Tod dem Passwort – Es lebe das Passwort

Das Passwort lebt immer noch

Schon bereits vor einigen Jahren kündigten die Medien (siehe z.B. [1]) aber auch Fachkreise den Tod von Passwörter an. Biometrie in allen Facetten (z.B. Fingerabdruck, Iris, Handvenen, Herzrate, Stimme) ist nur ein Beispiel, welche den nahen Tod herbeiführen sollte. Jahre später hantieren wir auch in Zeiten von Blockchain und Kryptowährungen nach wi vor täglich mit Passwörtern. An der Situation hat sich dabei wenig geändert: Jeder Nutzer verfügt über unzählig werden. Mal mindestens 8 Zeichen, mal maximal 8, mal mindestens mit einer Ziffer und einem Sonderzeichen, mal garantier ohne Sonderzeichen und manchmal auch ohne jegliche Vorgaben. Dabei den Überblick nicht zu verlieren, ist nahez unmöglich. Und so kommt es wie es kommen muss: Nutzer verwenden wo immer möglich das gleiche Passwort oder variiere dieses nur geringfügig. Für böse Buben ein gefundenes Fressen. Da hilft es auch wenig, dass Umfragen zufolge 98% de Hacker keine Skimaske vor dem Computer tragen [2]. Nur was kann der einzelne Nutzer tun, wenn die gefühlten 20 benutzen Accounts nach wie vor nach einem Passwort lechzen? Um es vorweg zu nehmen: Lösungen zur Entmachtung de Passworts sind in Sicht, dürften aber noch etwas Zeit beanspruchen. Es gilt daher praktikable Lösungen für das momentan Passwortchaos zu finden.

Das Account 1x1 für Nutzer

Mit den nachfolgenden zwei Grundregeln lässt sich das Risiko eines Account Missbrauchs massgeblich senken und de Komfort für den Nutzer sogar erhöhen.

1. Nutze pro Dienst ein eigenes, sicheres Passwort. Kein Passwort Recycling! Nein, wirklich nicht! Die Nutzung eine sicheren Passwortsafes (z.B. Keepass [3] oder lastpass [4]) ist hierfür ab einer bestimmten Anzahl Accounts zwingen empfohlen. So dürfte es auch kein Problem sein, jeweils automatisch generierte, starke Passwörter zu verwenden, da ma sich diese aller Voraussicht nach nicht mehr merken kann und jeweils aus dem Safe holen muss. Eine Mehrfachverwendun des gleichen Passworts, vielfach in Kombination mit der eigenen E-Mail-Adresse als Benutzername, eröffnet Kriminelle Tür und Tor, um nach einem erfolgreichen Angriff auf einen Dienst weitere Dienste eines Nutzers zu missbrauchen. Im 2017 wurden über 90'000 Accounts und deren Passwörter von Schweizer Internetdiensten entwendet [5, z]. Ob Du selber davo betroffen bist, kann über eine Online-Abfrage bei der Melde- und Analysestelle des Bundes (MELANI) festgestellt werde [7]. Ohne Passwort Recycling kann man solchen Account-Diebstählen deutlich entspannter entgegenblicken, da dann nu der jeweilig speifische Account betroffen ist, nicht noch mutmasslich viele weitere persönliche Accounts plötzlich auc gefährdet sind und sich somit ein abenderfüllendes Passwortwechseln aufdrängt.

2. Nutze wo immer möglich eine starke bzw. 2-Faktor Authentisierung (z.B. SMS/mTAN, OTP-App, FIDO-Device wie YubiKey zur weiteren Absicherung Deines Accounts. Damit lässt sich der Schutz massgeblich erhöhen. Trotz Absicherung mit eine weiteren Faktor wäre es aber ein Irrtum anzunehmen, dass Regel Nr. 1 damit seine Bedeutung verliert. Immer öfter biete Internetdienste inzwischen auch die Nutzung eines vertrauenswürdigen und sicheren Identity Providers (IdP) wie Google Microsoft oder Facebook anstelle eines lokalen Accounts an. Dies ist eine komfortable Möglichkeit, die Anzahl Account zu reduzieren, wobei der verwendete IdP-Account dabei zwingend über eine starke Authentisierung abgesichert sein sollte Es ist damit zu rechnen, dass die Bedeutung von Identity Provider künftig stark zunehmen wird, was auch aktuelle nationale Initiativen im Umfeld von eID, SwissID, SwissPass, etc. zeigen.

Passwort ja – aber sicher!

