Auf dieser Seite geht es darum, wie Benutzer sicher authentisiert werden können. Es vielen Gründen sind Passworte (bzw. PIN-Codes) immer noch das dominierende Verfahren. Das gilt sowohl für die Anmeldung auf den zahlreichen Websites bei denen wir uns registrieren müssen wie auch für das Entsperren von Geräten, sei es Smartphones oder auch Laptops. Dabei gibt es einiges zu bedenken und dies beschreibe ich auf dieser Seite.
Aktuelles April 2020:
Neue Studie der Cisco Talos Intelligence Group zu den Möglichkeiten, Authentisierung mittels Fingerabdruck auszuhebeln. Getestet wurden 6 Geräte: iPad, iPhone, Samsung Galaxy S10, Samsung Galaxy Note 9 und Honor 7X. Alle diese Geräte liesen sich relativ leicht austricksen. Nicht gelungen ist es bei Notebooks mit Windows 10 und Windows Hello. Getestet wurden 3 Verfahren: ein Abdruck des Fingers in Plastilin, ein Fingerabdruckscanner im Zusammenspiel mit einem Arduino Uno und ein hochauflösendes Foto eines Abdrucks mit anschließender Bildbearbeitung. Der so gewonnene Abdruck wurde dann mittels 3D-Druck umgesetzt. Das Gewinnen das Abdrucks vom Foto war am schwierigsten, ist aber in einigen Fällen auch gelungen. Fazit: Für wirklich sicheres Entsperren ist der Fingerabdruck nicht geeignet.
Aktuelles Jan. 2019:
2,3 Milliarden Passworte sind unter dem Namen Collections #1-5 zusammengestellt worden. Ob man selbst dabei ist prüft man indem man eine der beiden Websites aufsucht: Hasso-Plattner-Institut und/oder Have I been Pwned. (Zu "Have I been Pwned" gibt es ein deutschsprachiges Interface bei Experte.de - wenn die eigene Email-Adresse dort gefunden wurde, so muss sieht man auch in welchem der Leaks das war. Wenn die Website bekannt ist, so kann man dort gezielt das Passwort ändern).
Bei 2,3 Milliarden (und wachsend) ist typischerweise fast jeder irgendwo enthalten. Wenn man genug Info bekommt, kann man gezielt diese Passworte ändern. Beim Hasso-Plattner-Institut gibt es auch Listen der häufigsten Passworte.
Ebenfalls Jan. 2019: "Sextortion" mit Hilfe von gestohlenen Passworten.
Ein leider sehr erfolgreicher Trick für den diese (mehr oder weniger) alten Passworte verwendet werden ist der sog. Sextortion-Trick. Es werden Emails versendet die ein echtes Passwort oft bereits im Betreff enthalten und dies als Beweis nehmen, dass der Rechner des Opfers geknackt wäre und dass der Versender des Emails ein Video hätte, das beim Pornkonsum aufgenommen worden wäre. "Und ob man denn wirklich wolle, dass dieses Video alle Kontakte versendet wird?" Daran ist fast alles erlogen, stimmen tut nur, dass der Versender sich aus der Sammlung ein (mehr oder weniger altes) Passwort besorgt hat und jetzt mal schaut, ob der Empfänger darauf hereinfällt. Spätestens so ein Mail sollte man als Anlass nehmen, zumindestens auf allen Website auf denen dieses Passwort verwendet wurde, eine Passwort-Änderung zu machen (und vielleicht gleich zu einem Passwort-Manager zu wechseln.)
Die Zahlungen sollen per Kryptowährung passieren, d.h. sie sind zwar pseudonym, aber nicht anoynm. Es ist zu sehen, wie viel da so gezahlt wurde, hier Sextortion: Follow the Money Part . (der verlinkte Artikel verlinkt weiter auf einen Blockchain-Viewer, d.h. jedermann kann dort die Bewegungen auf den Konten sehen - so öffentlich sind die Bitcoin-Zahlungen.)
Es ist nicht ganz einfach zu sehen, wie viel Geld die Betrüger verdient haben, denn es werden sehr viele unterschiedliche Bitcoin-Adressen verwendet und die Gelder werden verschoben um eine Entdeckung bei der Auszahlung in "richtiges Geld" zu vermeiden. Aber insgesamt scheint es sich um ca. 40 Mio USD zu handeln, die Erpresser warten aber wohl noch, ob der Wert noch mal steigen wird.
Tipps für gute Passworte
Nachdem wir jetzt so viel schreckliches über Passworte gehört haben wird es jetzt etwas positiver: Wie geht man am besten mit den vielen Passworte um die sich nun mal bei intensiver Nutzung des Internets so ansammeln. Auf jeder zweiten Website und bei jedem Shop wird einem angeboten, sich die immer wiederkehrende Eingabe der Daten zu sparen und einen Account anzulegen. Aber nach "Geräten-mit-veralteter-Software" sind schlechte Passworte wohl die größte Schwachstelle die Benutzer im Web haben können.
Natürlich ist es gut wenn man sog. starke Passworte einsetzt aber noch viel viel wichtiger ist es, dass Passworte nicht wiederverwendet werden, sondern jede dieser Websites ein eigenes Passwort hat. Auf die Frage, wie man sich diese Hundert und mehr Passworte merken soll komme ich dann weiter unten in meinem Text über Passwort-Manager.
Hier jetzt die Erklärung was ein starkes Passwort ausmacht: mindestens 8 Stellen, mit Zahlen - aber die nicht am Ende, mit Großbuchstaben - aber nicht am Anfang des Worts, und am besten auch noch mit Sonderzeichen. Das ist aber nur dann eine Herausforderung, solange ich versuche, mit die Passworte alle zu merken, und das geht bei 100+ Passworten nun mal eigentlich nicht. Für alle, die ihre Passworte wirklich im Kopf behalten wollen, bzw. einige ihrer wichtigsten Passworte gibt es an anderer Stelle einige Tipps, wie man durch leichte Veränderungen aus schwachen Passworten bessere Passworte machen kann.
Ein wichtiger Punkt der bei Passworten beachtet werden sollte ist, dass die Kritikalität von Passworten nicht überall gleich ist. Dafür muss man das Risiko abschätzen, was passieren kann, wenn jemand anderes mein Passwort kennt. Sofort sagen vermutlich viele, dass das Passwort für ihr Bankkonto das wichtigste ist. Das stimmt aber nur begrenzt. Denn alle europäischen Banken haben mittlerweile eine sog. 2-Faktor-Authentisierung eingerichtet (sie wurden durch die EU zu 'ihrem Glück' gezwungen), daher eröffnet der Verlust des Bankenpassworts noch nicht den Zugriff auf mein ganzes Geld.
