In der modernen Geschäftswelt führt kein Weg an Zugangskontrollen vorbei. Von herkömmlichen Schlüsseln über Chipkarten und PIN-Tastaturen bis hin zu Iris-Scans sind die unterschiedlichsten Techniken im Einsatz.
Nachdem ich Ihnen im ersten Teil einen Überblick über die Theorie gegeben habe, werde ich Ihnen hier im zweiten Teil der Folge praktische Beispiele und aus meiner Sicht sinnvolle Ansätze zur Vergabe von sicheren Passwörtern geben.
Wie sehen denn nun gute Passwörter aus?
Immer wieder kommen aus den dunkleren Ecken des Internet riesengroße Passwortsammlungen zum Vorschein. Manchmal mit vielen Millionen Einträgen. Und immer wieder gibt es statistische Auswertungen dieser Sammlungen, die ebenfalls immer wieder den Schluss zulassen, dass „123456“, „qwertz“, „qwerty“ und „passwort“ zu den am häufigsten verwendeten Passwörtern gehören. Nach dem bisher Gesagten sollte klar sein, dass *so* keine guten Passwörter aussehen.
Wie aber dann?
Im Idealfall sollten Passwörter allen Angriffstypen widerstehen können. In der Realität wird man bestenfalls eine Annäherung an diesen Idealfall erreichen können. Aber auch diese Annäherung ist die Mühe wert.
Gehen wir die einzelnen Elemente durch.
Das Passwort sollte eine gewisse Mindestlänge haben. In dem oben verlinkten Artikel zu Brute Force Angriffen wird als Faustregel vorgeschlagen, dass die zu erwartende Dauer für einen Brute Force Angriff die durchschnittliche Lebenszeit eines Menschen übersteigen sollte. Multipliziert man diesen Wert noch mit 1000, um Zufallstreffer weniger wahrscheinlich zu machen, dann landet man mit einem 13-stelligen Passwort aus Großbuchstaben, Kleinbuchstaben und Ziffern und einer zu erwartenden Brute Force Dauer von knapp 3000 Jahren auf der sicheren Seite. Um wieviel kürzer das Passwort noch sein darf, um immerhin noch über 100 Jahren zu bleiben, können Sie sich ja einmal selbst ausrechnen.
- Das Passwort sollte kryptisch sein, d.h. es sollte nicht in einem Wörterbuch zu finden sein.
- Natürlich sollte man sich das Passwort merken können. Zumindest sollte man sich die Bildungsregel merken können, um das Passwort im Kopf wieder generieren zu können.
Eine Passphrase aus mehreren Wörtern ist einem einzelnen Passwort übrigens durchaus vorzuziehen. Man erzielt dabei eine erheblich größere Länge, ohne Einbußen bei der Merkbarkeit zu haben.
Ein praktisches Beispiel
Trotzdem erzielt man auch mit einem einzelnen Passwort durchaus eine hohe Sicherheit, wenn man es gewissenhaft auswählt.
Starten Sie mit einem Satz:
Unter den größten Fußballern der Welt ragte Diego Maradona nach unten heraus.
Wenn wir das auf seine Anfangsbuchstaben reduzieren, erhalten wir:
UdgFdWrDMnuh
Das sind schon mal zwölf Zeichen, es sind Groß- und Kleinbuchstaben enthalten. Fügen wir noch ein paar Ziffern hinzu. Dem Wikipedia-Eintrag über diesen großen Sportler entnehmen wir, dass er 1,65 m groß ist. Das definiert also die *untere* Grenze der großen Fußballer, entsprechend fügen wir die Information bei dem „u“ ein:
UdgFdWrDMnu165h
Wenn wir das Passwort jetzt noch mit einer schließenden Klammer beenden und uns merken, dass sie für einen „Smiley“ steht, der uns daran erinnert, dass die Aussage nicht ganz so ernst gemeint ist, dann landen wir bei:
UdgFdWrDMnu165h)
was mit 16 Zeichen aus vier Zeichenvorratsbereichen und keinerlei erschließbarem Sinn durchaus eine Herausforderung für einen Passwortknacker darstellen sollte.
Was ist also wichtig zu tun
Zusätzlich zu all diesen Maßnahmen rund um die unmittelbare „technische“ Sicherheit von Passwörtern gibt es noch einige weitere sinnvolle Überlegungen.
Es ist beispielsweise hilfreich, seine Passwörter immer wieder zu wechseln. Kein Passwort ist *wirklich* sicher vor Angriffen, aber je kürzer die Zeit ist, in der es gültig ist, desto unwahrscheinlicher ist es, dass der Angreifer etwas mit dem geknackten Passwort anfangen kann.