Offensichtlich werden wir noch einige Zeit mit Passwörtern umgehen müssen. Dabei stellen nebst recycelten insbesonder schwache Passwörter ein grosses Sicherheitsproblem dar. Betrachten wir die 20 am häufigsten verwendeten Passwörter i der Schweiz, so ergibt sich eine Liste des Schreckens (Stand 02.03.2018) [8]:

1. 123456
2. 123456789
3. 12345678
4. 1234
5. 12345
6. 111111
7. 1234567
8. hallo
9. abc123
10. password
11. qwertz
12. passwort
13. 1234567890
14. 666666
15. soleil
16. sommer
17. 123123
18. daniel
19. blabla
20. andrea

Darüber hinaus sind in der Schweiz offenbar besonders Jahrgänge und Postleitzahlen in Passwörtern beliebt. Insbesonder die Zahlen 12, 01, 11, 14, 13, 10, 99, 77, 69 und 22 scheinen es den Schweizer Nutzern angetan zu haben.

Sichere Passwörter sollten nicht nur mindestens 8 Zeichen, sondern auch eine gewisse Komplexität aufweisen. Wörter Namen oder Tastaturmuster sind dabei möglichst zu vermeiden. Mit der Nutzung eines Passwortsafes lassen sich für jede genutzten Dienst rasch und unkompliziert sichere Passwörter erzeugen, verwalten und bei Bedarf abrufen inkl automatischem Abfüllen in die Login-Maske der Internetdienste. Es besteht also keine Notwendigkeit, sich unzählige, au einem Buchstaben-, Zahlen-, und Sonderzeichensalat zusammengesetzte, sicherere Passwörter merken zu müssen.

Der Mensch als Schwachstelle

Es ist offenkundig, dass nicht (nur) Passwörter ein Problem darstellen, sondern vor allem die Komponente Mensch. Unse Umgang mit Passwörtern stellt Sicherheitsspezialisten seit Jahren vor Herausforderungen und motiviert dazu, alternativ Verfahren und Lösungen zu suchen. Das regelmässige Ändern oder Minimalvorgaben bezüglich Komplexität sind nur zwe Beispiele, die dazu führen sollen, dass Passwörter (vermeidlich) sicherer werden sollen. In der Praxis zeigt sich dafür dass z.B. Post-it Zettelchen dem Nutzer als Gedankenstütze dienen und somit solche Passwort-Regeln das Risiko eine erfolgreichen Account-Missbrauchs gar noch erhöhen.

Lasst Euch von diesem Artikel inspirieren und ändert Euer Passwort-Verhalten noch heute. Die Einrichtung eine Passwortsafes dauert nur wenige Minuten, erspart das unzählige Anklicken von «Passwort vergessen»-Links und dient de massgeblichen Verbesserung der Account-Sicherheit.

Tot dem universal, überall verwendeten, schwachen Passwort – es lebe das sichere, spezifische Passwort und dieses w immer möglich in Kombination mit einer starken Authentisierung.

PS: Kurz vor dem GzD dieser readme Ausgabe wurde im c’t 07/18 das Leitthema «Vergessen Sie Passwörter!» behandelt. Dabe werden weitere Punkte im sicheren Umgang mit Passwörtern diskutiert und unter anderem auch 15 Passwortmanager einem Tes unterzogen. Lektüre uneingeschränkt empfohlen! [9]

Referenzen

[1] https://www.tagesanzeiger.ch/digital/internet/Tod-dem-Passwort-/story/26979882 [2] http://www.der-postillon.com/2012/01/umfrage-98-prozent-aller-hacker-tragen.html [3] https://keepass.info [4] http://www.lastpass.com [5] https://www.ncsc.admin.ch/ncsc/de/home/aktuell/news/news-archiv/passwoerter-von-21000-e-mail-konten-im-umlauf.html [6] https://www.ncsc.admin.ch/ncsc/de/home/aktuell/news/news-archiv/passwoerter-von-70000-e-mail-konten-im-umlauf.html [7] checktool.ch - Nicht mehr verfügbar [8] http://www.swissleak.ch [9] c’t magazin für computer technik, Ausgabe 07/18 vom 17.03.2018, Heise Zeitschriften Verlag, https://goo.gl/rSS9Eg

Hinweis: Dieser Artikel wurde auch in der Zeitschrift Alumni Readme publiziert.

Risk Management Strong Authentication

Über den Autor

Über den Autor

Adrian Bachmann ist ein erfahrener Security Experte und Risk Manager. Er berät seine Kunden vornehmlich in den Schlüsselbereichen Identity und Access Management (IAM), Authentication, Federation, Risk Management und Internes Kontrollsystem (IKS). Zudem ist er ein ausgewiesener Sicherheitsarchitekt.

Adrian Bachmann, Partner, Geschäftsführer