Ganz kritisch sind aber die Email-Konten und zwar, weil diese Email-Konten für Passwort-Recovery /Passwort-Rücksetzung genutzt werden. D.h. wenn ein Angreifer möglichst viele Konten eines Menschen "knacken" will, so wird er versuchen, an ein Email-Konto zu kommen und dann mal auszuprobieren, ob er darüber nicht alle anderen Passworte zurücksetzen kann. Ein drastisches Beispiel ist der Hack ganz vieler Konten eine bekannten Tech-Journalisten: Er hat über Passwort-Rücksetzungen sein Amazon-, Apple-, Gmail-, plus Twitter-Konto verloren und weil der Angreifer auch seinen iCount-Account geknackt hat, auch alle Fotos seiner Kinder . Der wirkliche Schutz gegen solche Angriffe ist das Einrichten von 2-Faktor-Authentisierung, die aus diesem Grund für fast alle Email-Konten dringend angeraten wird.
Zurück zu Passwort-Qualität: Die einzigen wirklich guten Passworte sind die, die noch niemand anderes je genutzt hat. Das testet man recht einfach indem man checkt, ob das Passwort bereits in den mehr als 2,3 Milliarden geknackter Passworte enthalten ist. Denn Angreifer testen routinemäßig alle diese jemals genutzten Passworte durch. Und weil die Angreifer alle jemals verwendeten Passworte durchprobieren der Tipp, dass für jede Website ein eigenes Passwort zu verwenden ist.
Denn die größte Gefahr für Passworte stellen nicht unachtsame Benutzer dar, sondern Website-Betreiber die sich die Passwort-Dateien abnehmen lassen. Fast jede Woche lässt sich irgendwo auf der Welt ein Betreiber seine/ihre Passworte abnehmen. Und die "Finder" der Passworte probieren diese dann bei allen gängigen Diensten aus. D.h. wenn z.B. der Betreiber einer Dating-Website Ihr Passwort "verliert", so wird die gleiche Kombination aus Benutzername (=Email-Adresse) und Passwort sofort bei facebook, amazon, ebay, twitter, gmail, apple, hotmail, gmx und vielen Banken durchprobiert.
Ob das eigene Passwort bereits bekannt ist, kann man übrigens auf haveibeenpwned.com prüfen. Hier die
Hinter der Website steht eine Sammlung von derzeit (Jan. 2019) über 2 Millarde gestohlener und geknackter Passworte.
Ein wichtiger Faktor für ein "gutes" Passwort ist, dass es nicht in einer dieser Listen verwendet wurde, weil diese Listen die Basis für Bruce-Force Angriffe sind.
Hier mein Tipp:
Geben sie auf https://haveibeenpwned.com/Passwords ein beliebiges PW ein, das sie für sicher halten, und sehen sie, ob es bei den irgendwann mal geknackten Passworten dabei ist. Falls es dabei ist, so sollten sie es nicht mehr nutzen.
Außerdem kann man seine eigene Email-Adresse auf der Website angeben und sehen,
ob sie in einem der vielen Leaks als Benutzernname dabei war.
Die beste Möglichkeit, für jede Website ein eigenes Passwort zu haben, sind sog. Passwortmanager. Dies sind Programme die alle ihre Passworte in verschlüsselter Form speichern. D.h. ich muss mir nur noch das eine Passwort des Passwortmanagers merken und dann habe ich alle anderen im Zugriff, egal wie komplex sie sind. Diese Passwort-Manager schlagen einem dann bei Bedarf Passworte vor, die nur aus Zufallsfolgen bestehen und absolut nicht zu merken sind. Oft nehme ich dann die Folge und verdoppele sie noch mal. Ich muss es mir weder merken, noch eintippen, denn diese Passwort-Manager fügen typischerweise die Passwort (mehr oder weniger) automatisch in die Login-Felder ein.
Die meisten dieser Lösungen bieten die (optionale) Funktionalität, dass alle ihre Passworte in der Cloud gespeichert werden. Der Vorteil ist, dass sie auf diese Weise die Passworte auf allen ihren Geräten im Zugriff haben. Der Nachteil ist, dass Angreifer sehr aktiv versuchen, in diese Cloud-Systeme einzudringen. Daher ist eine Speicherung nur auf dem lokalen Gerät bei ihnen zu Hause ganz deutlich sicherer als jede Cloud-Lösung.
Im Passwortmanager kann ich nicht nur meine Passworte abspeichern, sondern vieles mehr das später einmal hilfreich sein könnte:Das sind: die Email-Adresse die sie bei der Registrierung verwendet haben (das muss ja nicht ihre Hauptadresse sein, sollte es vielleicht auch gar nicht), natürlich das Passwort, aber auch die die Sicherheitsfrage und ihre Antwort (falls abgefragt), ein zusätzlicher PIN-code falls notwendig, Helpdesk tel-Nr., das (falsche) Geburtsdatum das sie dort evt. eingegeben haben, welche Handynummer sie für Passwort-Rücksetzen hinterlegt haben, Kreditkartennummern die dort hinterlegt sind, etc. etc.
Angriffe auf Websites haben interessantes statistisches Material über die Passworte zu Tage gefördert, die von den Benutzern genutzt wurden. Jan. 2019 ist die größte Sammlung auf 2,3 Milliarden Passworte angewachsen. Hier jetzt einige typische Beispiele aus früheren Hacks, aktuelle Passwortlisten sind beim Hasso-Plattner-Institut . Dort kommt das beliebeste Passwort "123456" aber mittlerweile auf fast 5%.
flirtlife.de
MySpace.com
Passwort
Anzahl
Passwort
in %
123456
1375
password1
0.22%
ficken
404
abc123
0.11%
12345
367
myspace1
0.11%
hallo
362
password
?
123456789
260
blink182
?
schatz
253
qwerty1
?
12345678
215
fuckyou
?
daniel
215
123abc
?
askim
184
baseball1
?
nadine
177
football1
?
1234
176
123456
?
passwort
173
soccer
0.04%
sommer
159
monkey1
?
baby
159
liverpool1
?
frankfurt
159
princess1
?
jordan23
?
slipknot1
?
superman1
?
iloveyou1
?
monkey
0.02%.
Eine sehr interessante Studie von Microsoft Research untersucht Web Password Habits (pdf) von 500 000 Benutzern. Sie finden dabei u.a. dass der durchschnittliche Web-Nutzer auf 25 Websites Passworte verwendet, die er/sie auch bei anderen Website nutzt und dass für Websites mit gemeinsamen Passworten im Schnitt 3,9 unterschiedliche Passworte verwendet werden. Wenig überraschend ist, dass die schwächeren Passworte bei einer größeren Zahl von Websites verwendet werden. Die dort beobachteten Webnutzer gaben pro Tag im Schnitt 8,5 mal diese mehrfach genutzten Passworte ein. Die Zahl der vergessenen Passworte bei yahoo.com wird mit 4% pro Quartal abgeschätzt und 0,4% der Benutzer scheinen pro Jahr auf eine Phishing-Website hereinzufallen (dieser Wert wird in anderen Untersuchungen ähnlich abgeschätzt).
