Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Tipps zu Passworten für mehr Sicherheit im Internet

Leider müssen wir auch über das leidige Thema Passworte reden. Passworte sind nach Geräten-mit-veralteter-Software wohl die größte Schwachstelle die Benutzer im Web haben können.

Natürlich ist es gut wenn man starke Passworte einsetzt (mindestens 8 Stellen, Zahlen - aber nicht am Ende, Großbuchstaben - aber nicht am Anfang des Worts, und am besten auch noch Sonderzeichen). An anderer Stelle erkläre ich, wie man leicht aus schwachen Passworten bessere Passworte machen kann.

Aber noch viel wichtiger (und mühsamer) ist, dass jede Website ein eigenes Passwort hat. Denn die größte Gefahr für Passworte stellen nicht unachtsame Benutzer dar, sondern Website-Betreiber die sich die Passwort-Dateien abnehmen lassen. Fast jede Woche lässt sich irgendwo auf der Welt ein Betreiber seine/ihre Passworte abnehmen. Und die "Finder" der Passworte probieren diese dann bei allen gängigen Diensten aus. D.h. wenn z.B. der Betreiber einer Dating-Website Ihr Passwort "verliert", so wird die gleiche Kombination aus Benutzername (=Email-Adresse) und Passwort sofort bei facebook, amazon, ebay, twitter, gmail, apple, hotmail, gmx und vielen Banken durchprobiert.

Die beste Möglichkeit, für jede Website ein eigenes Passwort zu haben, sind sog. Passwortmanager. Dies sind Programme die alle ihre Passworte in verschlüsselter Form speichern. D.h. ich muss mir nur noch das eine Passwort des Passwortmanagers merken und dann habe ich alle anderen im Zugriff, egal wie komplex sie sind.

Die meisten dieser Lösungen bieten die (optionale) Funktionalität, dass alle ihre Passworte in der Cloud gespeichert werden. Der Vorteil ist, dass sie auf diese Weise die Passworte auf allen ihren Geräten im Zugriff haben. Der Nachteil ist, dass Angreifer sehr aktiv versuchen, in diese Cloud-Systeme einzudringen. Daher ist eine Speicherung nur auf dem lokalen Gerät bei ihnen zu Hause ganz deutlich sicherer als jede Cloud-Lösung.

Im Passwortmanager kann ich nicht nur meine Passworte abspeichern, sondern vieles mehr das später einmal hilfreich sein könnte:Das sind: die Email-Adresse die sie bei der Registrierung verwendet haben (das muss ja nicht ihre Hauptadresse sein, sollte es vielleicht auch gar nicht), natürlich das Passwort, aber auch die die Sicherheitsfrage und ihre Antwort (falls abgefragt), ein zusätzlicher PIN-code falls notwendig, Helpdesk tel-Nr., das (falsche) Geburtsdatum das sie dort evt. eingegeben haben, welche Handynummer sie für Passwort-Rücksetzen hinterlegt haben, Kreditkartennummern die dort hinterlegt sind, etc. etc.

Viel mehr Details zu Passworten gibt es auf den Rest dieser Seite. Hier mehr zu Passwortmanagern.

Und hier geht es zurück zur Gesamtserie "Wie bin ich im Internet sicher unterwegs?"

Ganz viel zu Passworten

Autor: Philipp Schaumann

Okt. 2016:
Über drei Milliarden Accounts gekapert berichtet heise.de. Damit meinen sie aber keinen neuen Raubzug, sondern das sind Datensätze mit geklauten Accounts die im Netz kursieren, ein Großteil davon ist für jeden durchsuchbar. Quellen sind z.B. Yahoo (500 Millionen Datensätze), eBay (145 Mio.) LinkedIn (177 Mio.) oder YouPorn (1,3 Mio). Oft sind die Daten auch bereits aufbereitet, d.h. geknackt und die Passworte liegen dann in Klartext vor.

Juni 2016:
An anderer Stelle ein Interview mit einem russischen Hacker, der derzeit eine Sammlung von 800 Mio Passworten anbietet und behauptet, eine weitere Milliarde zu besitzen. Die Daten sind meist alt (2012 und 2013) aber weiterhin verwendbar, weil kaum jemand Passworte ändert und die alten Passworte auf vielen weiteren Accounts verwendet werden. Auch Zuckerberg und andere Prominente hat es erwischt.

Jan. 2016:
Immer noch werden die Passworte in Klartext gespeichert, z.B. Webhosting company 000Webhost loses 13 Mio plaintext passwords, Comcast verliert 200 000 plaintext passwords.
Die Lücke von 24 Monaten bis zu den nächsten Passwort-Leaks ist nicht, weil nichts passiert wäre, sondern aus Bequemlichkeit meinerseits ;-)

Hier eine interessante Untersuchung aus 2016 zu den Gründen, warum Nutzer simple Passworte wählen, bzw. das gleiche Passwort auf vielen Websites. 95% der Nutzer wissen wie in gutes Passwort aufgebaut ist. 91% weiß, dass es riskant ist, Passworte mehrmals zu nutzen. Aber 61% der Nutzer (und 55% der wissenden Nutzer) tun es trotzdem. Warum eigentlich?

2-Faktor Authentisierung

Wer die Mail- oder Cloud-Dienste von Google, Apple, etc benutzt, der sollte zum eigenen Schutz zumindest die 2-Faktor Authentisierung aktivieren. Denn größer als die Gefahr dass die Admins ihre Mails lesen oder auf ihre Fotos zugreifen ist mit Abstand, dass Kriminelle ihnen den Account abnehmen wollen. Und das, auch unter Zuhilfenahme des jeweiligen Helpdesks, viel schneller als Sie glauben würden, hier ein Beispiel.

Ziemlich sicherer Schutz dagegen ist das Aktivieren der 2-Faktor Authentisierung.

Die Psychologen finden in der Untersuchung einen Typ A und einen Typ B von Nutzern. Typ A sagt, sie hätten ein so cleveres Passwort-System, dass für sie kein Risiko besteht. Dies sind die Nutzer, die selbst die Kontrolle behalten wollen. Typ B (über 50% der Nutzer) erklärt, dass die Wiedernutzung von schwachen Passworten bei ihnen kein Problem ist, weil sie ihre Internet-Aktivitäten so einschränken, dass ihnen nicht viel passieren kann, u.a. weil ihre Accounts keinen wirklichen Wert darstellen.

 

Richtige Passworte von richtigen Menschen

Und hier meine Präsentation ultimative Passwort-Regeln (PDF, 70 KB). Sie stellt in 4 Schritten die Generierung von sehr starken, aber merkbaren Passworten dar. Sie basiert weitgehend auf der auf dieser Seite zitierten Analyse von Passwort-Crackern durch Bruce Schneier und kann auch gern für firmen-interne Schulungen genutzt werden.

Und weiter unten in diesem Artikel erkläre ich die Nutzung eines Passwort-Manager Programms

Angriffe auf Social Networking Websites haben interessantes statistisches Material über die Passworte zu Tage gefördert, die von den Benutzern genutzt wurden. Hier jetzt erst mal www.flirtlife.de:

2006: Durch einen Hack bei Flirtlife.de kamen 100 000 Passworte ans Tageslicht. Die Verteilung der häufigsten Passwörter wird in der Tabelle weiter unten dargestellt.

