Passworte weit entfernt von Simplified Sign On

Die personalisierte Web-Sites verlangen immer einen Benutzernamen und ein Passwort. Also Benutzernamen ausgedacht und noch ein Passwort, leicht zu merken, trotzdem sicher und die erste Registrierung erfolgreich durchlaufen. Einige Wochen später die zweite und dritte und vierte Web-Seite, die einen persönlichen Account benötigt. Schnell kommt die Stelle an der der Benutzername schon vergeben ist oder das Passwort als zu einfach zurückgewiesen wird. Da Herr der Lage zu bleiben ist schwer, es wäre doch schön, wenn es nur ein Passwort und Zugang gäbe…

Die Strategie einen einheitlichen Nutzernamen und ein einheitliches Passwort ist sehr gefährlich, denn bei den meisten Diensten, ist die dahinter steckende Technik und somit der Schutz des Passwortes bei Übertragung und Speicherung nicht klar. So hat mir mal ein Versandhändler, nachdem ich das Passwort geändert hatte eine E-Mail zugesandt in dem er mir zum Wechsel des Passwortes gratulierte und in der Mail auch noch das neue Passwort im Klartext mitteilte.

Optimale Strategie: Kennwortverwaltungsprogramm

Solch ein Programm speichert mit einem Masterkennwort geschützt alle Daten zu dem Account, wie Web-Seite, Benutzernamen, Passwort und vieles mehr. So sind verschiedene Benutzernamen und selbst komplizierteste Passworte kein Problem mehr, die meisten dieser Tools können sogar sichere Passworte erzeugen. Das einzige Problemchen, es ist lästig immer erst das Kennwortprogramm zu starten, Masterpasswort eingeben, Account auswählen, dann abtippen. Aber sicherer ist es schon. Mal schauen, was wir für faulere Leute noch zu bieten haben.

Ich kann generell bei sicherheitsrelevanter Software nur zu Open Source Software raten. Ein bekanntes Kennwortverwaltungsprogramm ist KeePass Password Safe für diverse Betriebssysteme. Da ich einen Palm PDA mein Eigen nenne nutze ich Keyring for Palm OS und KeyringEditor (Java Front End).

Damit das Vertrauen in solche Tools wachsen kann und das Tool der einzige Speicherort für alle Passsworte sein kann, sollte als allererstes mit ein paar Testdaten geübt werden die Daten zu sichern und zum Beispiel auf einem anderen Computer wieder einsatzbereit zu bekommen. Alternativ von Anfang an ein Version auf einem Zweit-Gerät etwa die USB-Stick- oder PDA-Version nutzen.

Bewertung:

++ Sichere Ablage aller Schlüssel
++ Anzahl der Accout-Passwort-Paare unbegrenzt
++ Sichere Passworte können generiert werden
o Lästiges Aptippen
o PDA oder USB-Stick Version für Internet Cafes notwendig

Gute Strategie: Passwort Manager des Browsers

Die meisten Web-Browser wie z.B. Firefox besitzen einen Passwort Manager. Dieser fragt einmalig pro Sitzung ein Masterpasswort ab und setzt dann bei erwünschten Web-Seiten den Benutzernamen und ein Passwort ein. Achtung: Das Master-Passwort darf nicht leer sein d.h. muss unbedingt gesetzt werden.

Diese Technologie ist recht komfortabel, funktioniert aber nicht bei allen Web-Seiten zum Beispiel sollte der Online-Banking-Zugang diese Art der Autorisierung unterbinden. Die Gefahren sind fehlerhafte Software oder unbekannte Verschlüsselungsstärke, deshalb auch hier wieder der Rat grundsätzlich für eine solche Aktion nur Open Source Browser einzusetzen. Ein weitere Gefahr ist eine offene Browser-Sitzung, die von einem Kollegen oder Nachbarn genutzt wird. Hier hilft nur konsequent den Browser schließen , und zwar immer über Datei|Beenden damit auch wirklich die Sitzung also alle Fenster geschlossen werden. Auch ist es möglich, dass Webseiten per Scripting diesen Freifahrtschein nutzen. Am besten das Master-Passwort nur dann eingeben wenn auch Zugänge genutzt werden und danach den Browser kurz schließen und wieder starten. Auch ist die Firefox Erweiterung NoScript eine sinnvolle Sicherung.
Auch hier bitte an das Backup der Daten denken. Den Browser einfach mal auf einen zweiten Computer umziehen und nachschauen, ob alles wie gewünscht funktioniert.