Biometrie als scheinbare Lösung des Passwort-Problems
Um es gleich vorher zu sagen: Nein, die Biometrie ist keine Lösung, denn sie hat zwei schwerwiegende Probleme bei der Authentisierung:
Das erste Problem ist das schwerwiegendste: Wenn die biometrische Authentisierung geknackt ist, z.B. sind die biometrischen Daten in der Öffentlichkeit, dann gibt es keine Möglichkeit eines "Passwort-Resets"
Das zweite Problem ist, dass es nur sehr wenige Verfahren gibt, die wirklich sicher sind. Fast alles was am Markt derzeit eingeführt wird ist auszutricksen, vor allem Fingerabdrücke und Gesichtserkennung.
Unser Gesicht zeigen wir jeden Tag und unsere Stimme ist auch nicht geheim (Stimmen sind schon auf Entfernung aus deinem besprochenen Anrufbeantworter entnommen worden), und bei Fotos mit guter Auflösung kann auch die Iris gut erkannt werden. Sicherer sind Retina-Scan und die Venenstruktur der Hände, aber die lassen sich nicht so einfach in ein Smartphone integrieren. Daher wird dort hauptsächlich mit Fingerabdruck, Gesicht und Retina experimentiert. Und diese Geräte lassen sich recht leicht austricksen: Ärzte täuschten Scanner mit Silikon-Fingern bei der Erfassung der Arbeitszeit.
In dem folgenden Artikel erklärt ein Mitglied des CCC warum Bezahlen mit Selfie und Fingerabdruck nicht sicher ist. Er erklärt z.B. wie er die Lebenerkennung bei der Gesichtserkennung von Mastercard mit einem Stabilo-Stift überlisten kann. Er empfielt Venenscanner, aber die sind (derzeit) auf eingebaute Geräte begrenzt, z.B. für den Eintritt in Hochsicherheitsbereiche.
Auch Iris-Scanner sind keine Lösung. Erstes Problem ist, dass Iris-Daten "altern", d.h. die Iris verändert sich und nach einem Jahr (oder so) beginnt die Fehlerrate zu steigen, d.h. es muss immer wieder neu erfasst werden. Trotzdem will Singapur jetzt Iris-Daten bei allen Pässen miterfassen, was bei langen Gültigkeitszeiten zu einem Problem werden könnte. Außerdem lassen sich Iris-Daten leicht fälschen und dann Iris-Attrappen erstellen.
Wenn es aber mal gelungen ist, das biometrische Verfahren bei einem konkreten Bürger auszutricksen, z.B. durch einen künstlichen Fingerabdruck der über den richtigen Finger gestreift wird, so sind wir bei dem anderen Problem, dass wir der Person keine neuen Fingerabdrücke verpassen können. D.h. alle Systeme bei denen mit den Fingerabdrücken ein Zugang möglich ist, stehen dem Angreifer in diesem Fall offen.
Hier noch ein weiteres Problem der Biometrie. Bei einem Passwort ist die Eingabe des Nutzers entweder richtig, oder sie ist falsch, die Entscheidung ist binär. Es gibt kein "fast richtig". Biometrische Verfahren sind analog, d.h. es gibt eigentlich nie "ganz richtig", denn die akutelle Messung des Gesichts oder des Fingerabdrucks stimmt immer nur "ungefähr" mit den gespeicherten Werten überein. Daher werden Schwellwerte eingestellt, bei deren Überschreitung ein "richtig" angenommen wird.
Es gibt dabei 2 Arten von Fehlern: False Positive sind Übereinstimmungen obwohl es unterschiedliche Personen sind (z.B. weil sich die Merkmale relativ ähnlich sehen oder der Schwellwert auf "unkritisch" gestellt wurde), False Negative sind die Ergebnisse von Prüfungen, bei denen die richtige Person abgewiesen wird, weil die akutelle Messung anders ausgefallen ist, als die gespeicherten Werte. Es gibt kein biometrisches Verfahren, bei dem dieses Problem nicht auftritt. Abhängig davon wie wichtig es ist, dass keine Fehler der einen oder anderen Art auftreten wird der Schwellwert geeignet eingestellt. Dabei ist es so, dass wenn man die False Negative reduziert (damit die Benutzer nicht frustriert sind, dass sie ihr eigenes Gerät nicht entsperren können), sich automatisch die False Positive erhöhen (d.h. Angreifer können auch mit schlampigen Replikationen zum Zug kommen).
Daher spricht sehr viel für gute Passworte, in Verbindung mit einem zweiten Faktor wenn es etwas sicherer sein soll. Und deswegen handelt der Rest des Texts von richtigen Passworten, wie sie angegriffen werden und wie man sie richtig nutzt.
Um wirklich zu klären, wie gute Passworte aussehen sollten, hat Arstechnica in 2013 auch so einen Crack-Test durchführen lassen. Hier eine Zusammenfassung der Ergebnisse (mit einigen Ergänzungen meinerseits):
Normalerweise werden starke Passworte immer dann benötigt, wenn der Angreifer die Möglichkeit zu beliebig vielen Versuchen hat. Wenn nach 3 Versuchen blockiert wird, so sollten auch etwas schächere Passworte ausreichen. Deswegen ist es durchaus akzeptabel, wenn Bankomatkarten, die nach 3 Versuchen gesperrt sind, mit nur 4 numerischen Stellen gesichert sind (man braucht 5000 Versuche um die Hälfte zu "cracken").
Schächere Passworte reichen aber nur dann, wenn garantiert werde kann, dass die Angreifer nicht an die gehashten Passworte kommen - deswegen der Tipp: IMMER sichere, d.h. mindestens 8-stellige Passworte mit Zahlen, Buchstaben und Sonderzeichen verwenden (siehe die vielen Beispiele weiter oben).
[Einschub: Extrem starke Passworte werden gebraucht für MS Office Dateien, PDF-Dateien, Zip-Dateien, PGP-Dateien und für Windows- und andere Benutzer-Accounts (auch auf Websites), da dort die Gefahr besteht, dass ein Angreifer das Objekt selbst im Zugriff hat und sehr leicht mit Brute Force gegen die verschlüsselte Datei testen kann. Bei so etwas rate ich zu deutlich über 100 Zeichen (die man sehr sicher aufbewahren sollte - denn merken kann sich die niemand).]
