. Sämtliche Daten auf Honans Apple Geräten, einschließlich aller dort gespeicherten Fotos seiner achtzehn Monate alten Tochter, wurden ferngelöscht. Dabei war er bei der Wahl seiner Passwörter für die drei Dienste nicht einmal leichtfertig gewesen. Er hatte keine allzu kurzen Passwörter benutzt (7, 10 und 19 Zeichen lang) und Kombinationen aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen gewählt. Honans Problem war, dass die Accounts untereinander verbunden waren („daisy-chained-account“). Sobald die Hacker Zugang zu dem Account mit dem relativ schlechtesten Passwort erhalten hatten, konnten sie sich mit den dort gefundenen Informationen weiter vorarbeiten.

 

Honan zeichnet in seinem Beitrag ein apokalyptisches Bild der Passwortsicherheit. In der Tat verfügt heute jeder handelsübliche Laptop über so viel Rechenleistung, dass er sich hocheffektiv für Brute-Force-Angriffe einsetzen lässt. Schlecht gewählte Passwörter knacken findige Computer-Kids innerhalb von Sekunden. Wenn sie es überhaupt knacken müssen. Zum gleichen Ziel wie Password-Hacking führen Passwort-Diebstahl und Passwort-Umgehung. Die Aufsehen erregenden Passwort-Hacks des Sony-Playstation Networks 2011 und jüngst des Cloud-Notizspeicherdienstes Evernote machen deutlich, dass es mit Security-Awareness auf Userseite nicht getan ist. Selbst wenn sich der User ein als sicher geltendes Passwort überlegt, hilft das nicht weiter, wenn es in der Datenbank des Diensteanbieters nur unzureichend verschlüsselt abgelegt ist.

 

Was aber bedeutet das Gesagte für unseren Alltag und unseren digitalen Schlüsselbund, mit dem wir uns Zutritt zu E-Mail Postfach, Online-Kaufhaus, Partnerbörse und Kreditinstitut verschaffen? Ein Abgesang auf die Passwortsicherheit hilft wenig, solange Alternativen, etwa Zugangssicherungen durch biometrische Verfahren oder Multi-Faktor-Authentifizierung noch nicht flächendeckend verfügbar sind bzw. auch diese Sicherheitsrisiken bergen (Vgl. hierzu die Diskussion um den Fingerabdrucksensor des I-Phone 5s).

 

Ein sicheres Passwort: „Key-Facts“

 

Zunächst muss man sich klarmachen: Passwörter befinden sich in einem mehrdimensionalen Zielkonflikt. Ist das Passwort leicht zu merken, ist das bequem, aber nicht sicher. Ebenso bequem aber unsicher ist es, Passwörter für mehrere Dienste parallel einzusetzen. Lange Passwörter sind schwer zu memorieren, daher unbequem aber tendenziell sicherer. Die Privatheit kommt als dritter Faktor ins Spiel. Würden all unsere Handlungen lückenlos überwacht, bedürfte es keiner Passwörter, denn dann ließe sich auf anderem Wege gewährleisten, dass sich nur Berechtigte Zugang zu einem bestimmten Dienst verschaffen können. Das wäre das Ende der Privatheit. Will man sie bewahren bleibt nur, das Passwort zwischen Bequemlichkeit (leicht zu merken) und Sicherheit sinnvoll auszutarieren.

 

#Passwort-Dos

 