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

In den USA wurden ca. 100 000 Passworte von MySpace.com-Benutzern aufgedeckt. Bruce Schneier hat für 34 000 von ihnen interessante Statistiken angelegt. Die Details stehen auf seiner Website, hier nur die Liste der populärsten Passworte. Eine andere Analyse der Passworte durch Infoworld.com sieht die Liste aber etwas kritischer. Hier ein weiterer Link zu diesen Passworten. Und gleich folgend Beispiele aus dem beschriebenen und anderen Passwort-Hacks.

Der Hacker dieser Passworte berichtet, dass 100% der von ihm "gefundenen" Benutzername/Passwort-Kombinationen auch auf paypal.com funktioniert haben :-(

D.h. unkritische Websites können durch ihre schlechte Implementierung die Daten auf eher kritischen Websites gefährden.

flirtlife.de MySpace.com
Passwort Anzahl Passwort in %
123456 1375 password1 0.22%
ficken 404 abc123 0.11%
12345 367 myspace1 0.11%
hallo 362 password ?
123456789 260 blink182 ?
schatz 253 qwerty1 ?
12345678 215 fuckyou ?
daniel 215 123abc ?
askim 184 baseball1 ?
nadine 177 football1 ?
1234 176 123456 ?
passwort 173 soccer 0.04%
sommer 159 monkey1 ?
baby 159 liverpool1 ?
frankfurt 159 princess1 ?
jordan23 ?
slipknot1 ?
superman1 ?
iloveyou1 ?
monkey 0.02%.

Ja, das ist gespenstisch

Mir fällt bei diesen Beispielen auf, dass die Vielfalt der Passwortwahl doch recht groß ist. So kommt die Nummer 1 auf MySpace nur auf 2 Promille Anteil und auch flirt.de ist es mit "123456" wohl nicht viel anders. Das bedeutet, dass das einfache Raten eines fremden Passworts ohne Vorkenntnisse kaum zum Erfolg führen wird. (Anders natürlich ein Angriff über fortgeschrittene Passwort-Cracker, gegen die sich keines der hier gelisteten Passworte verteidigen kann (siehe weiter unten). Anderseits sind die Passworte von MySpace nicht über solch einen Cracker in die Öffentlichkeit gekommen, sondern über eine gefälschte MySpace-Login Seite, auf die die Benutzer hereingefallen sind. D.h. die Passworte hätten beliebig gut sein können, wer das Passwort auf einer falschen (Phishing-)Website eingibt, hat es sowieso verloren.

Ende 2015: Das Hasso-Plattner-Institut in Potsdam hat 215 Tausend gestohlene Passworte für wissenschaftliche Zwecke ausgewertet. Ihre Statistiken bestätigen die durchgehend miserable Qualität der meisten Passworte. Bei so schlechten Passworten helfen auch die besten Sicherheitstricks der Website-Betreiber nichts. Mit dem Passwort "123456" ist der Angreifer bereits in 10% aller Accounts drin und mit 3 Versuchen in über 15%, mit 5 Versuchen in 20%.

Quelle: NY Times und deren Quelle Imperva. Hier der Imperva Report

Bruce Schneier kommentiert dazu, dass die Passworte auf MySpace eigentlich gar nicht so schlecht sind, wie oft vermutet wird. Die große Mehrheit ist alphanumerisch, nur 4% sind direkt in einem Wörterbuch zu finden. Er berichet, dass Tests in 1989 nur 24% im Wörterbuch gefunden haben, in 1992 waren es noch 20%. D.h. dass die Regeln für gute Passworte sehr wohl bei den Benutzern ankommen, wenn auch langsam. Anderseits bemerkt er, dass die Benutzer von MySpace eher jung sind, und andere Berichte zeigen, dass Jugendliche weit bessere Sicherheitskenntnisse haben, als ihre Eltern.

Eine sehr interessante Studie von Microsoft Research untersucht Web Password Habits (pdf) von 500 000 Benutzern. Sie finden dabei u.a. dass der durchschnittliche Web-Nutzer auf 25 Websites Passworte verwendet, die er/sie auch bei anderen Website nutzt und dass für Websites mit gemeinsamen Passworten im Schnitt 3,9 unterschiedliche Passworte verwendet werden. Wenig überraschend ist, dass die schwächeren Passworte bei einer größeren Zahl von Websites verwendet werden. Die dort beobachteten Webnutzer gaben pro Tag im Schnitt 8,5 mal diese mehrfach genutzten Passworte ein. Die Zahl der vergessenen Passworte bei yahoo.com wird mit 4% pro Quartal abgeschätzt und 0,4% der Benutzer scheinen pro Jahr auf eine Phishing-Website hereinzufallen (dieser Wert wird in anderen Untersuchungen ähnlich abgeschätzt).

Die NY Times hat einen langen und sehr schönen Artikel zu den emotionalen und psychologischen Aspekten von Passworten: The Secret Life of Passwords.

Noch eine Passwortliste: Der Trojaner/Wurm Conficker enthält eine Liste von simplen Passworten, die der Wurm als erstes mal durchprobiert. Falls Ihres dabei ist, sollten Sie es schnell ändern.

Die beliebtesten Benutzernamen und Passworte
Quelle und vollständige Darstellung: http://www.dragonresearchgroup.org/insight/sshpwauth-cloud.html

Hier noch mal eine Analyse von gestohlenen Passworten. Und hier PHPBB Password Analysis und Top 10 Most Common Passwords , sowie The Top 500 Worst Passwords of All Time. Und hier die Analyse der gestohlenen Hotmail-Passworte.

Bei den 4-stelligen PIN-codes ist es nicht besser. In der Regel reichen 11 Versuche und wenn der Angreifer 6 Versuche hat so kann er damit 9% aller PINs cracken. Hier ein Artikel in der Süddeutschen zu den 20 schlechtesten PIN-Codes. Bzw. hier eine ähnliche Statistik von Naked Security: 10 passcodes you should never use on your iPhone. Eine weitere Auflistung (und ein Witz) unter “All credit card PIN numbers in the World leaked”.

 

2010:
Hier eine trauige Studie zu Passwortfehlern, diesmal durch die Betreiber, nicht die Benutzer): Passwords in the wild, part I: the gap between theory and implementation.
Passwords in the wild, part II: failures in the market,
Passwords in the wild, part III: password standards for the Web und
Passwords in the wild, part IV: the future.

Es wurden 150 Websites untersucht und nur 3 davon haben Passwort-Sicherheit vollständig implementiert: verschlüsselte Übertragung, Hashing statt Abspeichern-in-Klartext und Verhinderung von Brute-Force Passwort-Probing oder Username-Probing.

Aber die Fehler der Benutzer bei der Passwortnutzung können die Fehler der Website-Betreiber noch potenzieren. Die Firma Bitdefender hat in nur 1 Woche Arbeit 250 000 Email-Adressen, Passwörter und Benutzernamen gesammelt.