Wenn Angreifer gehashte Passwort-Dateien erobern können, so setzen sie spezielle Crack-Programme ein, die versuchen, über sog. Brute Force-Angriffe die Zeichenkombination zu erraten, die zu dem gefundenen Hash gehört. Das war früher ein mühsamer langwieriger Prozess, heute werden dafür Grafikkarten eingesetzt. So kann eine AMD Radeon HD7970 GPU 8,2 Milliarden Passworte pro Sekunde durchprobieren (vorausgesetzt es wurde ein schwacher Algorithmus wie MD5 verwendet). Dafür war vor einigen Jahren noch ein Supercomputer notwendig. Und die PCs der Cracker haben oft mehr als 1 Grafikkarte eingebaut.
Mit so etwas dauert ein Brute Force gegen bis zu 6-stellige Passworte mit groß, klein, Zahlen und Sonderzeichnen nur einige Minuten (die Zahl der Versuche ist: Summe von 956 + 955 + 954 + 953 + 952 + 95). Daher sind 6 Stellen ganz klar "out". Dann versuchen die Cracker alle 7- und 8-stelligen mit "nur klein" und "nur groß". Das sind jeweils 268 + 267 Versuche, d.h. weniger als 1 Minute. Als nächstes "nur Zahlen", bis zu 12 Stellen, in wenigen Minuten.
Dann kommen die Wortlisten: Früher starteten solche Programme mit einer Liste der 1000 beliebtesten Passworte (siehe obige Listen) und probierten dann jeweils 100 beliebte Anhänge wie 123. (das knackt 24% aller Passworte). Dann folgte ein Wörterbuchangriff (spezifisch für die Sprache des Opfers) - 5000 Wörter, 10 000 Namen, dabei werden auch wieder jeweils bis zu 2 Zahlen angehängt, die 1. Position groß und klein geschrieben und beliebte Ersetzungen durchprobiert (o wird 0, s wird $, a wird @, i wird !). Dann folgten Ketten von sinnlosen, aber aussprechbaren Silben wie lefril oder robgan. Diese und alle Wörterbuch-Einträge werden dann mit längeren Zahlenfolgen und Sonderzeichen kombiniert, aber dabei wird die Zeit für das Durchprobieren natürlich immer länger.
Heute haben die Angreifer diese riesigen Sammlungen von echt-genutzten Passworten und sie nutzen daher Listen mit bis zu 100 Mio Passworten (siehe weiter oben zur Welle der Passwort-Diebstähle in 2012). Für diese langen Listen versuchen sie die üblichen Variationen: Anfangsbuchstabe groß, Zahlen im Ende, a durch @ ersetzt, etc.
Dies kann ergänzt werden durch andere Methode die auf sog. Markov-Ketten beruht. Dabei werden die Erkenntnisse aus den ersten schnell gecrackten einfachen Passworten genutzt. Diese Methode nutzt aus, dass Passworte aller Nutzer einer Website sich sehr oft ähneln (siehe meine obigen Beispiele von flirtlife.de vs. MySpace.com und RockYou.com). Für jede Stelle werden dann nicht alle 95 möglichen Zeichen geprüft, sondern nur ca. 65 (Z.B. ist die Wahrscheinlichkeit sehr hoch, dass nach der 1. Stelle nur noch kleine Buchstaben kommen. Ebenso stehen fast immer die Zahlen am Ende des Passworts. Wenn mal eine gewisse Zahl von Passworten für diese Website erkannt wurde, so können diese wiederum beim Cracken des Rests helfen.
Bruce Schneiers Lösungsvorschlag daher: Großschreibung in der Mitte des Wortes und nicht am Anfang, Zahlen und Symbole in der Mitte des Wortes oder zwischen 2 Worten und vor allem das Speichern von komplizierten Passworten in sicheren Programmen zur Passwort-Speicherung.
Ein anderer Angriff geht über sog. Rainbow-Tables. Dieser Angriff wird eingesetzt, wenn eine Datei der Passworte vorliegt, die mittels eines Hashs geschützt ist. Hier werden die vorberechneten Ergebnisse mit der geklauter Passwort-Datei verglichen. Schutz dagegen liegt in sauberer Programmierung im zu schützenden System (damit die Angreifer die Datei oder die Datenbank-Tabelle mit den Passworten gar nicht erst entführen können) und vor allem darin, dass die Passworte zuerst mit einem Zufalls-Salz verlängert werden (mehr dazu weiter unten).
Social Engineering der Passwort-Rücksetzungs-Prozesse
Hier ein weiterer Angriffstyp der bei vielen der heutigen Cloud-Dienste sehr effektiv ist: Social Engineering der Prozesse zur Rücksetzung eines vergessenen Passworts. Das ist die eigentliche Achilles-Ferse vieler Cloud-Dienste wie Webmailer, Speicherdienste, Social Networks, aber auch Online Shops.
Ein eindrucksvolles Beispiel aus 2012 ist ein Angriff über Amazon, Gmail und Apple auf Twitter- und Gmail-Accounts des Wired-Mitarbeiters Mat Honan, das ich an anderer Stelle ausführlich dokumentiert habe (siehe voriger Link).
Dieser Artikel zeigt sehr dramatisch, wie sehr bei den heutigen Cloud-Diensten das Zurücksetzen der Passworte zum riesigen Sicherheitsproblem geworden ist. Unter dem Stichwort Cloud Security beschreibe ich dann, wie man sich am besten gegen solche Angriffe schützt.
Ein guter technischer Artikel zur Programmierung von Passwort-Rücksetzungen wurde 2013 veröffentlicht: Exploiting Password Recovery Functionalities. Dort werden Best-Practise Regeln erklärt: Generierung eines Links mit einem mindestens 64-stelligen Code, gültig maximal 24 Std und nur einmal nutzbar. Dazu gibt es Negativ-Code-Beispiele in php in dem die 6 relevantesten Angriffstechniken zu finden sind - also auf keinen Fall nutzen, nur daraus lernen.
Ein Thema aus meinen Vorträgen: Passworte haben viele Failure-Modes (das ist Techno-Sprech für "es gibt viele Möglichkeiten, wie das in die Hose gehen kann") und wir konzentrieren uns üblicherweise bei den Passwortregeln oft auf genau die falschen. Hier ein Beispiel aus 2009 (das über eigentlich ständig wiederholt wird) von einem Angriff auf ein Twitter-Konto. Ein französischer IT-Mann hatte zu viel Zeit und es fiel im dafür nichts besseres ein, als zu versuchen, Twitter anzugreifen. Und zwar nicht die Websites, sondern die Firma selbst.
