4 min read

Schutz von Paßwörtern

Schutz von Paßwörtern
Photo by Taylor Vick / Unsplash

Damit nicht jeder, der aufgrund irgendwelcher dummen Umstände unser Paßwort kennt, auf alle unsere Systeme und Dienste wie E-Mail, Mastodon, Online-Banking zugreifen kann, gibt es verschiedene Dinge, die von Dritten durchgeführt werden und von euch umgesetzt werden sollten. Ja, sollten - und das bezieht sich auf beide Seiten von Paßwörtern (Anbieter von Diensten und Kunde). Ich fange mit dem Anbieter an.

Maßnahmen durch Anbieter

Data in Motion

Euer Paßwort sollte niemals im Klartext über den Äther (die Leitungen, den Transportweg oder whatever) geschickt werden, sonst könnte jeder, der aus irgendeinem Grund den Übertragungsweg abhören kann, euer Paßwort lesen.

Um dies zu erreichen gibt es verschiedene Möglichkeiten; aber mindestens die Verschlüsselung des Transportwegs sollte durch den Betreiber einer Webseite aktiviert sein. Zum Zeitpunkt des Schreibens dieses Artikels sollte das mindestens TLS1.2 seom. Es gibt Onlinescanner (beispielsweise https://www.ssllabs.com/ssltest/), mit denen ihr das überprüfen könnt.

Moment! Verschlüsselung?

Ja, guter Punkt. Eine Verschlüsselung ist ein Verfahren, durch das beispielsweise ein Paßwort derart entstellt wird, daß nur noch der Empfänger, der den korrekten Schlüssel hat, die Originaldaten wiederherstellen kann. Ein Beispiel ist die Caesar-Chiffre. Hier wird jeder Buchstabe des Alphabets um 3 Buchstaben nach rechts geschoben.

Aus

ABCDE

wird dann

DEFGH

oder aus

Nudelsuppe

wird

Qxghovxssh

Der Originaltext kann nun wiederhergestellt werden, indem alle Buchstaben um 3 nach links verschoben werden.
Dies ist natürlich kein sicheres Verfahren, hier stellt es nur ein Beispiel einer Chiffre dar. Es gibt zahllose weitere Verfahren, die von banal zu hochkomplex zu extrem mathematisch werden. Der geneigte Leser kann sich die Vigenère-Chiffre oder RSA ansehen.

Zurück zum Thema. Es gibt viele weitere Möglichkeiten, ein Paßwort durch den Anbieter zu schützen. Genannt seien hier ohne weitere Erklärung (Client-Side) Hashing und Challenge-Response-Verfahren.

Data at Rest

Der Anbieter sollte niemals Paßworte im Klartext abspeichern. Wenn euer Paßwort im Klartext (also unverschlüsselt) in einer Datenbank steht, kann im Zweifelsfall jeder Administrator des Anbieters euer Paßwort sehen. Auch wenn Angreifer Zugriff auf die Datenbank bekommen, sehen diese dann alle Paßworte aller Kunden. Das will spätestens seit der DSGVO kein Anbieter mehr - aber dennoch kommt dieser Fall immer noch vor!

Es gibt beispielsweise Anleitungen von OWASP, wie Anbieter eine zeitgemäße Speicherung eurer Paßwörter durchführen sollten. Wenn sich ein Anbieter an diese Vorgaben hält, hat er allerdings keinerlei Möglichkeit, euch euer Paßwort mitzuteilen; er muß dann auf alternative Methoden zurückgreifen, um euch im Zweifelsfall neue Zugangsdaten zuzusenden; dies geschieht meist per E-Mail, deswegen ist es ungeheuer wichtig, daß ihr den Zugriff auf euer E-Mail-Konto besonders schützt.

Maßnahmen durch dich

Keine Wiederwendung von Paßwörtern

Es kann vorkommen, daß ein Paßwort von euch aus irgendeinem Grund publik wird. Es ist egal, ob jemand euer Paßwort auf der Tastatur gesehen hat, ob es aus der Datenbank geklaut wurde oder ob du selbst es verraten hast: wenn das Paßwort bekannt ist, ist es bekannt. Und wenn dann eure Paßwörter überall identisch ist, ist das eher doof, denn dann müßt ihr das überall ändern.

Lange Paßwörter

Oft gibt es tolle Regeln zu Paßwortsicherheit, Dinge wie

  • mindestens 10 Zeichen
  • Großbuchstabe
  • Kleinbuchstabe
  • Sonderzeichen
  • Ziffer

Das ist alles Mumpitz. Die Mathematik dazu erkläre ich unter Mathematik. Fazit ist: nutzt lange Paßwörter, je länger, desto besser, mindestens 16 Zeichen für die wenigen Paßwörter, die ihr euch noch selbst merken müßt. Alle anderen Paßwörter sollten durch einen Paßwortmanager geschützt und verwaltet werden.