Die 10 häufigsten Passcode auf dem iPhone - Quelle: http://www.amitay.us/blog/files/most_common_iphone_passcodes.php

 

Dez. 2010:
Gawker-Einbruch: Beliebtestes Passwort ist 123456. Der Blogbetreiber Gawker hat sich 1,3 Mill. (gehashte) Passworte stehlen lassen, 400 000 davon konnten Sicherheitsspezialisten leicht knacken weil es einfach Passworte waren, die leicht "rückzuübersetzen" waren. Dabei kam heraus, dass 123456 auch hier das am häufigsten gewählte Passwort ist. Es wurde über 2500 Mal eingesetzt. Kurz darauf folgt password, dass fast 2200 Anwender als Passwort wählten. Für 12345678 haben sich immerhin über 1200 Anwender entschieden. Darauf folgen qwerty, abc123, 12345, monkey, 111111, consumer, letmein und 1234. Hier die Ergebnisliste.

 

Juni 2011:
Die Passwort-Diebstahle gehen immer weiter und die erste Hälfte 2011 hat eine Welle von Einbrüchen in Firmennetze gebracht. Hier jetzt ein Artikel der aufzeigt, dass alle bisher gesagt genauso für iPhones gilt: Most Common iPhone Passcodes.

The top 50 passwords you should never use

Zum Artikel bei nakedsecurity.sophos.com

Die finden sich dann die üblichen Verdächtigen: 1234 liegt vor 0000, etc. Wenn jemand ein iPhone findet, so hat er in 10 Versuchen 15% aller iPhones "geknackt". Die Kombinationen ergeben sich oft aus der Tastenanordnung. Die Kombination 5683 ist die Buchstaben-Kombination „L-O-V-E“ auf Telefontastaturen.

Noch ein interessantes Ergebnis kann aus dieser Studie abgeleitet werden: vielen Passcodes sind offenbar Geburtsjahre. Und darüber lässt sich eine Alterverteilung der iPhone Benutzer (die diese App installiert hatten) aufzeigen. Der Artikel analysiert dann auch noch welche Zahl an welcher Stelle am häufigsten erscheint.

Noch eine Analyse von 4-stelligen PINs: “All credit card PIN numbers in the World leaked”. (das ist ein Witz, aber der Rest des Artikels analysiert die PINs, die man lieber nicht verwenden sollte.

 

Juni 2012:
"A total of 6.5 million hashed password believed to belong to LinkedIn members was posted on a Russian hacker forum earlier this week. (Mehr unter LinkedIn Desaster) Dass "nur" 6,5 Mio öffentlich sind, das beweist aber nicht, dass der Täter die restlichen 150 Mio Passworte nicht hat.

arstechnica: "My [LinkedIn] password was in it and mine was 20 plus characters and was random," Redman, who works for consultancy Kore Logic Security, told Ars. Das zeigt, wie wichtig es ist, dass Passworte "gesalzen" werden bevor sie gehasht werden.

In der gleichen Woche berichtet die Dating-Website eHarmony, dass 1.5 Mio. Passworte gestohlen wurden (unsalted MD5 (!) hashes und "mapped" auf Uppercase (!) ), vermutlich vom selben Täter. Die Befürchtung ist, dass er eine Verwundbarkeit ausgenutzt hat, die auf noch mehr Websites zu finden ist.

Die Musik-Website Last.fm musste auch bestätigen, dass ihre Passworte veröffentlicht wurden, die Zahl ist noch offen, aber die Zahl ist auch wertlos, denn man muss immer davon ausgehen, dass ALLE Passworte der betroffenen Websites bei den Tätern sind (spekuliert wird über die Zahl 17 Mio).

In allen 3 Fällen sind die Passworte nicht nach dem Stand der Technik gesichert: es wird wohl ein 9 Jahre altes API verwendet, das offenbar seitdem nicht auf den Stand der Technik gebracht.

Auch League of Legends und Lustiges Taschenbuch haben sich die Passworte abnehmen lassen.

Und es geht um Juli 2012 einfach so weiter: 450.000 Mailadressen und Klartext-Passwörtern, die von Nutzern des Yahoo Contributor Network stammen und Update von der NY Times: Yahoo Breach Extends Beyond Yahoo to Gmail, Hotmail, AOL Users:

    . . . Marcus Carey, a researcher at Rapid7, a security company found that among the data were some 106,000 Gmail e-mail addresses, 55,000 Hotmail e-mail addresses and 25,000 AOL e-mail addresses. Those e-mail accounts were not hacked; instead people had used their e-mail address as user names for a Yahoo service."

D.h. hier sind "nur" die Email-Adressen, nicht die Passworte veröffentlicht, VORAUSGESETZT es werden unterschiedliche Passworte verwendet !?!

300.000 (oder möglicherweise weniger) GMX-Accounts veröffentlicht und 1,4 Millionen Accounts des AndroidForums.com und beim Grafikkartenherstellers Nvidia. Es geht immer weiter: 21,000 plain text passwords stolen from Billabong und Formspring resets millions of passwords.

Und kurze Zeit später: 11 Millionen Passworthashes von der deutschen Onlinespiele-Plattform Gamigo und Passwort-Leck bei Singlebörse meetOne (im Klartext gespeicherte Nutzerpasswörter). Auch zu meetone: Dating-Portal mit massiven Sicherheitslücken .

Und weiter geht's: Dropbox bestätigt Datenleck (Aus der Dropbox eines Mitarbeiters des Speicheranbieters wurde eine Datei mit Kundendaten entwendet, welche daraufhin zum Spam-Versand missbraucht wurden . . . Das Passwort soll jedoch nicht bei Dropbox, sondern ... eine andere Webseite entwendet worden sein – der Mitarbeiter hatte sein Dropbox-Passwort auch zur Anmeldung bei anderen Webdiensten genutzt. Auf die gleiche Weise griffen die Datendiebe auch auf "eine kleine Anzahl" weiterer Dropbox-Accounts zu) und Kundendaten bei Online-Brillenladen Mister Spex geklaut (. . . Zugriff auf 400.000 Adressdaten und Passwörter und habe diese möglicherweise auch kopiert. Gehasht waren die Passwörter demnach nicht.

Und weiter geht's: Bei Blizzard-Server, Hersteller von World of Warcraft, Diablo und Starcraft wurden E-Mail-Adressen, Antworten zu persönlichen Sicherheitsfragen sowie verschlüsselte Passwörter entwendet.

Philips "verliert" rund 200.000 E-Mail-Adressen sowie weitere Kundendaten, auch wieder sind wohl unverschlüsselte Passworte dabei. Der "Fehler" dieser Menschen war, sich auf der Website zu registrieren.

Polizeiakten, Kontodaten, Asylbescheinigungen und andere Unterlagen aus Versicherungsfällen: Beim deutschen Versicherungskonzern Allianz gibt es offensichtlich ein massives Datenleck.

Hier gibt es eine interessante Infographik zu Password Theft.

