Derzeit beschäftige ich mich intensiv mit Passwörtern. Bei der Grundlagen-Vermittlung greife ich auf einige Begriffe zurück, die nicht jedem vollumfänglich bekannt sind. Deswegen habe ich eine Übersicht mit acht grundlegenden Fakten für euch erstellt.
1. In meinen Browser ist doch ein Passwort-Safe eingebaut
Stimmt, vermutlich bietet dein Browser so eine Passwort-Safe-Funktion. Und vermutlich hat er sie dir auch schon angeboten. Aus Sicherheitsgründen raten Experten allerdings davon ab, dieses Angebot anzunehmen. So sicher sind die Browser nämlich nicht.
Außerdem könnte ein Browser ja auch nicht wirklich alle Passwörter aufnehmen. Die PINs von Kreditkarten, den Code des Handys, die Passwörter der PC-Konten, allen voran das vom Admin, die Passwörter anderer Endgeräte, das Netflix-Passwort am Fernseher, das Passwort der Back-up-Software und viele andere, zu denen es keine URL gibt, finden keinen Platz im Browser.
Neue Stellenangebote
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Content Creator / Social Media / Marketing (m/w/d) Delitzscher Schokoladenfabrik GmbH in Delitzsch |
||
Content Creator / Social Media / Marketing (m/w/d) Halloren Schokoladenfabrik AG in Delitzsch |
2. Auf die Länge kommt es an
Bei der heutigen Rechnergeschwindigkeit braucht man knapp 30 Jahre, um ein Passwort aus zehn Buchstaben, Ziffern und Sonderzeichen zu knacken. Das reicht doch völlig! Wozu Passwörter die 15, 20 oder 40 Zeichen lang sind? Und wer soll das noch eintippen?
Auf diese Fragen gibt es Antworten aus drei verschiedenen Perspektiven:
- Der wichtigste Punkt ist die heutige Rechnergeschwindigkeit. Hier sind in der näheren Zukunft erhebliche Steigerungen zu erwarten. Quantencomputer ist nur ein Stichwort. Auch völlig neue Algorithmen sind vorstellbar. Wer also nicht gezwungen sein will, seine Passwörter laufend dem Fortschritt entsprechend anpassen zu müssen, der geht mit etwas längeren Passwörtern auf Nummer sicher.
- Kaum ein Naturgesetz ist so unumstößlich, wie die Tatsache, dass der Mensch weder fleißig noch besonders helle ist. Vogelwilde Passwörter mit lauter Sonderzeichen mag er sich nicht merken – und schlimmer: Er kann es auch gar nicht. Unsinnige Wortketten oder debile Reime hingegen, das kriegt er notfalls noch hin. Ein Passwort wie „Biene geben angenehm Schraube rosa“ kann erinnert werden. Es ist auch recht sicher gegen Tippfehler.
- Immer mehr Passwörter müssen auf mobilen Geräten eingegeben werden. Auf einer PC-Tastatur mag das flinke Spiel mit Buchstaben, Zahlen und Sonderzeichen noch angehen, auf einem Handy-Screen wird es zur Zumutung. Doch aus acht Buchstaben lässt sich kein sicheres Passwort backen. Also tauscht man Zeichenvielfalt gegen Passwortlänge, die Passwörter werden „langweiliger“ und länger.
Und dann gib es noch ein Killer-Argument: Für alle, die einen Passwort-Safe verwenden, spielt die Länge von Passwörtern sowieso keine Rolle.
3. Was ist eigentlich die EFF?
Die Electronic Frontier Foundation ist eine US-amerikanische Non-Profit-Organisation, die sich um die Bürgerrechte in einer digitalen Welt kümmert. Die EFF scheint von keiner amtlichen Stelle unterstützt oder gar getragen zu werden.
Im Gegenteil: Die adressierten Themen sind eher regierungskritisch und sehr auf die Rechte des Einzelnen im Streit mit großen Behörden und Organisationen fokussiert. Hier wird auch anwaltliche Hilfe angeboten.
Um sichere Passwörter kümmert sich die EFF, weil sich damit die US-Bürger vor gierigen Zugriffen staatlicher Stellen schützen können. Dabei kommt dann zum Beispiel diese Animation oder dieses Verfahren zur Erzeugung sicherer Passwörter heraus.