Ebenso sinnvoll ist es, Passwörter immer nur für ein einziges System zu verwenden. Wenn mir beispielsweise ein Shop, in dem ich mich registriert habe mitteilt, dass seine Passwortdatenbank gestohlen wurde, muss ich das Passwort in allen Systemen ändern, bei denen ich dasselbe Passwort verwendet habe. Wenn mir dann mal alle Kandidaten auf Anhieb einfallen. Und wenn es dann noch nicht zu spät ist …
Immerhin kann man für weniger sicherheitskritische Systeme wie z.B. das Goldfischforum, die Newsletterregistrierung des örtlichen Busreisen-Veranstalters oder die Supportseite für den Tintenstrahldrucker, Passwörter verwenden, die aus einem konstanten Anteil und zielsystemspezifischen „Inserts“ bestehen. Diese Vereinfachung sollte man aber keinesfalls auf kritische Dienste wie den Mailprovider oder das Onlinebanking ausdehnen.
Es gibt Dienste im Internet, die anbieten, die Qualität oder Sicherheit Ihres Passwortes online zu prüfen. Seien Sie sich hierbei aber darüber im Klaren, dass Sie dort nicht nur Ihr Passwort hinterlassen, sondern auch noch eine ganze Reihe anderer Informationen über sich, wie die IP-Adresse, Ihren verwendeten Browser, ggf. die vorher besuchten Webseiten und zumindest grob die Region, von der aus Sie agieren. Wenn ich Passwörter einsammeln wollte, dann würde ich wahrscheinlich genau so eine Webseite einrichten …
Eine gute Idee jedoch ist die Verwendung eines Passwortsafes. Die gibt es für alle mobilen und stationären Systeme, und schon eine kurze Recherche sollte Ihnen enthüllen, welche Anbieter weit verbreitet und seriös sind. Zum einen ermöglicht es ein Passwortsafe, sich Passwörter zu merken, ohne die berüchtigten Klebezettel am Monitor oder auf der Unterseite der Tastatur zu verwenden. Auf der anderen Seite können Sie Passwörter verwenden, die Sie sich gar nicht mehr merken *können*. Ist der Passwortsafe mit einer Generierungsroutine ausgestattet, dann müssen Sie Ihre eigenen Passwörter noch nicht einmal gesehen haben.
Viele Systeme im Internet (Google, Apple, …) bieten mittlerweile eine sogenannte „Two Factor Authentication“ an. Dabei haben Sie nicht mehr nur ein Passwort, sondern zusätzlich eine zweite Authentifizierungsinformation. In der Regel wird eine PIN oder ein ähnlicher Code über einen anderen technischen Weg verschickt. Bei Apple wird eine PIN an ein anderes Apple-Gerät verschickt, Google stellt eine „Authenticator“ App zur Verfügung. Besonders weit verbreitet ist dieses Verfahren beim Onlinebanking. Hier wird eine TAN für jede zu verifizierende Transaktion verschickt, typischerweise als SMS. Anmerkung am Rande: dieses Sicherheitskonzept ist übrigens gar nicht so schwer auszuhebeln, wenn Banking-App und SMS-Empfang auf dem Smartphone und damit auf demselben Gerät liegen. Wenn eine Schadsoftware das Smartphone kontrolliert, dann hat sie beide – vermeintlich unabhängigen – Übertragungskanäle im Griff.
Für **jede** Sicherheitstechnik gilt: niemals den eigenen Verstand ausschalten und sich nur auf das System verlassen!
Zum Schluss möchte ich noch auf eine Sondersituation hinweisen, die die Auswahl praktikabler Passwörter erschweren kann. Wer in seinem Arbeitsumfeld mit unterschiedlichen Betriebssystemen, unterschiedlicher Hardware oder unterschiedlichen Ländereinstellungen zu tun hat, der sollte im Hinterkopf behalten, dass es unterschiedliche Tastaturbelegungen gibt.
Besonders auf virtualisierten Umgebungen kann es durchaus schon einmal vorkommen, dass man auf einer Mac-Tastatur mit deutschem Layout das Passwort für ein englisch/amerikanisches Windows eingeben muss. Die Suche beispielsweise nach dem Bindestrich, den man als Sonderzeichen in sein sicheres Passwort eingebaut hat, kann zur Herausforderung werden, wenn man nur drei Versuche hat, bevor das System weitere Versuche unterbindet …
In diesem Sinne wünsche ich Ihnen immer eine sichere Hand bei der Auswahl Ihrer Passwörter.