Sept 2012: Bei IEEE "verliert" 100 000 Klartext-Pssworte. Das ist peinlich für die US-Ingenieursvereinigung: erst speichern sie die Passworte in den FTP-Zugangslogs in Klartext, dann setzen sie die Zugriffskontrolle für diese Logs auf public und jetzt sagen sie ihren Mitgliedern, sie sollen starke Passworte verwenden.

Juli 2013:
Neu: bei Nintendo wurden 15 Mio Passworte durchprobiert, ohne dass die Betreiber der Website das gemerkt haben, auf diese Weise wurden 23,926 Loyalty Accounts geknackt, d.h. die Angreifer können sich die Loyalte Punkte schnappen. In der Woche davor war es Ubisoft mit einer unbekannten Zahl von "user names, email addresses, and encrypted passwords".

Nov. 2013:
Und jetzt noch mal ein richtig großes Leak: Adobe lässt sich 150 Mio Benutzerdaten abnehmen (das volle Programm: Passworte, Kreditkarten, etc.) - dazu auch noch den Qellcode für viele ihrer Programme. Die Passworte wurden nicht "gesalzen" sondern verschlüsselt und waren daher recht leicht zu knacken. nakedsecurity von Sophos erklärt wie viele Fehler Adobe beim Passworthandling gemacht hat.

Feb. 2015:
Zur Abwechselung mal kein Leak - ein Forscher hat für Forschungszwecke eine bereinigte Version mit 10 Mio Passworten zur Verfügung gestellt.

 

 
Zurück nach oben

 

Biometrie als scheinbare Lösung des Passwort-Problems

Um es gleich vorher zu sagen: Nein, die Biometrie ist keine Lösung, denn sie hat zwei schwerwiegende Probleme bei der Authentisierung:

  1. Das erste Problem ist das schwerwiegendste: Wenn die biometrische Authentisierung geknackt ist, z.B. sind die biometrischen Daten in der Öffentlichkeit, dann gibt es keine Möglichkeit eines "Passwort-Resets"
  2. Das zweite Problem ist, dass es nur sehr wenige Verfahren gibt, die wirklich sicher sind. Fast alles was am Markt derzeit eingeführt wird ist auszutricksen, vor allem Fingerabdrücke und Gesichtserkennung.

Nun zu den Details: Biometrische Daten kann man nicht geheim halten, Fingerabdrücke hinterlassen wir ständig, überall wo wir hingreifen (hier demonstriert bei Minister Schäuble). Auch aus Fotos sind die Fingerabdrücke bereits entnommen worden. Berichte über die Schwächen der Fingerabdruckleser gibt es leider immer wieder.

Unser Gesicht zeigen wir jeden Tag und unsere Stimme ist auch nicht geheim (Stimmen sind schon auf Entfernung aus deinem besprochenen Anrufbeantworter entnommen worden), und bei Fotos mit guter Auflösung kann auch die Iris gut erkannt werden. Sicherer sind Retina-Scan und die Venenstruktur der Hände, aber die lassen sich nicht so einfach in ein Smartphone integrieren. Daher wird dort hauptsächlich mit Fingerabdruck, Gesicht und Retina experimentiert. Und diese Geräte lassen sich recht leicht austricksen: Ärzte täuschten Scanner mit Silikon-Fingern bei der Erfassung der Arbeitszeit.

In dem folgenden Artikel erklärt ein Mitglied des CCC warum Bezahlen mit Selfie und Fingerabdruck nicht sicher ist. Er erklärt z.B. wie er die Lebenerkennung bei der Gesichtserkennung von Mastercard mit einem Stabilo-Stift überlisten kann. Er empfielt Venenscanner, aber die sind (derzeit) auf eingebaute Geräte begrenzt, z.B. für den Eintritt in Hochsicherheitsbereiche.

Auch Iris-Scanner sind keine Lösung. Erstes Problem ist, dass Iris-Daten "altern", d.h. die Iris verändert sich und nach einem Jahr (oder so) beginnt die Fehlerrate zu steigen, d.h. es muss immer wieder neu erfasst werden. Trotzdem will Singapur jetzt Iris-Daten bei allen Pässen miterfassen, was bei langen Gültigkeitszeiten zu einem Problem werden könnte. Außerdem lassen sich Iris-Daten leicht fälschen und dann Iris-Attrappen erstellen.

Wenn es aber mal gelungen ist, das biometrische Verfahren bei einem konkreten Bürger auszutricksen, z.B. durch einen künstlichen Fingerabdruck der über den richtigen Finger gestreift wird, so sind wir bei dem anderen Problem, dass wir der Person keine neuen Fingerabdrücke verpassen können. D.h. alle Systeme bei denen mit den Fingerabdrücken ein Zugang möglich ist, stehen dem Angreifer in diesem Fall offen.

Hier noch ein weiteres Problem der Biometrie. Bei einem Passwort ist die Eingabe des Nutzers entweder richtig, oder sie ist falsch, die Entscheidung ist binär. Es gibt kein "fast richtig". Biometrische Verfahren sind analog, d.h. es gibt eigentlich nie "ganz richtig", denn die akutelle Messung des Gesichts oder des Fingerabdrucks stimmt immer nur "ungefähr" mit den gespeicherten Werten überein. Daher werden Schwellwerte eingestellt, bei deren Überschreitung ein "richtig" angenommen wird.

An anderer Stelle behandele ich das Thema Gesichtserkennung / Face Recognition

Es gibt dabei 2 Arten von Fehlern: False Positive sind Übereinstimmungen obwohl es unterschiedliche Personen sind (z.B. weil sich die Merkmale relativ ähnlich sehen oder der Schwellwert auf "unkritisch" gestellt wurde), False Negative sind die Ergebnisse von Prüfungen, bei denen die richtige Person abgewiesen wird, weil die akutelle Messung anders ausgefallen ist, als die gespeicherten Werte. Es gibt kein biometrisches Verfahren, bei dem dieses Problem nicht auftritt. Abhängig davon wie wichtig es ist, dass keine Fehler der einen oder anderen Art auftreten wird der Schwellwert geeignet eingestellt. Dabei ist es so, dass wenn man die False Negative reduziert (damit die Benutzer nicht frustriert sind, dass sie ihr eigenes Gerät nicht entsperren können), sich automatisch die False Positive erhöhen (d.h. Angreifer können auch mit schlampigen Replikationen zum Zug kommen).

Daher spricht sehr viel für gute Passworte, in Verbindung mit einem zweiten Faktor wenn es etwas sicherer sein soll. Und deswegen handelt der Rest des Texts von richtigen Passworten, wie sie angegriffen werden und wie man sie richtig nutzt.

 

 
Zurück nach oben

 

Die Tricks der Angreifer

Passwort-Cracking

Um wirklich zu klären, wie gute Passworte aussehen sollten, hat Bruce Schneier eine Analyse eines Passwort-Crackers durchgeführt. Arstechnica hat in 2013 auch so einen Crack-Test durchführen lassen. Hier eine Zusammenfassung der Ergebnisse (mit einigen Ergänzungen meinerseits):

Normalerweise werden starke Passworte immer dann benötigt, wenn der Angreifer die Möglichkeit zu beliebig vielen Versuchen hat. Wenn nach 3 Versuchen blockiert wird, so sollten auch etwas schächere Passworte ausreichen. Deswegen ist es durchaus akzeptabel, wenn Bankomatkarten, die nach 3 Versuchen gesperrt sind, mit nur 4 numerischen Stellen gesichert sind (man braucht 5000 Versuche um die Hälfte zu "cracken").