Ein europäisches Pendant zur EFF wird man kaum eins zu eins finden. Irgendwo zwischen Chaos Computer Club und Mimikama könnte man sie vielleicht ansiedeln.
4. Mein E-Mail-Konto = mein Online-Ich
Das E-Mail-Passwort sollte bei jedem von uns ganz oben in der Liste der sensiblen Konten stehen, noch vor den Passwörtern für Depots und Girokonten. Denn die sichern ja nur unser Geld. Das E-Mail-Passwort sichert aber so etwas wie unsere digitale Identität.
Wie das?
E-Mail ist in unserer Online-Welt weit mehr als nur ein wichtiges Kommunikationsmedium. Es ist unsere Zutritts-Legitimation für nahezu alles Digitale, eine Art Online-Personalausweis. Praktisch jede Neuanmeldung setzt auf die Bestätigung via E-Mail. Wer seinen Registrierungs-Prozess so nicht abschließt, der ist nicht registriert.
Ein vergessenes Passwort bekommt man ebenfalls nur via E-Mail zurückgesetzt. Das gilt für den Konto-Inhaber und so soll es sein. Aber auch für jeden anderen mit Zugriff auf das E-Mail-Konto.
Wer unser E-Mail-Konto kontrolliert, kontrolliert auch die meisten anderen unserer Online-Konten. Das heißt umgekehrt: Wer die Kontrolle über sein E-Mail-Konto verliert, verliert damit einen großen Teil seiner digitalen Identität.
5. 2FA (Zwei-Faktor-Authentifizierung)
Einen Quantensprung in Sachen Sicherheit macht jeder, der von der 1-Faktor- zur 2-Faktor-Authentifizierung wechselt. Denn diese Methode sichert Online-Konten deutlich besser ab, als es nur das einfache Passwort kann.
Das Prinzip ist sehr simpel: Zusätzlich zum Passwort (Faktor 1) muss noch irgendetwas komplett Anderes angegeben werden (Faktor 2). Das kann ein Fingerabdruck sein, eine TAN, die man per SMS geschickt bekommt oder ein Bild, das man auf einem Stick bei sich führt. Nicht überall und nicht immer kann 2FA derzeit eingesetzt werden – aber immer öfter.
Wie man 2FA zum Beispiel bei Social-Media-Konten nutzt, hat Tobias vor einiger Zeit in diesem Beitrag erklärt.
Wer also schon einen Passwort-Safe verwendet, sollte nun dazu übergehen, dessen großes Master-Passwort noch zusätzlich mit 2FA zu schützen. Und dann am besten gleich weitermachen und möglichst alle sensiblen Konten unter 2FA-Schutz stellen.
Sehr verbreitet ist diese optionale 2FA allerdings nicht. Vor zwei Wochen konnte man lesen, dass gerade mal zehn Prozent der Gmail-Nutzer von dem 2FA-Verfahren bei Google Gebrauch machen.
6. Passwörter für Bankkonten und Karten
Passwörter und PINs bei Banken und Karten haben es anscheinend nicht nötig, sich den strengen Anforderungen, die man so an Passwörter stellt, zu unterwerfen. Dabei bräuchten sie doch unseren ganz besonderen Schutz. Denn wer sie hat, kommt direkt an unsere Kohle. Aber die PINs haben nun mal vier Stellen und die Online-Konten der Banken erlauben auch oft nur wenige Zeichen aus einem eher kleinen Zeichensatz.
Beweist das nicht, dass man die strengen Anforderungen doch nicht so ernst nehmen muss?
Leider nein. Denn diese lächerlich kurzen Passwörter und PINs haben einen großen Bruder hinter sich: die Anzahl Fehlversuche. Kreditkarten-PINs, Konto-Logins, SIM-Karten-Codes und noch ein paar andere haben alle extrem wenig Geduld. Dreimal falsch angesprochen und sie verweigern sofort beleidigt den Dienst.
Konto-Transaktionen sind außerdem noch mit TANs oder Vergleichbarem abgesichert.