Bewertung:

++ Sichere Ablage aller Schlüssel
++ Komfortabel
o Kein Passwort Generator
– Zweiter Schlüssel-Speicher für Internet Cafes notwendig
– Nur sinnvoll für Web-Dienste nutzbar (keine Versicherungs- oder Bankdaten)

Gute Strategie: Mehrere Passwortkategorien und PwdHash

Mit erbeuteten Passworten kann unterschiedliches erreicht werden von üblen Streichen, einfachem Diebstahl bis hin zu strafrechtlich Relevantem. Deshalb sollte ein Passwort nicht für mehrere Dienste verwendet werden. Eine Möglichkeit aus einem (leicht zu merkenden) Passwort für verschiedene Web-Seiten unterschiedliche Passworte zu errechnen ist Stanford PwdHash. Dies kann sowohl als Browser-Erweiterung installiert werden, funktioniert aber auch Online in Internet Cafes.

Mathematisch funktioniert das so: PwdHash nimmt das Passwort „WhetB“ (Werner hat einen tollen Blog), die Web-Seite „www.mein-liebstes-diskussions-forum.de“ und errechnet daraus das Passwort „C6xDsNZ“. Nun ist das Ganze so konstruiert, dass aus den Informationen „www.mein-liebstes-diskussions-forum.de“ und „C6xDsNZ“ das ursprüngliche Passwort nicht zurückgerechnet werden kann (Hash-Funktion).

Dabei ist es wichtig, nicht für alles ein „Master“-Passwort zu nutzen. Falls dieses abgeschaut wird, kann der Angreifer PWDHash nutzen und hat Zugang zu allen Diensten. Bite, Bitte, Bitte, für Online-Banking, PINs oder Zugangsdaten am Arbeitsplatz nach wie vor andere Passworte nutzen.

Bewertung:

++ Komfortabel
+ Passworte werden sicher (nur im Kopf) gespeichert
+ Funktioniert in Internet Cafes
o Kein Passwort Generator
– Nur sinnvoll für Web-Dienste nutzbar (keine Versicherungs- oder Bankdaten)

Schlechte Strategie: Zwei (oder drei) Passworte

Mit einem sicheren und einem unsicheren Passwort zu arbeiten und Dienste und Web-Seiten in wichtig und unwichtig einzuteilen ist äußerst unklug. Zum einen ist unbekannt, wie die verschiedenen Dienstleister mit Account-Daten umgehen. Dann kann es unterschiedliche Passwort-Richtlinien (Policies) geben und das für 15 Web-Seiten passende Passwort funktioniert bei der 16. Web-Seite nicht mehr. Auch der Wechsel von Passworten ist erschwert, da nun bei 15 Web-Seiten gleichzeitig die Passworte ausgetauscht werden.

Das größte Problem ist aber: Ein einmal erbeutetes Passwort führt zur Einsicht bzw. Kompromittierung aller Dienste.

Bewertung:

++ Komfortabel
+ Passworte werden sicher (nur im Kopf) gespeichert
+ Funktioniert überall
o Kein Passwort Generator
— Starke Abhängigkeit von wenigen Passworten
— Höherer Anreiz zur Ausspähung

Schlechte Strategie: Passworte in Excel oder Word ablegen

Seine Benutzerdaten und Passworte in eine Excel-Tabelle oder ein Word-Dokument zu speichern und mit Passwortschutz zu versehen ist nicht sinnvoll, denn erstens sind diese Dateiformate und Applikationen nicht für diesen Zweck gebaut und zweitens sind die Sicherheitsfunktionen nicht offengelegt. Das heißt Sicherheitsexperten können die Schutzfunktionen nicht bewerten bzw. verbessern. In der Vergangenheit haben sich deratige Sicherheitsfunktionen oft als Sicherheitsproblem herausgestellt.

Bewertung:

++ Komfortabel
+ Leichtes Backup
o Kein Passwort Generator
— Daten sind wenn das Dokument offen ist nicht geschützt
— Anfälligkeit der Sicherheitsfunktion ungeklärt

Sichere Passworte

Auch gut geschützte Passworte lassen sich oft leicht erraten oder mit roher Gewalt (durch ausprobieren) errechnen. Menschen neigen dazu einfache Worte zu verwenden, die dann auch noch schnell der Person zuzuordnen sind (z. B. das Hobby, Auto, etc.).

Am besten errechnet das Kennwortverwaltungsprogramm ein Passwort der Länge von 10 bis 15 Zeichen. Dieses Passwort ist dann so zufällig gewählt, dass ein bloßes durchprobieren eines Angreifers Jahre dauern würde.

Muss das Passwort merkbar sein, so nimmt man einen Satz wie „Denn du bist immer dann am Besten; Wenn’s dir eigentlich egal ist!“ und erzeugt aus den Anfangsbuchstaben das Passwort „DdbidaB;Wdeei!“. Hier darf natürlich nicht das Lieblingszitat genommen werden, sondern irgend etwas unverdächtiges.