  • Für die Länge des Passworts gilt grundsätzlich: je länger desto sicherer. Bis vor kurzem hielt man eine Zeichenlänge von 8 für ausreichend, heute sollten es mindestens 12 Zeichen sein. Sensible Bereiche, etwa die Verschlüsselung des hauseigenen W-Lans, verlangen mindestens 20 Zeichen.
  • Verwenden Sie für Ihr Passwort zwingend Groß- und Kleinbuchstaben, Sonderzeichen sowie Ziffern.
  • Eine brauchbare Methode, ein memorierbares Passwort zu erstellen ist, sich in einem ersten Schritt einen hinreichend langen Satz zu überlegen. Am besten, es ist kein geläufiges Zitat, sondern etwas Höchstpersönliches. Beispiel: Jeden Sonntag gehe ich mit meinen Freunden Dirk und Peter im Wald laufen. Im zweiten Schritt wird der jeweils 1. Buchstabe der Worte des Merksatzes herausgegriffen. Das wäre dann im Beispiel jSgimmFDuPiWl. Nun sollte man noch Sonderzeichen und Ziffern einfügen. Also etwa: jSg1mmFD&P1W!.
  • Ein schönes Bild zu zwei wichtigen Aspekten der Passwort-Sicherheit liefert der Autor Clifford Stoll: „Treat your password like your toothbrush. Don't let anybody else use it, and get a new one every six months.” Insbesondere der turnusmäßige Wechsel von Passwörtern wird von vielen Usern vernachlässigt.
  • Um den Sicherheitsgrad eines Passworts abschätzen zu können, ist ein Dienst wie howsecureismypassword.net gegebenenfalls hilfreich. Berücksichtigen Sie aber zwingend den Hinweis auf der Seite: “This site could be stealing your password... it's not, but it easily could be. Be careful where you type your password.”
  • Soweit ein Dienst eine Zwei- oder Multi-Faktor Authentifizierung anbietet, nutzen Sie diese!
  • Verzichten Sie auf die Nutzung von Namen und Geburtsdaten der Familie, von Freunden und Bekannten. Diese Informationen lassen sich, selbst wenn Sie sich nur zurückhaltend im Internet exponieren leicht beschaffen.
  • Verzichten Sie auf Begriffe aus dem Wörterbuch. Selbstverständlich gilt dies nicht nur für den „Duden“, sondern auch für Fremdsprachenwörterbücher denn mit diesen lassen sich Hackertools genauso gut füttern.
  • Verzichten Sie auf einfache Muster (asdfgh oder 1234abcd)und Standard-Substitutionen. Durch Ersetzung des Buchstabens „a“ durch ein „@“, von „s“ durch eine „5“ sowie des „o“ durch die Ziffer „0“ wird aus „password“ beispielsweise „p@55w0rd“. Diese Technik („leetspeak“) kommt ursprünglich aus der Hackerszene. Das ist auch der Grund, weshalb der Einsatz dieser Standardsubstitutionen nur sehr bedingt ein Mehr an Sicherheit mit sich bringt. Hackerprogramme fragen sie längst automatisiert ab.
  • Es versteht sich von selbst, dass man Passwörter nicht notieren oder kommunizieren sollte. Überlegen Sie: mit der Geheimzahl Ihrer EC-Karte würden Sie das auch nicht tun.
  • Auf keinen Fall sollten Sie Passwörter mehrfach verwenden. Das ist grob fahrlässig. Selbstverständlich wird ein Angreifer den erfolgreichen gehackten oder gestohlenen Schlüssel auch bei ihren anderen virtuellen Türen einsetzen. Wenn Sie davon Kenntnis erlangen, dass einer ihrer Accounts gehackt wurde, erneuern Sie zur Sicherheit alle ihre Passwörter!
  • Voreingestellte Passwörter müssen zwingend geändert werden. Wenn der neu angeschaffte W-Lan Router werksseitig mit WPA2 Verschlüsselung und voreingestelltem Passwort ausgeliefert wird, ist das bequem aber eben nicht sicher.
  • Verzichten Sie soweit möglich darauf, sensible Passwörter (Bsp. Mail-Account) auf öffentlich zugänglichen Systemen einzugeben. Sie müssen damit rechnen, dass auf diesen Geräten Keylogger laufen.
  • Eine zentrale Schwachstelle, aber ein notwendiges Übel für den Fall, dass man das eigene Passwort vergessen hat, ist die Passwortwiederherstellung (password recovery). Hierfür werden Sicherheitsabfragen eingesetzt, die man zuvor ausgewählt hat. Beispielsweise könnte die Sicherheitsabfrage „Welches ist Ihr Lieblingstier“ gewählt worden sein. Es ist dann keine gute Idee, die Antwort auf diese Frage im Klartext zu formulieren. Dass man ein Hundefreund ist, sollte man also nicht durch Eingabe von „Hund“, sondern durch weiteres „verschlüsseln“ der Antwort zum Ausdruck bringen. Ein Beispiel wäre, sich des wissenschaftlichen Namens des besten Freundes des Menschen zu bedienen und die Buchstaben in „Canidae“ dann teilweise zu substituieren. Die Antwort auf die Sicherheitsabfrage lautet dann nicht mehr „Hund“, sondern „C@n1d@3“.
  • Richten Sie sich eine spezielle E-Mail Adresse für password recoveries ein. Wählen Sie hierfür einen deutschen Anbieter, verwenden Sie nicht Ihren Namen in der E-Mail Adresse und nutzen Sie diese Adresse nicht für anderweitige Kommunikation.
  • Verwenden Sie kein Passwort aus der „Worst Password ever Liste“ , die Mark Burnett zusammengetragen hat.