Hintergrund: Twitter nutzt den Gmail-Service "gmail for domains", d.h. die Firmenaccounts der Twitter-Mitarbeiter lauten zwar auf @twitter.com, aber liegen auf Gmail. Und Gmail (bzw. eine Reihe von Angestellten) nutzen auch Google-Apps für ihre Textverarbeitung.
1. Angriffsschritt: gründliche Recherche der Twitter-Mitarbeiter auf der Twitter Homepage und den Social Networking Websites. Er findet dabei viele interessante Details, auch z.B. Email-Adressen (siehe Social Engineering)
2. Angriffsschritt: der Hacker versucht das Passwort von Privat-Gmail-Accounts von Twitter-Mitarbeitern zu erraten, Trial and Error. Dabei findet er, dass bei der Passwort-Rücksetzung "Forgot your Password?" in einem Fall die Meldung kommt "Password sent to secondary account ******@h******.com". Der Hacker geht auf hotmail und probiert verschiedene Adressen aus. Er bekommt die Meldung, dass eine davon abgelaufen ist und zur Neu-Registrierung verfügbar ist. Dies tut der Hacker, d.h. er hat jetzt einen neuen Hotmail-Account, der aber als Secondary Email für die Passwort-Recovery eingetragen ist. Zurück auf Gmail lässt er sich das Passwort auf den Hotmail-Account senden
3. Angriffsschritt: Dabei ist aber das Gmail-Passwort geändert worden. Der Hacker durchsucht die Emails auf die er jetzt Zugriff hat und findet dort Hinweise auf Passworte auf anderen Website. Ein Passwort scheint auf vielen Websites genutzt zu werden. Er ändert den Gmail-Account auf dieses Passwort, damit der Mitarbeiter selbst nicht ausgesperrt ist.
4. Angriffsschritt: Jetzt geht der Hacker mit dem selben Passwort auch in den Firmen-Account des Mitarbeiters und dort ist eine Fundgrube von Dokumenten in Email-Anhängen.
5. Angriffsschritt: Mit Hilfe dieser Informationen und der bereits in Schritt 1 gewonnenen knackt der Hacker jetzt einen Firmen-Email Account nach dem anderen. Hauptwerkzeug sind die Secret Questions zur Passwort-Rücksetzung, deren Problematik bereits oft diskutiert wurde. Der Benutzer hat zwar evtl. ein sicheres Passwort gewählt, andererseits bietet der Service einen Alternativ-Zugang über eine simple Frage wie "Geburtsname der Mutter" oder "Names des Haustiers" (zu finden auf der Social Networking Seite des Betreffenden).
6. Angriffsschritt: Der Hacker greift auf die gleiche Weise auch die Accounts vieler Mitarbeiter (inklusive des Managements) auf AT&T (Anrufliste), Amazon (Liste der Käufe), MobileMe (for more personal emails) und iTunes (die die volle Kreditkartennummer preisgeben). Beim Registrar GoDaddy hätte er die Domaine twitter.com zusperren können. Niemand bei twitter hat bisher irgendetwas gemerkt.
Irgendwie kam dann etwas von "geknackten Twitter-Accounts" in die Presse, der Pressesprecher erkärt, dass keine dienstlichen Accounts betroffen wären. Daraufhin sendet der Hacker 301 vertrauliche Dokumente an die Presse.
Was lerne ich daraus? Erstmal ist es eine weitere Bestätigung, dass die Sicherheit der Authentifizierung nicht allein in starken Passworten liegen kann, siehe Do Strong Web Passwords Accomplish Anything?. Der Angreifer hat nicht ein einziges Passwort wirklich raten müssen, die Schwachstellen lagen an anderer Stelle, wie so oft.
Zweitens lerne ich daraus, dass Cloud Computing, der neueste Hype in der IT, an dieser Stelle eine dicke Achilles-Ferse hat: Wenn dies ein internes Firmen-Email System gewesen wäre, so hätte des Knacken eines Privat-Accounts selbst dann nicht viel gebracht, wenn dort das gleiche Passwort verwendet würde. Dann wäre nämlich immer noch ein Eindringen in das Firmen-Netz notwendig gewesen (was zwar auch kein grundsätzliches Problem darstellt, aber die Hürde doch deutlich höher legt).
Das gilt genauso für die Google Apps wie Textverarbeitung, etc. Wenn ein Unternehmen seine Dokumente auf diese Weise im Web bearbeitet, so hängt die Sicherheit der Dokumente ausschließlich von der Qualität jedes einzelnen Passworts (und der Passwort-Prozesse, siehe Rücksetzungen) ab. Dann ist es mir aber immer noch lieber, die Dateien liegen auf den internen Servern.
Ergänzung Sept. 2009: Die Studie It’s no secret - Measuring the security and reliability of authentication via ‘secret’ questions (pdf). Wieder geht es um diese 'secret questions' zur automatisierten Passwort-Rücksetzung. Hotmail berichtet, dass dies nur bei 43% der Kunden gelingt. Gleichzeitig zeigen dann Tests im Labor, dass 20% der Teilnehmer nach 3-6 Monaten die eigenen Antworten vergessen hat, aber immerhin 13% der Fragen auf Grund von Wahrscheinlichkeitsbetrachtungen auch durch Fremde zu knacken waren und bei 5 möglichen Versuchen zwischen 17 und 39 der (möglicherweise Ex-)Partner die Fragen beantworten konnten. Dass Angriffe über Rücksetzungsmechanismen wirklich stattfinden zeigen die Fälle Sarah Palin und Twitter (siehe auch Can’t Open Your E-Mailbox? Good Luck).
Es ist unumstritten, dass für eine sichere Nutzung von Internet-Diensten unterschiedliche Passworte für jede Website verwendet werden müssen. Aber ohne Hilfsmittel ist dies kaum zu schaffen. Die Lösung dafür ist ein Passwort-Manager. Auf diese Weise muss ich mir nur 1 starkes Passwort merken und alle anderen merkt sich der Passwort-Manager für mich. Außerdem erzeugt die Software schön lange Zufallsfolgen und setzt diese dann auch noch automatisch in die Login-Felder ein.
Es gibt dafür eine Reihe von Lösungen, ich verwende Passwort Safe von Bruce Schneier. Ich finde die Software sehr bequem - ich kann über einen Doppelklick auf vielen Websites direkt einloggen, die Software ist kostenlos (und nicht unter den meistgenutzten Lösungen, sie ist daher vermutlich nicht so sehr im Fokus der Angreifer - weiter unten sind mehrere Übersichten verlinkt.)
Es gibt mittlerweile auch in viele der Web-Browser, z.B. in den Firefox, fest eingebaut Passwort-Manager. Ob das eine gute Idee ist, das ist unter den "Experten" nicht ganz unumstritten. Aber auf jeden Fall ist es 100x besser, als Passworte auf mehr als 1 Website zu verwenden - Recycling ist gut, aber nicht bei Passworten! Ganz wichtig ist bei Speicherung im Web-Browser, dass auch dort ein Master-Passwort gesetzt werden muss.