Schächere Passworte reichen aber nur dann, wenn garantiert werde kann, dass die Angreifer nicht an die gehashten Passworte kommen - deswegen der Tipp: IMMER sichere, d.h. mindestens 8-stellige Passworte mit Zahlen, Buchstaben und Sonderzeichen verwenden (siehe die vielen Beispiele weiter oben).

    [Einschub: Extrem starke Passworte werden gebraucht für MS Office Dateien, PDF-Dateien, Zip-Dateien, PGP-Dateien und für Windows- und andere Benutzer-Accounts (auch auf Websites), da dort die Gefahr besteht, dass ein Angreifer das Objekt selbst im Zugriff hat und sehr leicht mit Brute Force gegen die verschlüsselte Datei testen kann. Bei so etwas rate ich zu deutlich über 100 Zeichen (die man sehr sicher aufbewahren sollte - denn merken kann sich die niemand).]
MD-5 Hashes mit den gecrackten Passworten
Quelle: Arstechnica

Wenn Angreifer gehashte Passwort-Dateien erobern können, so setzen sie spezielle Crack-Programme ein, die versuchen, über sog. Brute Force-Angriffe die Zeichenkombination zu erraten, die zu dem gefundenen Hash gehört. Das war früher ein mühsamer langwieriger Prozess, heute werden dafür Grafikkarten eingesetzt. So kann eine AMD Radeon HD7970 GPU 8,2 Milliarden Passworte pro Sekunde durchprobieren (vorausgesetzt es wurde ein schwacher Algorithmus wie MD5 verwendet). Dafür war vor einigen Jahren noch ein Supercomputer notwendig. Und die PCs der Cracker haben oft mehr als 1 Grafikkarte eingebaut.

Mit so etwas dauert ein Brute Force gegen bis zu 6-stellige Passworte mit groß, klein, Zahlen und Sonderzeichnen nur einige Minuten (die Zahl der Versuche ist: Summe von 956 + 955 + 954 + 953 + 952 + 95). Daher sind 6 Stellen ganz klar "out". Dann versuchen die Cracker alle 7- und 8-stelligen mit "nur klein" und "nur groß". Das sind jeweils 268 + 267 Versuche, d.h. weniger als 1 Minute. Als nächstes "nur Zahlen", bis zu 12 Stellen, in wenigen Minuten.

Dann kommen die Wortlisten: Früher starteten solche Programme mit einer Liste der 1000 beliebtesten Passworte (siehe obige Listen) und probierten dann jeweils 100 beliebte Anhänge wie 123. (das knackt 24% aller Passworte). Dann folgte ein Wörterbuchangriff (spezifisch für die Sprache des Opfers) - 5000 Wörter, 10 000 Namen, dabei werden auch wieder jeweils bis zu 2 Zahlen angehängt, die 1. Position groß und klein geschrieben und beliebte Ersetzungen durchprobiert (o wird 0, s wird $, a wird @, i wird !). Dann folgten Ketten von sinnlosen, aber aussprechbaren Silben wie lefril oder robgan. Diese und alle Wörterbuch-Einträge werden dann mit längeren Zahlenfolgen und Sonderzeichen kombiniert, aber dabei wird die Zeit für das Durchprobieren natürlich immer länger.

Heute haben die Angreifer diese riesigen Sammlungen von echt-genutzten Passworten und sie nutzen daher Listen mit bis zu 100 Mio Passworten (siehe weiter oben zur Welle der Passwort-Diebstähle in 2012). Für diese langen Listen versuchen sie die üblichen Variationen: Anfangsbuchstabe groß, Zahlen im Ende, a durch @ ersetzt, etc.

Dies kann ergänzt werden durch andere Methode die auf sog. Markov-Ketten beruht. Dabei werden die Erkenntnisse aus den ersten schnell gecrackten einfachen Passworten genutzt. Diese Methode nutzt aus, dass Passworte aller Nutzer einer Website sich sehr oft ähneln (siehe meine obigen Beispiele von flirtlife.de vs. MySpace.com und RockYou.com). Für jede Stelle werden dann nicht alle 95 möglichen Zeichen geprüft, sondern nur ca. 65 (Z.B. ist die Wahrscheinlichkeit sehr hoch, dass nach der 1. Stelle nur noch kleine Buchstaben kommen. Ebenso stehen fast immer die Zahlen am Ende des Passworts. Wenn mal eine gewisse Zahl von Passworten für diese Website erkannt wurde, so können diese wiederum beim Cracken des Rests helfen.

Bruce Schneiers Lösungsvorschlag daher: Großschreibung in der Mitte des Wortes und nicht am Anfang, Zahlen und Symbole in der Mitte des Wortes oder zwischen 2 Worten und vor allem das Speichern von komplizierten Passworten in sicheren Programmen zur Passwort-Speicherung.

Ein anderer Angriff geht über sog. Rainbow-Tables. Dieser Angriff wird eingesetzt, wenn eine Datei der Passworte vorliegt, die mittels eines Hashs geschützt ist. Hier werden die vorberechneten Ergebnisse mit der geklauter Passwort-Datei verglichen. Schutz dagegen liegt in sauberer Programmierung im zu schützenden System (damit die Angreifer die Datei oder die Datenbank-Tabelle mit den Passworten gar nicht erst entführen können) und vor allem darin, dass die Passworte zuerst mit einem Zufalls-Salz verlängert werden (mehr dazu im nächsten Abschnitt).

Viele interessante Cracking-Details werden jetzt im Zusammenhang mit den LinkedIn, eHarmony und Last.fm Passworten berichtet. Eine sehr gute Analyse zum Stand der Technik beim Cracken ist in arstechnica.

Diese Website ist ganz interessant: Telepathwords. Es geht um das Erraten (oder Knacken) von Passworten auf der Basis des mehr oder weniger vorhersagbaren menschlichen Verhaltens. Wenn man auf der Website ein Zeichen eingibt, so sagen sie vorher, welche Zeichen vermutlich als nächstes kommen. An den Stellen wo ich keine Random-Passworte verwenden, liegen sie mit ihren Annahmen gar nicht schlecht. Auch solche Algorithmen werden in die Passswort-Cracker eingebaut werden.

 

Social Engineering der Passwort-Rücksetzungs-Prozesse

Einen ganz anderer Angriffstyp, der aber bei vielen der heutigen Cloud-Dienste sehr effektiv ist, stellt Social Engineering der Prozesse zur Rücksetzung eines vergessenen Passworts dar. Das ist die eigentliche Achilles-Ferse vieler Cloud-Dienste wie Webmailer, Speicherdienste, Social Networks, aber auch Online Shops.

