Ein paar Gedanken zu Passwortsicherheit, Auswirkungen von Datenpannen und mehr
Passwörter sind Fluch und Segen zugleich: Segen, weil sie uns erlauben, den Zugriff auf sensible Daten auf einen begrenzten Kreis von berechtigten Personen – oft genau einer Person – einzuschränken; Fluch, weil sie genau wie das Fahrradschloss nicht allen Angreifern standhalten.
Benutzeraccounts und Passwörter sind Teil unserer täglichen Arbeit, und natürlich ist auch ihre Angreifbarkeit ein wiederkehrendes Thema. Dabei geht es nicht nur darum, wie wir Passwörter möglichst sicher speichern, sondern oft auch um Fragen wie "Ginge das auch ohne Passwort?" oder "Was ist hier der bestmögliche Kompromiss aus Sicherheit und Nutzerfreundlichkeit (UX)?". Bereits 2019 haben wir unsere diesbezüglichen Erfahrungen und Lösungsideen in einen Vortrag auf einem regionalen Meetup gegossen.
Mit Maschinen gegen die Maschinen vorgehen: Passwortmanager
Ein Schwerpunkt des damaligen Vortrags war das Dilemma, dass es für Maschinen durch stetig steigende Rechenleistung immer einfacher wird, Passwörter zu knacken – während wir Menschen immer mehr unter den immer neuen Anforderungen an "sichere" Passwörter (Groß- und Kleinschreibung! Zahlen! Sonderzeichen! Mind. ein Konsonant aus phönizischer Keilschrift!) leiden. Experten sind sich seit langem einig: mit die beste Chance gegen Maschinen bieten uns andere Maschinen, in diesem Fall Passwortmanager. Die können nicht nur zufallsgeneriert sehr lange Zeichenketten generieren und sich für uns merken, sie unterstützen uns vor allem dabei, für jeden Login ein anderes Passwort zu nutzen.
Das sind direkt drei Vorteile:
- Echte zufallsbasierte Passwörter haben keine Verwundbarkeit gegenüber sogenannten Wörterbuchattacken, die, salopp gesagt, ein Buch wie den Duden nehmen und beliebig viele Kombinationen echter Wörter, z. T. mit leichten Modifikationen, testen. Ein "passwort" würde von einem Angreifer genauso gefunden wie ein "ichbraucheurlaub" oder sogar ein vermeintlich cleveres "sup3rgehe1m".
- Passwortmanager nutzen den gesamten erlaubten Zeichensatz, und wenn wir uns ein Passwort nicht merken müssen, ist es für uns irrelevant, ob es 8, 32 oder 64 Zeichen lang ist. Wichtig hierbei: die Zahl möglicher Varianten, die bei einer sogenannten "Brute-Force-Attacke" automatisiert getestet werden müssten, steigt exponentiell mit jedem weiteren Zeichen. Ein schlechter Vergleich: wenn man den Code vergessen hat, ist ein Fahrradzahlenschloss mit 3 Ringen (und 1.000 möglichen Kombinationen) vielleicht gerade noch so an einem Nachmittag durchprobierbar — bei einem mit 5 Ringen (100.000 mögliche Kombinationen) müsste man dagegen schon sehr leidensbereit sein und deutlich mehr Zeit investieren.
- Für jeden Account ein einzigartiges Passwort zu benutzen ist eine simple und effiziente Methode, sich gegen Datenpannen abzusichern. Das Hasso-Plattner-Institut schreibt dazu:
"Täglich werden persönliche Identitätsdaten durch kriminelle Cyberangriffe erbeutet. Ein Großteil der gestohlenen Angaben wird anschließend in Internet-Datenbanken veröffentlicht und dient als Grundlage für weitere illegale Handlungen."
Ist man von einem Datenleck betroffen, besteht eine erhöhte Gefahr, dass ein verwendetes Passwort entschlüsselt und für immer in Angriffsdatenbanken aufgenommen wird. Solange das Passwort aber nur für eine Plattform verwendet wurde, ist zumindest die Sicherheit aller anderen Dienste nicht betroffen.
Datenpannen, geleakte Passwörter und gute UX
Moderne Passwortmanager bieten oft noch einen weiteren Vorteil: sie sind in der Lage, gespeicherte Passwörter gegen Listen bei Datenpannen erbeuteter Zugangsdaten zu testen und eine Warnung auszugeben, wenn ein vermeintlich sicheres Passwort bereits Teil einer Datenpanne war.
Wir sind überzeugt davon, dass Sicherheit ein Bestandteil guter UX ist – und gute UX Sicherheit schaffen kann. Und wir wissen auch, dass lange nicht alle Nutzerinnen und Nutzer der von uns betreuten Webseiten einen Passwortmanager einsetzen. Schon seit langem war es uns daher ein Anliegen, einen vergleichbaren Service auch selbst anzubieten, und letztes Jahr konnten wir die Funktionalität als Teil eines Anpassungsauftrags für die Extranets des Gemeinsamen Bundesausschusses (G-BA) umsetzen.
Bei der Vergabe eines neuen Passworts erfolgt nun automatisch eine Abfrage über den Dienst haveibeenpwned.com des renommierten Sicherheitsexperten Troy Hunt, und das neue Passwort wird nur akzeptiert, wenn es noch nicht Teil eines Datenlecks war. Erfreulicherweise bietet das von uns eingesetzte Open Source Framework Symfony diesen Überprüfungsschritt für Passwortfelder seit 2019 standardmäßig an.
Bei der Überprüfung wird natürlich kein Passwort übermittelt; tatsächlich erfolgt der Test sogar auf eine derartig ausgeklügelte Weise, dass die übertragenen Daten dem Anspruch der k-Anonymität genügen. Da Troy Hunt oft auf die Sicherheit seines Dienstes angesprochen wird, hat er die zugrundeliegende Methodik in seinem Blog detailliert (in englischer Sprache) beschrieben.
Bei uns war unmittelbar nach dem Launch des neuen Features die Freude groß, denn unsere Ansprechpartnerin schrieb uns folgende E-Mail:
Liebe webfactory,vielen Dank für die Umsetzung.Ich habe die Funktion ausprobiert und konnte mein Passwort ändern.Allerdings ist mir aufgefallen, dass ich meine Passwörter mal ändern sollte, weil Ihr Sicherheitscheck bei mir angeschlagen hat.Nun denn..
Ein voller Erfolg!
Das Hasso-Plattner-Institut veröffentlicht übrigens jedes Jahr eine Liste der "beliebtesten deutschen Passwörter".
Die Top Ten für 2022 war angeblich:
- 123456
- 123456789
- 1Qaz2wsx3edc
- 12345
- password
- qwertz
- ficken
- 12345678
- passwort
- Ebels123
Nun denn.