Es gibt Angebote, die nur für einzelne Plattformen zur Verfügung stehen und andere, die die Passworte auch mit mobilen Geräten synchronisieren. Das ist sehr bequem, setzt aber voraus, dass die verschlüsselte Datenbank mit den Passworten irgendwo im Internet stehen muss.
Ich persönlich bleibe lieber auf der sicheren Seite und verwende getrennte Lösungen (ich brauche auf dem Smartphone auch nicht alle meine vielen Passworte, weil ich mein Shopping am PC erledige). Damit bleibt die verschlüsselte Datenbank mit den Passworten jeweils nur auf 1 Gerät und ist dort sehr viel schlechter angreifbar. Eine Synchronisation zu anderen Geräten (in der Regel über eine Cloud-Lösung) schwächt die Gesamtsicherheit, ist aber schon sehr bequem.
Hier einige der Angebote: z.B. KeePassXC - cross-platform, kostenlos, Enpass cross-platform (auf Smartphones nur die Lite Version kostenlos, KeePass kostenlos, nur Desktop, Password Safe kostenlos, nur Desktop.
Es wurden 150 Websites untersucht und nur 3 davon haben Passwort-Sicherheit vollständig implementiert: verschlüsselte Übertragung, Hashing statt Abspeichern-in-Klartext und Verhinderung von Brute-Force Passwort-Probing oder Username-Probing.
Ein sehr guter Text Storing passwords in uncrackable form beschreibt den derzeitigen Stand der Technik beim Schutz von Passworten, der aber leider nicht sehr weit verbreitet ist.
Der Text beschreibt, dass die häufigste Antwort beim Schutz von Passworten, nämlich, ein mehrmaliges Hashen mit einem sog. Salt nicht mehr dem Stand der Technik entspricht. Ein einfacher Hash (der über einen mathematischen Algorithmus aus einem Text einen Code fester Länge macht, aus dem die Originalfolge nur mit sehr sehr erheblichem Aufwand wieder zu gewinnen ist) lässt sich wie oben bei den Tricks der Angreifer erklärt wurde, bei kurzen Passworten mit eingeschränktem Zeichensatz mit einem Brute-Force Angriff gegen alle möglichen (oder wahrscheinlichen) Kombinationen leicht knacken. Die sog. Rainbow-Tables erleichtern dies noch dadurch, dass die Hashs der gängigen Passworte bereits alle vorberechnet sind.
Um dies zu erschweren wird "gesalzen". D.h. das Passwort wird durch eine längere Zufallsfolge verlängert. Die Zufallsfolge wird zwar zusammen mit dem "gesalzenem" Hash des Passworts abgespeichert, aber trotzdem klappt die Sache mit den Rainbow-Tables jetzt nicht mehr, der Angreifer muss jetzt wirklich diese Brute-Force Berechnungen alle durchführen. Aber mit Hilfe von schnellen Graphikprozessoren lässt sich dies heute jedoch für kurze und gängige Passworte erledigen.
Um es den Angreifern aber noch mal zu erschweren (indem man die benötigte Rechenzeit hochschraubt) kann der Verteidiger dieses Hashen nicht nur einmal über das Passwort + Hash laufen lassen, sondern in einer Schleife ganz oft. Das Ergebnis des Hashs wird wieder gehasht und das z.B. 256 mal. Der Brute-Force Angreifer muss dies auch tun und sein Angriff ist den 256 mal so langsam.
Aber die beste Lösung ist es, die schnellen Algorithmen wie SHA-256 ganz zu vermeiden, sondern Password-Based Key Derivation Function 2 (PBKDF2) oder Bcrypt zu verwenden, die extra langsam sind:
Normally, cryptographic function are programmed to be fast, however, for password-hashing, the slowliness of the function slows done the attacker more than the good guy. When the user enters a password, it does not matter much whether the hashing takes less than 1 millisecond or more than 100 milliseconds, for the attacker that wants to crack 160 million passwords through brute force and needs to try huge number of possible passwords (as in the LinkedIn, eHarmony and Last.fm cases), it matters a lot.
Der Artikel listet dann auf, welche Default Passwort-Algorithmen in Standard-Software verwendet wird. Die schlechte Nachricht ist, dass nur phpass und Drupal 7 es in der Standard-Einstellung bereits richtig machen. Typo 3, WordPress, phpBB und Joomla haben als Standard entweder den lange geknackten MD-5 Algorithmus oder verwenden den Hashing Algorithmus nur für wenige Runden (nicht 3-stellig wie notwendig). Der Artikel erklärt dann was bei den Paketen notwendig ist, um sie in Bezug auf Passworte sicher zu implementieren.
Und hier jetzt ein sehr drastischer Artikel dazu, wie man es nicht machen darf: Lessons in website security anti-patterns by Tesco. Tesco ist eine große englische Supermarktkette, und deren Website demonstriert fast alle Fehler, die jemand bei der Verarbeitung von Passworten machen kann.
Provokante Thesen zu sicheren Passworten, bereits 2017 (endlich) bestätigt durch die NIST
Es gibt zum Thema Passworte eigentlich in jedem Artikel die gleichen Passwort-Regeln:
Starke Passworte nutzen
Häufiges Ändern dieser Passworte
Unterschiedliche Passworte für unterschiedliche Zwecke
Niemals aufschreiben
Diese Regeln finden wir zwar überall, auch in allen Standards, aber wie sinnvoll sind sie wirklich und wieviel Schutz bieten sie wirklich?
Natürlich gibt es keinen Zweifel, dass starke Passworte besser sind als starke Passworte. Andererseits habe ich deutliche Problem, wenn ich alle 4 Regeln gleichzeitig einhalten will. Wenn ich komplexe Passworte nutze, sie monatlich ändern muss und mir nicht aufschreiben darf, dann ist eigentlich sichergestellt, dass ich von meinen 25 häufigst genutzten Passworten nach einem Urlaub mindestens 20 vergessen habe.
Ein Unternehmen kann versuchen dieses Problem durch eine Single-Signon-Lösung (SSO) zu entschärfen, aber viele meiner Passworte hängen nicht mit meinem Arbeitgeber zusammen, sondern betreffen verschiedene Websites wie z.B. Internet-Banking, Webmail-Zugänge, Zeitschriften-Abos, etc. für die mir ein Firmen-SSO überhaupt nicht hilft.