Ein eindrucksvolles Beispiel aus 2012 ist ein Angriff über Amazon und Apple auf Twitter- und Gmail-Accounts, das ich an anderer Stelle ausführlich dokumentiert habe (siehe Link).

Dieser Artikel zeigt sehr dramatisch, wie sehr bei den heutigen Cloud-Diensten das Zurücksetzen der Passworte zum riesigen Sicherheitsproblem geworden ist. Unter dem Stichwort Cloud Security beschreibe ich dann, wie man sich am besten gegen solche Angriffe schützt.

Ein guter technischer Artikel zur Programmierung von Passwort-Rücksetzungen wurde 2013 veröffentlicht: Exploiting Password Recovery Functionalities. Dort werden Best-Practise Regeln erklärt: Generierung eines Links mit einem mindestens 64-stelligen Code, gültig maximal 24 Std und nur einmal nutzbar. Dazu gibt es Negativ-Code-Beispiele in php in dem die 6 relevantesten Angriffstechniken zu finden sind - also auf keinen Fall nutzen, nur daraus lernen.

 

 
Zurück nach oben

 

Die Tricks der Verteidiger - Best Practise für Web-Developer

Ein sehr guter Text Storing passwords in uncrackable form beschreibt den derzeitigen Stand der Technik beim Schutz von Passworten, der aber leider nicht sehr weit verbreitet ist.

Der Text beschreibt, dass die häufigste Antwort beim Schutz von Passworten, nämlich, ein mehrmaliges Hashen mit einem sog. Salt nicht mehr dem Stand der Technik entspricht. Ein einfacher Hash (der über einen mathematischen Algorithmus aus einem Text einen Code fester Länge macht, aus dem die Originalfolge nur mit sehr sehr erheblichem Aufwand wieder zu gewinnen ist) lässt sich wie oben bei den Tricks der Angreifer erklärt wurde, bei kurzen Passworten mit eingeschränktem Zeichensatz mit einem Brute-Force Angriff gegen alle möglichen (oder wahrscheinlichen) Kombinationen leicht knacken. Die sog. Rainbow-Tables erleichtern dies noch dadurch, dass die Hashs der gängigen Passworte bereits alle vorberechnet sind.

Um dies zu erschweren wird "gesalzen". D.h. das Passwort wird durch eine längere Zufallsfolge verlängert. Die Zufallsfolge wird zwar zusammen mit dem "gesalzenem" Hash des Passworts abgespeichert, aber trotzdem klappt die Sache mit den Rainbow-Tables jetzt nicht mehr, der Angreifer muss jetzt wirklich diese Brute-Force Berechnungen alle durchführen. Aber mit Hilfe von schnellen Graphikprozessoren lässt sich dies heute jedoch für kurze und gängige Passworte erledigen.

Um es den Angreifern aber noch mal zu erschweren (indem man die benötigte Rechenzeit hochschraubt) kann der Verteidiger dieses Hashen nicht nur einmal über das Passwort + Hash laufen lassen, sondern in einer Schleife ganz oft. Das Ergebnis des Hashs wird wieder gehasht und das z.B. 256 mal. Der Brute-Force Angreifer muss dies auch tun und sein Angriff ist den 256 mal so langsam.

Aber die beste Lösung ist es, die schnellen Algorithmen wie SHA-256 ganz zu vermeiden, sondern Password-Based Key Derivation Function 2 (PBKDF2) oder Bcrypt zu verwenden, die extra langsam sind:

    Normally, cryptographic function are programmed to be fast, however, for password-hashing, the slowliness of the function slows done the attacker more than the good guy. When the user enters a password, it does not matter much whether the hashing takes less than 1 millisecond or more than 100 milliseconds, for the attacker that wants to crack 160 million passwords through brute force and needs to try huge number of possible passwords (as in the LinkedIn, eHarmony and Last.fm cases), it matters a lot.

Der Artikel listet dann auf, welche Default Passwort-Algorithmen in Standard-Software verwendet wird. Die schlechte Nachricht ist, dass nur phpass und Drupal 7 es in der Standard-Einstellung bereits richtig machen. Typo 3, WordPress, phpBB und Joomla haben als Standard entweder den lange geknackten MD-5 Algorithmus oder verwenden den Hashing Algorithmus nur für wenige Runden (nicht 3-stellig wie notwendig). Der Artikel erklärt dann was bei den Paketen notwendig ist, um sie in Bezug auf Passworte sicher zu implementieren.

Hier ein weiterer sehr guter technischer Artikel dazu: How to encrypt user passwords.

Und hier jetzt ein sehr drastischer Artikel dazu, wie man es nicht machen darf: Lessons in website security anti-patterns by Tesco. Tesco ist eine große englische Supermarktkette, und deren Website demonstriert fast alle Fehler, die jemand bei der Verarbeitung von Passworten machen kann.

 

 
Zurück nach oben

 

Die Lösung für die Benutzer: Passwort-Manager

Es ist unumstritten, dass für eine sichere Nutzung von Internet-Diensten unterschiedliche Passworte für jede Website verwendet werden müssen. Aber ohne Hilfsmittel ist dies kaum handhabbar. Die Lösung dafür ist ein Passwort-Manager. Auf diese Weise muss ich mir nur 1 starkes Passwort merken und alle anderen merkt sich der Passwort-Manager für mich.

Es gibt dafür eine Reihe von Lösungen, ich verwende Passwort Safe von Bruce Schneier. Ich finde die Software ganz bequem; ich kann über einen Doppelklick auf den jeweiligen Eintrag auf vielen Websites direkt einloggen, die Software ist kostenlos.

Noch viele andere (meistens kostenlose) Lösungen finden sich mittels Suche nach "password manager". Wichtig für die Auswahl ist, ob Sie auch eine Version für mobile Geräte brauchen und wie die jeweilige Lösung mit der Synchronisation von Passwort-Änderungen umgeht, falls das für sie wichtig ist. Die Synchronisation zu anderen Geräten (in der Regel über eine Cloud-Lösung) schwächt natürlich die Gesamtsicherheit. Ich persönlich verwende daher auf jedem Gerät eine separate Installation bei der ich die Passwort wieder neu eingebe ohne sie über das Internet zu synchronisieren (ich traue dem Internet nicht genug ;-) )

Ein Security Experte von Microsoft schreibt in einem recht guten Artikel Nutzen Sie Passwortmanager - und zwar am besten gestern:

    Grundsätzlich gibt es zwei verschiedene Ansätze für Passwortmanager: Lokal installiert oder als Web-Dienst. KeePass ist eine [kostenlose] OpenSource-Lösung, die die Daten in einer Datenbankdatei auf dem PC des Nutzers speichert. LastPass dagegen setzt auf einen Web-Dienst, der beispielsweise eine Datenbank über mehrere Systeme synchron halten kann. Allerdings muss man dann natürlich dem Anbieter vertrauen. . . . Egal für welche Art von Passwortmanager man sich entscheidet: Jeder sicherheitsbewusste Internetnutzer sollte sich den Einsatz einer solchen Lösung überlegen. Die Tools erfordern meist eine kurze Eingewöhnung, anschließend möchte man sie aber nicht mehr missen. . . . Von LastPass gibt es eine kostenpflichtige Premium-Variante, die etwa eine Unterstützung für mobile Geräte (auch für unser Windows Phone) mitbringt.