Keine Muster oder einfach zu erratenden Paßwörter

Wenn mein Paßwort mein Geburtsdatum ist, ist das eher suboptimal. Wenn mein Paßwort der Name meines Hundes ist, ist das auch eher fragwürdig. Wenn mein Paßwort "Paßwort" ist, hilft das auch nicht wirklich. Ein Paßwort wie "Sommer2024!", das alle 3 Monate aktualisiert wird, bringt genauso wenig wie ein Paßwort, das Muster auf der Tastatur nachbildet (asdfasdfasdf, abcdefgh, 1234qwerasdf, ...).

Warum? Weil die Angreifer wissen, daß Menschen genau solche Paßworte nutzen und genau diese als erstes ausprobieren. Das macht es leichter, diese zu knacken.

Also: Nutzt ein langes Paßwort.

MFA / 2FA

Für eure wichtigen Accounts (besonders E-Mail!) solltet ihr sogenannte Multifaktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) nutzen. Das "Faktor" bezieht sich dabei auf folgende Dinge:

  • Etwas, das du weißt (Kennwörter, PINs)
  • Etwas, das du hast (OTP-Tokens, U2F-Tokens, Zertifikate, Smartcards, E-Mails, SMS, Anrufe)
  • Etwas, das du bist (Fingerabdrücke, Gesichtserkennung, Irisscans, Venenscans)
  • Ein Ort, an dem du bist (Quell-IP-Adresse, Geolocation, Geofencing)
  • Etwas, das du tust (Verhaltensweisen, Tastatur- und Mausdynamik, Gangart)

Wenn man nicht nur einen Faktor (meist etwas, das man weiß, also das Paßwort), sondern noch einen zweiten aus dieser Liste nutzt, spricht man von 2FA oder allgemeiner MFA.

Aktiviert bei eurem E-Mail-Provider MFA. Jetzt.

Um einen MFA mittels OTP (One Time Password) zu nutzen, könnt ihr beispielsweise Aegis für Android nutzen. Oder packt die OTP-Informationen in euren Paßwortmanager (siehe unten).

Paßwörter privat halten

Das sollte ein No-Brainer sein: sagt niemandem euer Paßwort, teilt es nicht. Wenn ein Paßwort bekannt geworden ist, ändert es und verwendet es nie wieder.

Hieraus ergibt sich übrigens auch, daß jeder Dienst wie oben beschrieben ein eigenes Paßwort bekommen soll: wenn der Dienst auf der anderen Seite geknackt wird und Paßwörter offengelegt werden, ist nur euer Paßwort für diesen einen Dienst nicht mehr geheim.

Paßwortmanager benutzen

Nutzt einen Paßwortmanager. Dabei ist egal, ob ihr eine technische Lösung mit Synchronisation über alle Endgeräte hinweg nutzt, oder ob ihr eure Paßwörter alle handschriftlich in ein Notizbuch schreibt. Wichtig ist auch hier: teilt das niemandem mit. Aktiviert MFA.

Mögliche Tools für Paßwortmanagement:

Und für die Kritischen unter euch: ja, wenn man sein OTP-Token mit in seinem Paßwortmanager schreibt, ist das letztlich nichts anderes als ein Paßwort mehr: 2x etwas, das ich weiß. Wenn der Paßwortmanager kompromittiert wird, ist es dann immer noch vergleichweise ungut (also katastrophal). Dennoch macht es das ungleich schwieriger, nur anhand eines eingetippten Paßworts und eines Tokens einen Account zu übernehmen.

haveibeenpwned

Wenn ihr checken wollt, ob euer Paßwort in einem vergangenen Sicherheitsvorfall bekannt wurde, könnt ihr https://haveibeenpwned.com/Passwords aufrufen. Diese Webseite bietet eine Suche, in der ihr schauen könnt, ob Paßwörter bekannt geworden sind.

Ja, es ist hochgradig unintuitiv und wenig einleuchtend, sein sicheres und unbekanntes Paßwort in fremde Webseiten einzitippen. Es gibt zwar eine Erklärung, wie eure Daten geschützt werden, aber ob ihr dieser Seite traut, müßt ihr selbst entscheiden.

Paßwortänderung

Viele Firmen haben eine Regel, daß Paßwörter alle 90 Tage geändert werden müssen. Dies ist allerdings eher ein Relikt aus der Vergangenheit. Heutzutage sagt man (also große Institutionen wie NIST oder NCSC) eigentlich, daß man ein Paßwort genau dann ändern sollte, wenn man den Verdacht hat, daß es kompromittiert wurde (bekannt ist).

Macht genau das im Privaten. Und wenn euch im Job Vorgaben zu einer Änderung zwingen, schickt die Verantwortlichen (ob IT, IT-Sec, Informationssicherheit, Datenschutz, ...) auf Mathematik, wo ich Details zu dieser Vorgabe kläre und versuche, das aus der Welt zu schaffen.

Weiter geht es mit den Methoden der Angreifer.

weiter