Hier eine Aufzählung der häufigsten "Failure Modes" von Passworten:
Phishing (der Benutzer gibt es auf einer falschen Website ein)
Keylogging (der PC des Benutzer ist infiziert)
Brute-force Angriff auf den Benutzer-Account
Brute-force Angriff, aber quer über alle Benutzer-Accounts
Provokation Nummer 1: Die Konzentration auf starke Passworte ist kontraproduktiv
Die Liste der Failure Modes weiter oben zeigt auf Platz 1 und 2 Angriffe, bei denen ein starkes Passwort genau überhaupt nichts hilft. Starke Passworte helfen beim Angriff Nummer 3, das stimmt. Andererseits kann ich den in vielen Fällen viel leichter vereiteln, z.B. in dem nach einer bestimmten Zahl von Fehlversuchen der Account gesperrt ist (oder besser, der nächste Login-Versuch erst nach einer langen Verzögerung möglich ist). Wenn nach 3 oder 6 Versuchen der Account gesperrt ist, so ist selbst eine 4 stellige PIN-Nummer ziemlich sicher, immerhin wird sie für Bankomaten für ausreichend gehalten. D.h. die Anforderungen an die Passwort-Qualität (und damit den Stress für den Anwender) kann deutlich reduziert werden, wenn eine vernünftige Lösung für Brute-Force Angriffe implementiert wird.
Bleibt noch der Brute-Force Angriff über alle Benutzer-Accounts. Dabei versucht der Angreifer immer das gleiche Passwort (z.B. "passwort") gegen alle Benutzer-Accounts. Bei jedem Account wird nur 1 Versuch gemacht, d.h. die Account-Sperre spricht nicht an. Dieser Angriffe war früher gegen eBay sehr beliebt, weil eBay die vollständigen Benutzernamen an vielen Fällen auf ihrer Website angezeigt hatte. Nach 100 oder allerspätestens 1000 Versuchen war immer ein Account gefunden, bei dem das Passwort "passwort" ist (siehe obige Liste der beliebtesten Passworte).
Die Antwort dagegen: Erstens, die Benutzer-Accounts nicht veröffentlichen. Zweitens dafür sorgen, dass die Benutzer-Accounts öffentlich bekannt sind (z.B. weil die Email-Adressen genutzt werden). Und drittens, dafür sorgen, dass die Account-Namen lang genug (und dadurch nicht "dicht") sind. Es ist nämlich in diesem Fall die Summe aus Passwort-Länge und Account-Namen-Länge (bzw. deren Komplexität), die die Sicherheit ausmacht und nicht das Passwort allein. Ein kurzes Passwort und ein langer Account-Name sind einfacher zu merken (der Benutzer darf sich den nämlich wirklich aufschreiben oder abspeichern) und die Sicherheit ist die gleiche.
Wenn eine Bank 10 Millionen Kunden hat und 8-stellige Verfügernummern, dann kommt der Angreifer bei jedem 10. Versuch auf eine gültige Verfügernummer. Wenn diese aber 9-stellig ist, so braucht er ca. 100 Versuche, um 1 Account richtig geraten zu haben (außer, die Nummern werden aufsteigend vergeben).
Fazit: Dies ist kein Argument, schwache Passworte zu erlauben.
Eine ähnliche Argumentation versuchen 2 Forscher von Microsoft in ihrem Artikel Where Do All The Attacks Go?, gut zusammengefasst in Why isn't everyone hacked every day?. Die Wissenschaftler gehen von dem Paradoxon aus, dass die große Mehrzahl der Passworte lächerlich schwach sind, aber nur 5% der Internetnutzer jedes Jahr "gehackt" werden (z.B. indem ihr Email- oder Facebook-Account übernommen wird). Die Argumentation ist, dass es kein Problem ist, den Namen des Lieblingshundes als Passwort zu nehmen, weil die Angreifer, sofern sie nur auf das Geld aus sind, immer nur Angriffe suchen, die "skalieren". Skalieren bedeutet, dass der Angriff automatisiert ausgeführt werden kann, sonst rechnet sich das ganze nicht, und der Angreifer könnte gleich einer ehrlichen Arbeit nachgehen.
So weit stimmt das Argument auch, aber ich persönlich möchte eigentlich nicht zu den 5% gehören, die ihre Accounts verlieren. Nemen wir das Beispiel der veröffentlichten Passworte nach Anonymous Angriffen in Österreich. Bei dem einen Angriff hatte der Webentwickler die Passworte der Mitglieder gleich im Klartext abgespeichert, da hilft auch ein starkes Passwort nicht. Im anderen Fall aber waren die Passworte mit MD5 "gehasht" worden, und dann waren alle die Nutzer geschützt, die ein starkes Passwort hatten, denn dieses konnte nicht geknackt werden. D.h. hier haben starke Passworte geholfen und schwache Passworte den Benutzer geschadet (Anonymous hatte nämlich dem Rest der Welt vorgeschlagen, mal zu prüfen, ob diese Benutzer das gleiche Passwort auch auf Facebook oder GMX verwenden).
Und der zweite Fall, bei denen ein schwaches Passwort wie "bello" nicht gut ist, sind alle jene, bei denen die Motivation für den Angriff Rache, Eifersucht, Neugier und andere starke Emotionen eine Rolle spielen oder wo es um gezieltes Bullying geht. In all diesen Fällen kennt der Angreifer/Angreiferin vermutlich die Person und kann sehr wohl auf die Idee kommen, "bello" mal auszuprobieren.
Fazit: Es zahlt sich sehr wohl aus, aus dem "bello" so etwas wie "--be--llO" oder be1234LLo" zu machen. Und es ist wichtig, auf GMX und Facebook (usw.) Variationen wie z.B. "FB--be--llO" zu verwenden.
Provokation Nummer 2: Monatliche Passwort-Änderungen sind kontraproduktiv
Extrem lästig ist es auf jeden Fall wenn das toll ausgedachte Passwort nach spätestens 90 Tagen (sehr oft aber 30 Tagen) wieder vergessen werden und ein neues gemerkt werden muss. In dem Artikel wird sehr schön diskutiert, dass ein Passwort viele "failure modes" hat und das Cracken durch einen Passwort-Cracker nur eines von vielen ist, und vermutlich nicht mal das häufigste Problem. Wenn es gecrackt werden kann (z.B. weil der Laptop gestohlen wurde), dann normalerweise in weniger als 1 Tag. Warum also 30 Tage oder gar 90 Tage? Die erzwungene Passwort-Änderung bei jedem der betroffenen Accounts jeden Monat bringt bei mir immer einen erheblichen Zorn mit sich, denn oft werden meine cleveren Passwort-Entwürfe ohne gute Erklärung zurückgewiesen. Und natürlich muss ich mir aufschreiben, wie die vielen neuen Passwort alle heißen.