Hier ein Link zu einer Übersicht über Passwortmanager und hier ein Vergleich der Passwortmanager. Und hier eine weitere Studie, bei der es um Online-Passwort Manager geht, d.h. Lösungen, bei denen der Passwort-Speicher im Netz ist, so dass die Passworte auf mehreren Geräten zur Verfügung stehen. Leider haben die meisten dieser Lösungen erhebliche Sicherheitsprobleme. D.h. wer so etwas nutzen möchte, muss ich hier auf jeden Fall informieren. Weitere Vergleiche aus 2016 finden sich auf futurezone und in der NY Times.

 

 
Zurück nach oben

 

Provokante Thesen

Es gibt zum Thema Passworte eigentlich in jedem Artikel die gleichen Passwort-Regeln:

  • Starke Passworte nutzen
  • Häufiges Ändern dieser Passworte
  • Unterschiedliche Passworte für unterschiedliche Zwecke
  • Niemals aufschreiben

Diese Regeln finden wir zwar überall, auch in allen Standards, aber wie sinnvoll sind sie wirklich und wieviel Schutz bieten sie wirklich?

Natürlich gibt es keinen Zweifel, dass starke Passworte besser sind als starke Passworte. Andererseits habe ich deutliche Problem, wenn ich alle 4 Regeln gleichzeitig einhalten will. Wenn ich komplexe Passworte nutze, sie monatlich ändern muss und mir nicht aufschreiben darf, dann ist eigentlich sichergestellt, dass ich von meinen 25 häufigst genutzten Passworten nach einem Urlaub mindestens 20 vergessen habe.

Ein Unternehmen kann versuchen dieses Problem durch eine Single-Signon-Lösung (SSO) zu entschärfen, aber viele meiner Passworte hängen nicht mit meinem Arbeitgeber zusammen, sondern betreffen verschiedene Websites wie z.B. Internet-Banking, Webmail-Zugänge, Zeitschriften-Abos, etc. für die mir ein Firmen-SSO überhaupt nicht hilft.

Hier eine Aufzählung der häufigsten "Failure Modes" von Passworten:

  • Phishing (der Benutzer gibt es auf einer falschen Website ein)
  • Keylogging (der PC des Benutzer ist infiziert)
  • Brute-force Angriff auf den Benutzer-Account
  • Brute-force Angriff, aber quer über alle Benutzer-Accounts

 

Provokation Nummer 1: Die Konzentration auf starke Passworte ist kontraproduktiv

Do Strong Web Passwords Accomplish Anything?

Die Liste der Failure Modes weiter oben zeigt auf Platz 1 und 2 Angriffe, bei denen ein starkes Passwort genau überhaupt nichts hilft. Starke Passworte helfen beim Angriff Nummer 3, das stimmt. Andererseits kann ich den in vielen Fällen viel leichter vereiteln, z.B. in dem nach einer bestimmten Zahl von Fehlversuchen der Account gesperrt ist (oder besser, der nächste Login-Versuch erst nach einer langen Verzögerung möglich ist). Wenn nach 3 oder 6 Versuchen der Account gesperrt ist, so ist selbst eine 4 stellige PIN-Nummer ziemlich sicher, immerhin wird sie für Bankomaten für ausreichend gehalten. D.h. die Anforderungen an die Passwort-Qualität (und damit den Stress für den Anwender) kann deutlich reduziert werden, wenn eine vernünftige Lösung für Brute-Force Angriffe implementiert wird.

Bleibt noch der Brute-Force Angriff über alle Benutzer-Accounts. Dabei versucht der Angreifer immer das gleiche Passwort (z.B. "passwort") gegen alle Benutzer-Accounts. Bei jedem Account wird nur 1 Versuch gemacht, d.h. die Account-Sperre spricht nicht an. Dieser Angriffe war früher gegen eBay sehr beliebt, weil eBay die vollständigen Benutzernamen an vielen Fällen auf ihrer Website angezeigt hatte. Nach 100 oder allerspätestens 1000 Versuchen war immer ein Account gefunden, bei dem das Passwort "passwort" ist (siehe obige Liste der beliebtesten Passworte).

Die Antwort dagegen: Erstens, die Benutzer-Accounts nicht veröffentlichen. Zweitens dafür sorgen, dass die Benutzer-Accounts öffentlich bekannt sind (z.B. weil die Email-Adressen genutzt werden). Und drittens, dafür sorgen, dass die Account-Namen lang genug (und dadurch nicht "dicht") sind. Es ist nämlich in diesem Fall die Summe aus Passwort-Länge und Account-Namen-Länge (bzw. deren Komplexität), die die Sicherheit ausmacht und nicht das Passwort allein. Ein kurzes Passwort und ein langer Account-Name sind einfacher zu merken (der Benutzer darf sich den nämlich wirklich aufschreiben oder abspeichern) und die Sicherheit ist die gleiche.

Wenn eine Bank 10 Millionen Kunden hat und 8-stellige Verfügernummern, dann kommt der Angreifer bei jedem 10. Versuch auf eine gültige Verfügernummer. Wenn diese aber 9-stellig ist, so braucht er ca. 100 Versuche, um 1 Account richtig geraten zu haben (außer, die Nummern werden aufsteigend vergeben).

Fazit: Dies ist kein Argument, schwache Passworte zu erlauben.

Eine ähnliche Argumentation versuchen 2 Forscher von Microsoft in ihrem Artikel Where Do All The Attacks Go?, gut zusammengefasst in Why isn't everyone hacked every day?. Die Wissenschaftler gehen von dem Paradoxon aus, dass die große Mehrzahl der Passworte lächerlich schwach sind, aber nur 5% der Internetnutzer jedes Jahr "gehackt" werden (z.B. indem ihr Email- oder Facebook-Account übernommen wird). Die Argumentation ist, dass es kein Problem ist, den Namen des Lieblingshundes als Passwort zu nehmen, weil die Angreifer, sofern sie nur auf das Geld aus sind, immer nur Angriffe suchen, die "skalieren". Skalieren bedeutet, dass der Angriff automatisiert ausgeführt werden kann, sonst rechnet sich das ganze nicht, und der Angreifer könnte gleich einer ehrlichen Arbeit nachgehen.

So weit stimmt das Argument auch, aber ich persönlich möchte eigentlich nicht zu den 5% gehören, die ihre Accounts verlieren. Nemen wir das Beispiel der veröffentlichten Passworte nach Anonymous Angriffen in Österreich. Bei dem einen Angriff hatte der Webentwickler die Passworte der Mitglieder gleich im Klartext abgespeichert, da hilft auch ein starkes Passwort nicht. Im anderen Fall aber waren die Passworte mit MD5 "gehasht" worden, und dann waren alle die Nutzer geschützt, die ein starkes Passwort hatten, denn dieses konnte nicht geknackt werden. D.h. hier haben starke Passworte geholfen und schwache Passworte den Benutzer geschadet (Anonymous hatte nämlich dem Rest der Welt vorgeschlagen, mal zu prüfen, ob diese Benutzer das gleiche Passwort auch auf Facebook oder GMX verwenden).

