Channel Security

Warum man Passwörter nicht recyceln sollte und wie man ein gutes Passwort wählt ist das Thema dieses Standpunkt Sicherheit.

One pass fits all

Recycling ist im allgemeinen eine sehr gute Sache. Nicht so bei Passwörtern - da sollte man jedes nur für einen Zweck verwenden, oder anders gesagt: Für jeden Anbieter, für jede Website, immer wenn man irgendwo ein Passwort braucht, sollte es ein individuelles Passwort sein und keines, was zuvor schon irgend wo anders verwendet wurde. Wieso? Nun, auch Phisher wissen, das viele Benutzer aus Bequemlichkeit für viele Dienste das gleiche Passwort und oft auch den gleichen Benutzernamen verwenden. Und wenn sie irgendwo eine Kombination aus Benutzername und Passwort ausgespäht haben, können sie sich damit sehr wahrscheinlich auch anderswo als der entsprechende Benutzer authentifizieren. Aktuell betrifft das z.B. alle, die auf typo3.org einen Account haben: Dort hat ein Angreifer sich mit Hilfe eines ausgespähten Passworts Zugriff auf die Benutzerdaten verschafft, und die dabei ausgespähten Zugangsdaten wurden bereits für Zugriffe auf andere Websites verwendet. Auch allgemein laufen immer wieder Angriffe, bei denen Zugangsdaten gesammelt werden, die dann bei verschiedenen anderen Diensten ausprobiert werden, so z.B. aktuell auch bei Facebook. Dort werden die Benutzer auf eine dubiose Webseite gelockt, auf der sie Name und E-Mail-Adresse angeben und später ein Passwort wählen müssen, um weiter zu kommen. Die Wahrscheinlichkeit, das dabei ein öfter verwendetes Passwort verwendet wird, ist gross. Evtl. sogar das, das für den E-Mail-Account verwendet wird...

Jedem das seine!

Zusammenfassend könnte man das ganze so formulieren: Ein einheitliches Passwort und Benutzername für alle Zwecke erleichtern das Einloggen - für den Benutzer ebenso wie für einen Kriminellen. Die Devise muss also heißen "Für jeden (wichtigen) Zweck ein eigenes Passwort". Die eigentlich ebenso berechtigte Forderung "Für jeden Zweck auch ein eigener Benutzername" ist nutzlos, denn wer will und kann sich schon so viele Passwörter und Benutzernamen merken? Außerdem möchte man ja auch oft anhand seines Benutzernamens von Freunden erkannt werden.

Kommen wir noch kurz zum "(wichtigen)" in obiger Forderung: Für die Anmeldung bei z.B. Mailinglisten kann man ruhig immer das gleiche Passwort verwenden - sofern man es nicht gleichzeitig auch noch z.B. bei eBay, Amazon oder Co. verwendet. Wenn ein Angreifer das Passwort für die Konfiguration einer Mailingliste kennt, kann er zwar ärgerliche Änderungen daran vornehmen, aber keinen wirklichen Schaden anrichten. Kann er mit dem gleichen Passwort aber auch auf z.B. eBay zugreifen... Dumm gelaufen, oder?

Gutes Passwort - woher nehmen?

Meine "Allerweltspasswörter", die ich häufig brauche, bilde ich alle nach einem einheitlichen Verfahren. Die müssen zum einen leicht zu merken sein, zum anderen dürfen sie aber nicht über eine Wörterbuchangriff oder einfaches Raten ermittelt werden können. Am besten sind völlig zufällige Passwörter, aber die kann man sich meist schlecht merken. Um all diese Forderungen unter einen Hut zu bringen, denke ich mir einen Satz aus, den ich mir gut merken kann. Am besten etwas, das irgendwie im Zusammenhang mit der jeweiligen Webseite etc. steht. Nehmen wir als Beispiel mal Youtube. Dann könnte der Satz z.B. lauten

Bei Youtube gibt es viele gute Videos und auch mein Passwort ist gut

Jetzt nehme ich von jedem Wort den Anfangsbuchstaben:

BYgevgVuamPig

Das sieht doch schon mal ganz gut aus, sowas dürfte wohl in keinem Wörterbuch stehen. Ein paar Zahlen drin können nicht schaden. Entweder kann man die gleich mit im Satz unterbringen, oder man tauscht einige Buchstaben durch Zahlen aus. Also mal gucken: Das g sieht aus wie eine 9, das i wie eine 1:

BY9evgVuamP1g

Prima, das lässt sich relativ gut merken, aber mit Sicherheit weder erraten noch über einen Wörterbuchangriff ermitteln. Keine Ahnung, ob so ein Passwort von Youtube akzeptiert wird, da ich da keinen Account habe, aber ggf. kann man das ja abkürzen und/oder in Klein- oder Grossbuchstaben umwandeln.

Wichtiger Passwörter liefert der Zufallsgenerator

Für wirklich wichtige Passwörter, z.B. den Zugang für meine Webserver etc., verwende ich vom Zufallsgenerator erzeugte Passwörter. Die kann ich mir meist nicht merken, weil ich sie nur sehr selten brauche. Da ich die aber immer nur im Büro brauche, kann ich sie problemlos aufschreiben und wegschließen.

Ab in den Safe?

Ein (Hardware-)Safe ist, sofern vorhanden, ein guter Aufbewahrungsort für die notierten Passwörter. Ob man einen Passwordsafe wie z.B. den Schlüsselring vom Mac OS X verwendet, ist Geschmacks- und Abwägungssache. Was passiert, wenn der Rechner, auf dem der Passwordsafe läuft, kompromittiert wird? Einige Passwörter speichere ich darin völlig bedenkenlos, z.B. die für FTP- oder manche Mail-Zugänge - die werden sowieso unverschlüsselt übertragen, und sollte mein Rechner kompromittiert werden ist es egal, ob das Passwort aus dem Schlüsselring oder bei der Übertragung ausgespäht wird. Andere, z.B. die für GPG, haben auf dem Rechner nichts zu suchen. Und ein Passwortmanager ist zwar eine nützliche Hilfe, aber nur, wenn man Zugriff darauf hat. Für alles, was man auch mal schnell nebenbei im Urlaub aus einen Internet Café aufrufen möchte, ist ein Passwortmanager auf dem Rechner daheim keine Hilfe.

Bruce Schneiers Meinung

Passend zum Thema gibt es im Blog von Bruce Schneier einen Beitrag, der auf zwei ältere Artikel von ihm zum Thema verweist: 'Passwords are not broken, but how we choose them sure is' im Guardian und 'Secure Passwords Keep You Safer' in seinem Blog. Na, da liege ich mit meinen Vorschlägen ja gar nicht weit daneben.

Carsten Eilers