Zusammenfassung des Vortrags von Andreas Hoffmann, gehalten am 4. Mai 2022 auf der its-people-Hausmesse in Frankfurt
Ohne Passwörter ist die moderne Geschäftswelt ebenso wenig denkbar wie viele private Aktivitäten im Netz: Windowspasswort, Zeiterfassungssystem, Onlinebanking, Webshops … überall benutzen wir Passwörter, die es zu schützen, aber auch zu merken gilt. Einen Weg dorthin finden Sie im folgenden Artikel.
Schon vor einiger Zeit hatte ich in einem anderen Blogbeitrag ein paar Gedanken zur Sicherheit von Passwörtern veröffentlicht. Da ging es um Angriffsszenarien und die Mathematik hinter Passwörtern.
Die Zeit dreht sich weiter. Auch heute, einige Jahre später, bestimmen Passwörter in weiten Teilen die Mechanismen, mit denen wir unsere Zugänge zu Systemen und Diensten absichern. Und obwohl andere Methoden wie Fingerabdruckscans und Gesichtserkennung zunehmend Verbreitung finden, sieht es nicht so aus, als würden wir bald keine Passwörter mehr brauchen. Grund genug, das Thema wieder einmal zu beleuchten.
Komplexe Passwörter
Wie also kommen wir zu sicheren Passwörtern? Der erste Schritt ist die Komplexität. Je länger ein Passwort ist und je mehr Zeichenklassen wie Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen es enthält, desto schwerer ist es zu ermitteln. Das kennen Sie sicher, ebenso wie die Anforderungen, keine alten Passwörter ganz oder teilweise zu verwenden, oder „echte“ Wörter, die sich etwa in einem Wörterbuch wiederfinden könnten.
Eine Methode, wie man ein kryptisches und dennoch einigermaßen merkbares Passwort generiert, finden Sie hier. Wer mag, kann dort gerne noch einmal nachlesen.
Diese Methode hat allerdings ein Problem. In der Regel haben wir viele Passwörter. Überschlagen Sie einmal, wie viele Passwörter Sie mehr oder weniger regelmäßig benutzen. Zählen Sie dabei berufliche und private Passwörter zusammen. Da kommt man leicht auf hohe zweistellige Anzahlen, vielleicht auch dreistellig. Diese Passwörter müssen unterschiedlichen Komplexitätsregeln gehorchen, sollen nach unterschiedlich langer Zeit geändert werden, dürfen sich nicht wiederholen, sollen alle unterschiedlich sein … keine Chance, sich alle Passwörter sicher zu merken, System hin oder her.
Passwortmanager
Ein Passwortmanager löst dieses Problem. Ein Passwortmanager ist ein Programm, in dem Sie – natürlich verschlüsselt – alle Ihre Passwörter ablegen und bei Bedarf hervorholen können. Passwortmanager gibt es mittlerweile in diversen Spielarten:
- mobil oder auf dem Desktop
- freie Software oder Bezahlmodelle
- Standalone Anwendung
- Browserplugins, zum Teil mit Ausfüllhilfe, mit lokaler Ablage oder Serversynchronisierung
- ebenso systemübergreifende Kombinationen
Die Nutzung eines Passwortmanagers ist definitiv eine gute Idee. Aber wie so oft machen hier die Details eine gute Lösung aus.
- Möchten Sie wirklich einen Passwortmanager, der keine Funktion zum Export des Datenbestands anbietet und Sie so an dieses Produkt bindet?
- Trauen Sie der Verschlüsselung des Tools so weit, dass Sie eine Synchronisierung über das Netz zulassen wollen?
- Haben Sie genug Knowhow, um eine verschlüsselte Lösung über eigene Server zu implementieren?
Auf jeden Fall ist es sinnvoll, genau über ein Tool nachzudenken, zu recherchieren und zu testen, wem man „seine Identität“ anvertraut.
Passwortgeneratoren
Passwortmanager schützen Passwörter vor Diebstahl – sichere Implementierung und Handhabung mal vorausgesetzt. Die größere Gefahr für Ihre Passwörter ist aber ein Angriff über Social Engineering, also indem man Sie dazu bringt, sie unfreiwillig zu verraten.
Das geht übrigens weiter über Ihre Kontrolle hinaus, als es auf den ersten Blick aussieht. Angenommen, sie haben den ersten Punkt dieses Artikels über sichere, kryptische Passwörter außer Acht gelassen und verwenden die „üblichen Verdächtigen“ (Name der Frau/Freundin/Haustür, Geburtsdatum, Lieblingsurlaubsziel, …), dann sind das Informationen, die mit großer Sicherheit auch Freunde und Kollegen kennen. Sie werden zu Zielen für Social Engineering, ohne dass Sie überhaupt etwas davon mitbekommen müssen.
Wäre es nicht ungeheuer praktisch, wenn Sie Ihre Passwörter gar nicht erst kennen würden? Was man nicht kennt, das kann man auch nicht verraten.
Aber wie soll das gehen? Nun, indem Sie Passwörter wählen, die so komplex sind, dass unmöglich zu merken sind. Also ungefähr so wie der Maradonasatz aus dem früheren Artikel (haben Sie nachgelesen?), nur eben ohne Eselsbrücke.
Wenn man erstmal eine Weile einen Passwortmanager benutzt hat – am besten einen mit Ausfüllhilfe – dann ist es ohnehin egal, ob man die Passwörter kennt. Man kopiert sie aus der sichtgeschützten Ansicht (viele Sternchen) und fügt sie ebenso sichtgeschützt in die Eingabemaske ein. Man bekommt das Passwort erst gar nicht zu Gesicht. Dann braucht man es auch nicht mehr zu kennen.
Viele Passwortmanager bieten die Generierung von Passwörtern an, optional mit Einschränkungen ähnlich denen der Administratoren – Sie erinnern sich: Groß-/Kleinbuchstaben, Ziffern, Sonderzeichen. Damit bekommt man gleich ein Passwort, das den Anforderungen entspricht.
Alternativ bieten einige Browser an, ein sicheres Passwort zu erzeugen, wenn sie ein entsprechendes Feld oder Maske erkennen.
Ich bin derzeit dabei, meine Passwortsammlung auf solche zufälligen Passwörter umzustellen. Und zugegeben: der innere Widerstand, diese Kontrolle über die Passwörter aufzugeben, ist schon spürbar. Aber das ist mir der Zugewinn an Sicherheit wert. Denken Sie doch auch einmal darüber nach…
Bildnachweise: © Adobe Stock_129638819, istock_1289736479