Und der zweite Fall, bei denen ein schwaches Passwort wie "bello" nicht gut ist, sind alle jene, bei denen die Motivation für den Angriff Rache, Eifersucht, Neugier und andere starke Emotionen eine Rolle spielen oder wo es um gezieltes Bullying geht. In all diesen Fällen kennt der Angreifer/Angreiferin vermutlich die Person und kann sehr wohl auf die Idee kommen, "bello" mal auszuprobieren.

Fazit: Es zahlt sich sehr wohl aus, aus dem "bello" so etwas wie "--be--llO" oder be1234LLo" zu machen. Und es ist wichtig, auf GMX und Facebook (usw.) Variationen wie z.B. "FB--be--llO" zu verwenden.

 

Provokation Nummer 2: Monatliche Passwort-Änderungen sind kontraproduktiv

Passwort Expiration (Password aging) - ist das (noch) notwendig?

Extrem lästig ist es auf jeden Fall wenn das toll ausgedachte Passwort nach spätestens 90 Tagen (sehr oft aber 30 Tagen) wieder vergessen werden und ein neues gemerkt werden muss. In dem Artikel wird sehr schön diskutiert, dass ein Passwort viele "failure modes" hat und das Cracken durch einen Passwort-Cracker nur eines von vielen ist, und vermutlich nicht mal das häufigste Problem. Wenn es gecrackt werden kann (z.B. weil der Laptop gestohlen wurde), dann normalerweise in weniger als 1 Tag. Warum also 30 Tage oder gar 90 Tage? Die erzwungene Passwort-Änderung bei jedem der betroffenen Accounts jeden Monat bringt bei mir immer einen erheblichen Zorn mit sich, denn oft werden meine cleveren Passwort-Entwürfe ohne gute Erklärung zurückgewiesen. Und natürlich muss ich mir aufschreiben, wie die vielen neuen Passwort alle heißen.

Wenn auch ein 8-stelliges Passwort in viel weniger als 30 Tagen geknackt ist, warum also nicht alle 60 Sekunden ein neues Passwort? Ja, so etwas gibt es nämlich und wird sogar sehr häufig eingesetzt, genannt One-Time-Passwort (OTP). Oft als kleines Gerät (Token), das alle 60 Sekunden eine neue 6-stellige Zahlenfolge präsentiert. Oder über SMS, die sog. Mobile TAN. Und das bedeutet, dass ich mehr Sicherheit habe und mir weniger merken muss.

Und hier eine Replik auf den Artikel. Hier eine Diskussion auf der SANS Website dazu: Password rules: Change them every 25 years.

 

Provokation Nummer 3: Das größte Problem sind die "Secret Questions"

Ein Angriff auf Twitter zeigt den vermutlich gefährlichsten Failure-Modus von Passworten: Die automatische Rücksetzung über sog. "Secret Questions". Der Artikel (siehe Link) gibt viele Hintergründe und weitere Links zu diesem Thema.

 

Hier ein Artikel, der gleich 10 Passwort-Regeln postuliert. Die meisten der Regeln finden sich in Firmen-Policies und gut gemeinten Ratschlägen wieder, keine ist wirklich falsch, alle sind in dieser strengen Form nicht einzuhalten.

Bruce Schneier schreibt dazu, dass er selbst 7 der 10 Regeln verletzt. Ich selbst verletze (hier und dort, natürlich nicht systematisch) immerhin 9 der 10 Regeln. Eine der Regeln ist für die meisten Menschen unmöglich einzuhalten: Don't enter passwords in computers you don't control. Wie soll ich denn in der Firma arbeiten, ohne mein Passwort eingeben zu können, solche Forderungen sind traumtänzerisch.

Was meines Erachtens im 1. Artikel (mit den 10 Regeln) vollkommen fehlt ist eine Risikobetrachtung (die die meisten von uns intuitiv tun). Es gibt low-risk Web-Accounts (z.B. für einen Routenplaner oder ähnliches) bei dem ein einheitliches simples Passwort keinen Schaden anrichten kann. Dann gibt es medium-risk Websites, dazu gehören für mich die Email-Accounts. Die high-risk Websites sind für mich dann alle mit Finanzen, z.B. Internetbanking. Für letztere brauche ich natürlich unterschiedliche starke Passworte. Ob ich die gleiche Stärke auch für Email-Accounts brauche, hängt auch davon ab, welche vertraulichen Daten dort zu finden sind. Vertrauliche Daten gehören für mich grundsätzlich nichts ins Internet, auch nicht in der Form von Cloud-Computing wie Google Apps. Dort sind nämlich Passworte der einzige Schutzmechanismus und das ist, wie hier deutlich gezeigt, ein extrem schwacher Schutz.

Don Norman, ein sehr renomierter Experte zu Fragen der Usability, schreibt auch zum Thema Passwort-Regeln When Security Gets in the Way (2. Teil des Artikels, ab der Tabelle). Er bringt Beispiele wie Sicherheitsdesign die Benutzbarkeit bisher weitgehend ignoriert.

Es entwickelt sich in 2009 eine wachsende Schule die sagt, dass in manchen Aspekten die Benutzer die Vernünftigen sind und die Sicherheitsabteilungen unsinnige Forderungen aufstellen. Hier ein guter Artikel dazu: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Cormac Herley legt am Beispiel von Passwort-Regeln dar, dass die Nicht-Einhaltung einiger dieser Regeln (wie ich auf meiner Seite zu Passworten auch aufzeige) sehr oft viel Mühe spart und das Risiko nicht wirklich erhöht (z.B. die Forderung, Passworte alle 4 Wochen zu ändern - warum eigentlich 4 Wochen?).

 

 
Zurück nach oben

 

Weiterführende Links

Literatur: Ross Anderson, Security Engineering - The Book, Chapter 2: Usability and Psychology, Kapitel 2.4 Passworte (weitgehend als pdf verfügbar)

Und hier gibt es interessante Studien und Artikel

    Jährlicher Test in England: Ein Schokoriegel und Lächeln für das Passwort. Und hier ein gut beobachteter 2011 Kommentar dazu: . Der Autor hat Recht: Das Hauptproblem ist, dass es zu wenig Interesse gibt, die Zugriffe durch ein gutes Passwort zu sichern. Und es gibt zu wenige gute kreative Anleitungen für die Erstellung von guten und mit vernünftigem Aufwand merkbare Passworte. Und der Autor hat Recht, dass in den meisten Unternehmen die Interessenlage der Sicherheitsverantwortlichen ist, dass sie selbst aus der Verantwortung sind - siehe die Forderung nach Passwort-Änderungen nach 1 Monat.

Noch mehr Passwortlisten (und zwar Beispiele von schlechten Passworten). Das sind Default Passworte für Router, Switches und ähnliche Geräte. Und noch mehr Passworte.

 



Autor: Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.