 

#Passwort-Don´ts

 

  • Verzichten Sie auf die Nutzung von Namen und Geburtsdaten der Familie, von Freunden und Bekannten. Diese Informationen lassen sich, selbst wenn Sie sich nur zurückhaltend im Internet exponieren leicht beschaffen.
  • Verzichten Sie auf Begriffe aus dem Wörterbuch. Selbstverständlich gilt dies nicht nur für den „Duden“, sondern auch für Fremdsprachenwörterbücher denn mit diesen lassen sich Hackertools genauso gut füttern.
  • Verzichten Sie auf einfache Muster (asdfgh oder 1234abcd)und Standard-Substitutionen. Durch Ersetzung des Buchstabens „a“ durch ein „@“, von „s“ durch eine „5“ sowie des „o“ durch die Ziffer „0“ wird aus „password“ beispielsweise „p@55w0rd“. Diese Technik („leetspeak“) kommt ursprünglich aus der Hackerszene. Das ist auch der Grund, weshalb der Einsatz dieser Standardsubstitutionen nur sehr bedingt ein Mehr an Sicherheit mit sich bringt. Hackerprogramme fragen sie längst automatisiert ab.
  • Es versteht sich von selbst, dass man Passwörter nicht notieren oder kommunizieren sollte. Überlegen Sie: mit der Geheimzahl Ihrer EC-Karte würden Sie das auch nicht tun.
  • Auf keinen Fall sollten Sie Passwörter mehrfach verwenden. Das ist grob fahrlässig. Selbstverständlich wird ein Angreifer den erfolgreichen gehackten oder gestohlenen Schlüssel auch bei ihren anderen virtuellen Türen einsetzen. Wenn Sie davon Kenntnis erlangen, dass einer ihrer Accounts gehackt wurde, erneuern Sie zur Sicherheit alle ihre Passwörter!
  • Voreingestellte Passwörter müssen zwingend geändert werden. Wenn der neu angeschaffte W-Lan Router werksseitig mit WPA2 Verschlüsselung und voreingestelltem Passwort ausgeliefert wird, ist das bequem aber eben nicht sicher.
  • Verzichten Sie soweit möglich darauf, sensible Passwörter (Bsp. Mail-Account) auf öffentlich zugänglichen Systemen einzugeben. Sie müssen damit rechnen, dass auf diesen Geräten Keylogger laufen.
  • Eine zentrale Schwachstelle, aber ein notwendiges Übel für den Fall, dass man das eigene Passwort vergessen hat, ist die Passwortwiederherstellung (password recovery). Hierfür werden Sicherheitsabfragen eingesetzt, die man zuvor ausgewählt hat. Beispielsweise könnte die Sicherheitsabfrage „Welches ist Ihr Lieblingstier“ gewählt worden sein. Es ist dann keine gute Idee, die Antwort auf diese Frage im Klartext zu formulieren. Dass man ein Hundefreund ist, sollte man also nicht durch Eingabe von „Hund“, sondern durch weiteres „verschlüsseln“ der Antwort zum Ausdruck bringen. Ein Beispiel wäre, sich des wissenschaftlichen Namens des besten Freundes des Menschen zu bedienen und die Buchstaben in „Canidae“ dann teilweise zu substituieren. Die Antwort auf die Sicherheitsabfrage lautet dann nicht mehr „Hund“, sondern „C@n1d@3“.
  • Richten Sie sich eine spezielle E-Mail Adresse für password recoveries ein. Wählen Sie hierfür einen deutschen Anbieter, verwenden Sie nicht Ihren Namen in der E-Mail Adresse und nutzen Sie diese Adresse nicht für anderweitige Kommunikation.
  • Verwenden Sie kein Passwort aus der „Worst Password ever Liste“ , die Mark Burnett zusammengetragen hat.

 

In der nächsten Ausgabe: Keepass & Co  

 

In der kommenden Ausgabe wird es um Passwortsafes gehen. Das sind Programme, die Passwörter verschlüsselt speichern. Zugang zu diesem „Schlüsselschrank“ erhält man über ein Masterpasswort, für das besondere Sicherheitsregeln gelten.

 

Nützliche Links

Das Bundesamt für Bundesamt für Sicherheit in der Informationstechnik zu Passwörtern

Beitrag zur Passwortsicherheit auf dem Portal "Der Marktplatz IT-Sicherheit"

Artikel zum Passwort-Hacking bei arstechnica

WIRED: Bruce Schneider, Secure Passwords Keep You Safer

 

(Foto: Alexandra Krombholz)

Aktuelles

News und Meldungen rund um Datenschutz und Datensicherheit

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.

RDV - Recht der Datenverarbeitung

Die RDV ist eine der führenden Fachzeitschriften zum Datenschutzrecht. Sie bereitet ihre Themen seit 30 Jahren mit wissenschaftlichem Anspruch und Blick für die Praxis auf.

RDV-Online

RDV-Online ist der aktuelle Dienst der RDV mit News rund um die Themen Datenschutz und Datensicherheit. Sie bietet eigene Inhalte und vervollständigt zugleich RDV auf digitalem Weg.

GDD und DATAKONTEXT

Die GDD ist die größte deutsche Vereinigung zur Unterstützung des betrieblichen und behördlichen Datenschutzes und der Datensicherheit. Ihr Partner ist DATAKONTEXT als führender Informationsdienstleister für Datenschutz.