Nun muss das Passwort noch den Richtlinien der Administratoren der sogenannten „Password Policy“ entsprechen, diese bestimmt meist:

  1. Die Mindestlänge des Passworts (z. B. 8 Zeichen) selten auch eine Maximallänge
  2. Verwendung von Groß- und Kleinbuchstaben
  3. Verwendung von Zahlen
  4. Verwendung von Sonderzeichen
  5. Ausschluss von Worten, die in Lexika vorkommen oder auf den Benutzer zurückzuführen sind (z. B. Name, Personalnummer)
  6. Ausschluss von Datumsformaten, KFZ-Kennzeichen, etc.
  7. Das Wechselintervall und wiederverwendung von früheren Passworten bzw. Bestandteilen

Mit obigen Passwort „DdbidaB;Wdeei!“ verstoßen wir gegebenenfalls gegen #3: Die zwingende Verwendung von Zahlen. Auch dies ist mit obiger Methode zu bewältigen, in dem ein Satz mit Zahlen gesucht wird oder in dem alle Buchstaben „eE“ durch eine 3 und „iI“ durch 1 ersetzt werden. Das Musterpasswort ist nun „Ddb1daB;Wd331!“.

Bei Sonderzeichen kann ich nur dazu raten, nicht wild Sonderzeichen zu benutzen. Es kann schon mal vorkommen, dass ein Internet Cafe eine französische oder amerikanische Tastatur hat. Also eher Satzzeichen, Klammern, etc. als Sonderzeichen nutzen. Lieber das Passwort um einige Stellen verlängern, das gleicht den Sicherheitsverlust in der Passwortstärke leicht wieder aus.
Auch wenn es nicht zwingend Vorgeschieben wird, sollten die Passworte von Zeit zu Zeit gewechselt werden. Auch bitte daran denken, dass Masterpasswort für das Kennwortverwaltungsprogramm oder den Browser ab und zu mal auszutauschen.

Gewollt unsichere Passworte

Es gibt einfach Bereiche, in denen ein Passwort benötigt wird jedoch sehr schwach sein darf. Zum Beispiel ein Vorführlaptop, dass sich ein Besucher am Empfang ausleihen darf oder ein Labor Rechner der von einer Abteilung genutzt wird und nicht im Mehrbenutzerbetrieb gefahren werden kann.

Die Passworte hier sollten aus einem anderen Kontext kommen, als den den Sie sonst nutzen. Leichte Merkbarkeit aber schwere Erratbarkeit ist mit ein bisschen Grips schnell gefunden. Zum Beispiel die Farbe, Version und Marke der Kaffeemaschine im Labor. Kein vorüberschreitender Besucher kommt auf diese Kombination und keine Brute Force Attacke von extern greift da.

Das dies Security by Obscurity ist (zu deutsch etwa Sicherheit durch Unklarheit) sollte jedem klar sein. Wenn die obige Labormaschine eines Tages mit formatierter Festplatte da steht, sollte sich keiner wundern.

Quintessenz

Eure Aufgabe ist jetzt, für sich selbst einen gesunden Mix zu finden. Die Passworte, die täglich genutzt werden sollten im Kopf gespeichert werden (und zur Sicherheit bei Denkblockaden im Kennwortverwaltungsprogramm). Zugänge zu Web-Shops, die nur ab- und zu genutzt werden, bekommen ein erzeugtes Passwort und stehen im Kennwortverwaltungsprogramm. Das was man im Web zum glücklich sein benötigt, Web-Mail, Social-Networks, Blogs, etc. darf durch den Browser automatisch aktiviert werden, nachdem das Masterpasswort eingegeben wurde. Auch hier bitte als Kopie im Kennwortverwaltungsprogramm, falls dies im Internet Cafe genutzt werden soll.

Sicherheit

Nicht vergessen, Kennwortverwaltungsprogramm und Web Browser immer schön auf dem aktuellen Stand halten.

In Internet Cafe könnte eventuell ein Key-Logger installiert sein, der alle (Maus-) und Tastatureingaben aufzeichnet. Falls Ihr Euch oft in fremden Gegenden rumtreibt eventuell ein Linux-Notebook mitnehmen (in der Paranoia-Version dies mit einer Live CD booten bevor es in das Internet Cafe geht). Auf jeden Fall danach aufmerksam Eure Benutzerkonten auf Unregelmäßigkeiten prüfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dein Kommentar wird manuell freigeschaltet. Ich bitte um Geduld, das kann manchmal etwas dauern.