Wenn auch ein 8-stelliges Passwort in viel weniger als 30 Tagen geknackt ist, warum also nicht alle 60 Sekunden ein neues Passwort? Ja, so etwas gibt es nämlich und wird sogar sehr häufig eingesetzt, genannt One-Time-Passwort (OTP). Oft als kleines Gerät (Token), das alle 60 Sekunden eine neue 6-stellige Zahlenfolge präsentiert. Oder über SMS, die sog. Mobile TAN. Und das bedeutet, dass ich mehr Sicherheit habe und mir weniger merken muss.
Provokation Nummer 3: Das größte Problem sind die "Secret Questions"
Ein Angriff auf Twitter zeigt den vermutlich gefährlichsten Failure-Modus von Passworten: Die automatische Rücksetzung über sog. "Secret Questions". Der Artikel (siehe Link) gibt viele Hintergründe und weitere Links zu diesem Thema.
Bruce Schneier schreibt dazu, dass er selbst 7 der 10 Regeln verletzt. Ich selbst verletze (hier und dort, natürlich nicht systematisch) immerhin 9 der 10 Regeln. Eine der Regeln ist für die meisten Menschen unmöglich einzuhalten: Don't enter passwords in computers you don't control. Wie soll ich denn in der Firma arbeiten, ohne mein Passwort eingeben zu können, solche Forderungen sind traumtänzerisch.
Was meines Erachtens im 1. Artikel (mit den 10 Regeln) vollkommen fehlt ist eine Risikobetrachtung (die die meisten von uns intuitiv tun). Es gibt low-risk Web-Accounts (z.B. für einen Routenplaner oder ähnliches) bei dem ein einheitliches simples Passwort keinen Schaden anrichten kann. Dann gibt es medium-risk Websites, dazu gehören für mich die Email-Accounts. Die high-risk Websites sind für mich dann alle mit Finanzen, z.B. Internetbanking. Für letztere brauche ich natürlich unterschiedliche starke Passworte. Ob ich die gleiche Stärke auch für Email-Accounts brauche, hängt auch davon ab, welche vertraulichen Daten dort zu finden sind. Vertrauliche Daten gehören für mich grundsätzlich nichts ins Internet, auch nicht in der Form von Cloud-Computing wie Google Apps. Dort sind nämlich Passworte der einzige Schutzmechanismus und das ist, wie hier deutlich gezeigt, ein extrem schwacher Schutz.
Don Norman, ein sehr renomierter Experte zu Fragen der Usability, schreibt auch zum Thema Passwort-Regeln When Security Gets in the Way (2. Teil des Artikels, ab der Tabelle). Er bringt Beispiele wie Sicherheitsdesign die Benutzbarkeit bisher weitgehend ignoriert.
Es entwickelt sich in 2009 eine wachsende Schule die sagt, dass in manchen Aspekten die Benutzer die Vernünftigen sind und die Sicherheitsabteilungen unsinnige Forderungen aufstellen. Hier ein guter Artikel dazu: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Cormac Herley legt am Beispiel von Passwort-Regeln dar, dass die Nicht-Einhaltung einiger dieser Regeln (wie ich auf meiner Seite zu Passworten auch aufzeige) sehr oft viel Mühe spart und das Risiko nicht wirklich erhöht (z.B. die Forderung, Passworte alle 4 Wochen zu ändern - warum eigentlich 4 Wochen?).
Okt. 2016: Über drei Milliarden Accounts gekapert berichtet heise.de. Damit meinen sie aber keinen neuen Raubzug, sondern das sind Datensätze mit geklauten Accounts die im Netz kursieren, ein Großteil davon ist für jeden durchsuchbar. Quellen sind z.B. Yahoo (500 Millionen Datensätze), eBay (145 Mio.) LinkedIn (177 Mio.) oder YouPorn (1,3 Mio). Oft sind die Daten auch bereits aufbereitet, d.h. geknackt und die Passworte liegen dann in Klartext vor. Im linken Block ein Link auf eine Website, wo man schauen kann, ob man dabei ist.
ACHTUNG: Die Tatsache, dass der letzte Eintrag zu Passwort-Diebstählen vom Okt 2016 ist heißt nicht, dass seitdem keine Passwort gestohlen wurden. NEIN. Jede Woche gibt es Berichte über größere Mengen von Passworten die gestohlen wurden, an anderer Stelle verlinke ich auf eine ständig aktualisierte Übersicht über Passwort-Verluste.
Juni 2016: An anderer Stelle ein Interview mit einem russischen Hacker, der derzeit eine Sammlung von 800 Mio Passworten anbietet und behauptet, eine weitere Milliarde zu besitzen. Die Daten sind meist alt (2012 und 2013) aber weiterhin verwendbar, weil kaum jemand Passworte ändert und die alten Passworte auf vielen weiteren Accounts verwendet werden. Auch Zuckerberg und andere Prominente hat es erwischt.
Hier eine interessante Untersuchung aus 2016 zu den Gründen, warum Nutzer simple Passworte wählen, bzw. das gleiche Passwort auf vielen Websites. 95% der Nutzer wissen wie in gutes Passwort aufgebaut ist. 91% weiß, dass es riskant ist, Passworte mehrmals zu nutzen. Aber 61% der Nutzer (und 55% der wissenden Nutzer) tun es trotzdem. Warum eigentlich?
Die Psychologen finden in der Untersuchung einen Typ A und einen Typ B von Nutzern. Typ A sagt, sie hätten ein so cleveres Passwort-System, dass für sie kein Risiko besteht. Dies sind die Nutzer, die selbst die Kontrolle behalten wollen. Typ B (über 50% der Nutzer) erklärt, dass die Wiedernutzung von schwachen Passworten bei ihnen kein Problem ist, weil sie ihre Internet-Aktivitäten so einschränken, dass ihnen nicht viel passieren kann, u.a. weil ihre Accounts keinen wirklichen Wert darstellen.
Literatur
Ross Anderson, Security Engineering - The Book, Chapter 2: Usability and Psychology, Kapitel 2.4 Passworte (weitgehend als pdf verfügbar)
Jährlicher Test in England: Ein Schokoriegel und Lächeln für das Passwort. Und hier ein gut beobachteter 2011 Kommentar dazu: . Der Autor hat Recht: Das Hauptproblem ist, dass es zu wenig Interesse gibt, die Zugriffe durch ein gutes Passwort zu sichern. Und es gibt zu wenige gute kreative Anleitungen für die Erstellung von guten und mit vernünftigem Aufwand merkbare Passworte. Und der Autor hat Recht, dass in den meisten Unternehmen die Interessenlage der Sicherheitsverantwortlichen ist, dass sie selbst aus der Verantwortung sind - siehe die Forderung nach Passwort-Änderungen nach 1 Monat.