Archiv für Juni, 2014

Grundlagen – Sichere Passwörter, auch ohne Gehirnknoten!

Noch ein paar Worte zu sicheren Passwörtern und einer entspannten Lösungsmöglichkeit, sichere Passwörter zu haben, ohne die eigenen Nerven strapazieren zu müssen.

Ein viel gehörter Kritikpunkt ist, dass man sich die tollen sicheren Passwörter einfach nicht merken kann.
Die Erfahrung zeigt, dass man sichere (also insbesondere lange) Passwörter umso leichter merkt, je öfter man sie eingibt. Die die man nicht so oft braucht vergisst man leicht, auch wenn sie weder lange noch kompliziert sind. Das liegt in der Natur des Menschen.

Sichere Passwörter, ohne Vergessen gibt es aber auch!
Die Lösung nennt sich Passwortsafe. Das sind Programme, die eine Passwortdatenbank enthalten, wo man seine sicheren Passwörter speichern kann, um sie bei Bedarf abzurufen. Solche Datenbanken verschlüsseln die Datenbank in der Regel. Als Schlüssel dient – richtig – ein Passwort. Merkt man sich dieses (und fertigt von der Datenbankdatei regelmäßig Sicherheitskopien an), kann man ruhig alle anderen Passwörter vergessen.

Ein weiterer Vorteil ist, dass diese Programme meistens über die Möglichkeit verfügen, ein zufälliges Passwort mit festgelegter Länge und festgelegtem Zeichensatz zu erstellen. Damit muss man sich auch keine langen Sätze mehr überlegen, um auf ein sicheres langes Passwort zu kommen.

Dies ist für den Alltagsgebrauch eine bequeme und hinreichend sichere Methode.

Der Angreifer, der Zugriff auf die Datenbank (also vorher den Computer auf dem sie gespeichert ist)hat, könnte ohnehin regelmäßig alle Eingaben am Computer mitlesen, so dass durch die Datenbank insoweit sogar ein Sicherheitsgewinn entsteht. Denn mit dem Passwortmanager muss man nur noch Kopieren und Einfügen. Damit sind die jeweiligen Passwörter zunächst vor Keyloggern sicher.

Außerdem wird so die Versuchung geringer sichere Passwörter bei kritischen Dingen doppelt zu verwenden, weil man sich so weniger merken muss. Man kann so viele unterschiedliche Passwörter haben, wie man möchte.
Auch gegenüber den in Thunderbird oder Firefox gespeicherten Passwörtern hat ein Passwordsafe den Vorteil, dass dort die Passwörter in einer verschlüsselten Datenbank liegen und somit die Sicherheit gesteigert ist.
Zudem halten wir die Einfachheit einer zentralen “Anlaufstelle” für Passwörter für sehr angenehm. Freilich sollte man sich bewusst sein, dass dies auch ein lukratives Ziel für einen Angreifer darstellt und gegebenenfalls nicht jedes Passwort dort stehen sollte.
Aber für den gewöhnlichen Altagsgebrauch spricht grundsätzlich nichts gegen die Verwendung eines Passwortsafes.
Persönlich verwenden wir alle entweder KeePassX oder selbstgestrickte Lösungen.

Für Fragen und Anregungen in den Kommentaren stehen wir gerne zur Verfügung.

3 Kommentare

Grundlagen – Sichere Passwörter, wofür eigentlich?

Nachdem das ein Thema ist, das für viele ein rotes Tuch ist, weil sie es als anstrengend, zeitraubend und unmöglich empfinden, hier richtig zu handeln, noch ein Paar Worte zu sicheren Passwörtern.

Wenn man sich Gedanken um Passwörter macht gibt es diverse Dinge, die man immer wieder hört.
Beispielsweise, soll man nie ein Passwort doppelt verwenden, man soll sein Passwort nirgendwo speichern und so weiter.
Dies sind Dinge die nicht grundsätzlich falsch sind, aber auch nicht ausnahmslos immer gelten.
Die Grundfrage muss sein, wogegen das jeweilige Passwort denn schützen soll und wie es angegriffen werden kann.