Doch wenn das so ist: Warum sperrt Amazon dann nicht auch beim dritten Fehlversuch unser Konto? Ja, warum wohl?
7. NIST ändert die alten Passwort-Regeln!
Das NIST (National Institute of Standards and Technology) ist die offizielle US-amerikanische Normungs-Organisation, vergleichbar mit dem deutschen DIN-Institut oder dem europäischen CEN.
NIST macht Vorgaben und erstellt Empfehlungen für alles, was man irgendwie in eine Norm pressen kann. Das ist unter anderem ein Katalog von Empfehlungen, wie Webseiten-Betreiber die individuellen Konten ihrer Nutzer schützen.
Die Empfehlungen dieses Katalogs sind vor vielen Jahren in die strengen Passwort-Anforderungen gemündet, die US-Unternehmen auf ihren Webseiten anwenden. Und wir in Europa haben das dann, etwas zeitversetzt, ebenfalls gemacht.
Da kommen also all diese Regeln her, die wir so sehr lieben. Und auch die raffinierte Methode, ein schon vergessenes Passwort doch noch aus dem Sumpf der Demenz zu ziehen („Welche Marke hatte Dein erster Kinderwagen?“) ist so eine NIST-Empfehlung.
Die Regeln stammen aus dem Jahr 2003. Dann gingen 14 Jahre ins Land. Und 2017 hieß es plötzlich: „Oops, da haben wir wohl etwas übers Ziel hinausgeschossen!“.
Ab dem Sommer letzten Jahres sollen nun Webseiten und Netzwerke laut NIST unter anderem hierauf verzichten:
- eine regelmäßige Änderung des Passworts erzwingen.
- die Verwendung eines bunten Zeichensalats mit Ziffern und Sonderzeichen erzwingen. Einfach Buchstaben tun es neuerdings auch.
- den Nutzer auffordern, sich selbst Hinweise für das Erinnern zu geben.
Man hatte erkannt: Das geht nach hinten los. Es führt nicht zu mehr, sondern zu weniger Sicherheit.
Stattdessen sollen nun zum Beispiel deutlich längere Passwörter erlaubt sein – bis zu 64 Zeichen. Und recht revolutionär: Jedes Passwort soll gegen eine sogenannte Blacklist geprüft werden und abgewiesen, wenn es darauf gefunden wird. Denn mit den Blacklists fangen die Hacker ihre Angriffe an.
Schließlich wird sogar empfohlen, die Anzahl der Fehlversuche zu begrenzen. In der Tat, das würde die Sicherheit deutlich erhöhen. Aber die Begeisterung der Online-Shops dürfte sich in Grenzen halten.
Es gibt noch manches andere Neue und auch Kontroverse bei den neuen Empfehlungen von NIST. So ist etwa die Frage, ob als zweiter Faktor (2FA wird grundsätzlich empfohlen!) ein Code via SMS erlaubt ist, in den USA höchst umstritten.
Wer dazu tiefer einsteigen möchte, kann zum Beispiel diesem Link folgen.
8. Nicht jeder Sicherheits-Check ist sicher
Nach den neuen Regeln von NIST sollen also Webseiten in Zukunft Passwörter darauf prüfen, ob sie bereits auf einer Blacklist mit korrumpierten Passwörtern stehen. Die Herausforderung bei einer solchen Prüfung ist, dass dann dieses Passwort in lesbarer Form irgendwie verarbeitet wird.
Die Vorab-Prüfung muss also genauso abgesichert sein, wie später die Authentifizierung im laufenden Betrieb. Schon dieser Vergleich lässt erwarten, dass die jeweiligen Webseiten das hinbekommen werden. Es sind ähnliche Schutzvorkehrungen zu treffen.
Etwas Anderes ist es bei freien Passwort-Sicherheits-Check-Portalen. Sie versprechen natürlich auch höchste Sicherheit. Und viele bieten die bestimmt auch tatsächlich.
Trotzdem raten wir: Sei vorsichtig bei solchen frei verfügbaren Sicherheits-Checks. Ein Passwort, das erstmal testweise durch die Weltgeschichte geistert, vielleicht noch bei mehreren Check-Seiten, bevor es zum Einsatz kommt, kann schon durch diesen Test kompromittiert werden.