Ein paar Beispiele zur Veranschaulichung:
a) Das Passwort beim E-Mailprovider dient dazu, sich selbst den Zugang zum Postfach zu ermöglichen. Gäbe es keinen Passwortschutz, könnte jeder jedes beliebige E-Mail-Konto abrufen.
b) Das Passwort für einen Account bei einem Forum sichert lediglich diesen Account ab. Abhängig davon, ob es sich um ein beruflich genutztes Forum handelt, in dem man viel schreibt und bekannt ist oder um ein Forum handelt, bei dem man nur eingeloggt mitlesen will, kann man auch hier bei der Passwortqualität differenzieren.
Hier soll das Passwort in der Regel schlicht den Accountdiebstahl verhindern, ganz ähnlich wie bei einem E-Mail-Konto.
c) Das Benutzerpasswort für einen Computer eines normalen Benutzers hat diverse Funktionen. Keine davon ist es, die Daten des Benutzers vor neugierigen Blicken Dritter zu schützen. Ein besonders kompliziertes Benutzerpasswort für einen Heimcomputer, der mit der Familie geteilt wird hat in der Regel also keinen Mehrwert.
Anders hingegen, wenn es sich um einen Administratoraccount handelt, mit dem man auch diverse grundlegende Systemeinstellungen verändern und Software installieren oder deinstallieren kann. Dann besteht der Zweck des Passworts primär darin, diese Handlungen nur den Berechtigten zu ermöglichen. Hier sollte man auf ein sicheres Passwort achten.
d) Das Passwort für eine Verschlüsselte Datei/Festplatte dient als Schlüssel. Ohne diesen ist der Inhalt der Datei/Festplatte nicht lesbar.
Bei den obigen Beispielen gibt es auch unterschiedliche Szenarien, wie ein solches Passwort angegriffen werden kann.

Ein Angriffsszenario bei Onlinekonten ist ein Bruteforceangriff (also das einfache Durchprobieren aller Möglichkeiten durch den Angreifer). Dieser ist aber wenig erfolgversprechend. Dies liegt zum einen daran, dass viele Anbieter Schutzmechanismen hiergegen haben (Accountsperre, IP-Blocks und ähnliches). Weiterhin fällt ein solcher Angriff auch deutlich auf (zumindest, wenn der Provider des Services halbwegs fähige Leute hat, die auf soetwas achten), denn es gibt dann unzähliche erfolglose Loginversuche in kurzen Zeiträumen. Normalerweise wird sich ein Angreifer dieses Mittels nicht bedienen, da der Aufwand im Verhältnis zum Nutzen sehr groß ist.
Ein weiteres Angriffsszenario ist ein Einbruch auf dem Server. Davor kann man sich mit einem sicheren Passwort nicht schützen. Davor schützt man sich, indem man möglichst fähige Provider verwendet oder selbst zu einem möglichst fähigen Provider wird. Dieser Angriff ist relativ zu einer Bruteforceattacke weniger Aufwändig und man bekommt jede Menge Passwörter geliefert, nicht nur eines.
Daher ist die Passwortsicherheit bei solchen Onlinekonten gar nicht so schwerwiegend, wie man vielleicht immer denken möchte.

Anders sieht es aber aus, wenn verschlüsselte Dateien mit einem Passwort gesichert werden sollen. Hier ist ein möglichst sicheres Passwort nämlich der einzige Schutz, sobald ein Angreifer Zugriff auf diese Daten hat, weil er beispielsweise die verschlüsselte Datei auf einem USB-Stick gefunden hat oder die E-Mail mit der sie versendet wurde abgefangen hat oder … oder …, ist die letzte Hürde, die ein Angreifer zu überwinden hat das Passwort. Hier gibt es auch keine Abwehrmechanismen mehr, die verhindern, dass der Angreifer einen Bruteforceangriff erfolgreich und unentdeckt durchführen kann. Denn, wenn der Angreifer eine Kopie der Datei hat, bekommt niemand den Angriff mehr mit.
Wenn man sein Passwort für das E-Mailkonto auf dem Computer speichert (beispielsweise in Thunderbird oder Firefox), dann hat der Angreifer, der sich am Server des Providers versucht hiervon keinen potentiellen Vorteil. Auch ein Bruteforceangriff wird nicht erleichtert. Der Angreifer müsste den Computer selbst angreifen, um davon zu profitieren. Sobald allerdings ein Angriff auf den Computer erfolg hat und die Passwörter unverschlüsselt gespeichert wurden, hat ein Angreifer den Jackpot.
Wenn ein Angreifer bereits auf den lokalen Computer eingedrungen ist und sich eine verschlüsselte Datei kopiert hat, hindert ihn nichts daran, das dort gespeicherte Passwort auch gleich mit zu kopieren.
Daher sollte man, wenn man Passwörter speichert diese möglichst nicht unverschlüsselt speichern. Um dies möglichst zentral und einfach zu machen gibt es einige gute Programme. Wir empfehlen hier ein möglichst plattformübergreifendes Programm, wie KeePassX (das gibt es für jedes Betriebssystem), so dass man auch bei einem zukünftigen Wechsel beim diesem Programm bleiben kann.

Die genannten Szenarien und Differenzierungen sollen nur als Beispiele zum Einstieg dienen und sind keines Falls abschließend.

Für Fragen und Anregungen in den Kommentaren stehen wir gerne zur Verfügung.

1 Kommentar