Ist 1234 ein gutes Passwort?

«Ist 1234 ein gutes Passwort? Oder soll ich doch lieber Mb2.r5oHf-0t wählen?» Diese Frage stellen sich viele täglich. Hier ein paar Erklärungen und Antworten. Auch, dass eigentlich 1234 gar nicht soo schlecht ist…

Die Probe aufs Exempel

An einem gemütlichen Abend fragte ich einige Bekannte, welche Passwörter sie denn ausprobieren würden, wenn sie mein Konto knacken wollten. Hier ein paar repräsentative Antworten:

Uiuiui, das ist aber bei dir ja ganz besonders schwer, sicher nichts Einfaches.

Ich würde es mal mit deinem Geburtsdatum, den Namen deiner Lieben oder deren Geburtsdaten versuchen.

Was lernen wir daraus?

1. Schon ein Eindruck von Sicherheit wirkt abschreckend. (Gilt nicht nur in der IT-Sicherheit.)
2. Je mehr jemand über dich weiss, desto einfacher ist es, deine schwachen (schlechten) Passwörter zu erraten.
3. Wähle nichts, was für jemand anderen erratbar ist.

Wovor soll ein Passwort schützen?

Wenn Daten und weitere Ressourcen eines Systems vor Unbefugten geschützt werden sollen, sind Passwörter eines der Mittel, unbefugten Zugriff zu vermeiden. Das ist der Aspekt, der den Anwender auch direkt betrifft.

Daneben muss natürlich auch das System selbst sicher sein, z.B. man soll nicht als Folge eines Programmierfehler Zugriff erhalten, ohne überhaupt je nach einem Passwort gefragt zu werden. Hier ist hauptsächlich der Systemverantwortliche gefordert.

In vielen Systemen gibt es noch zusätzliche Barrieren vor oder hinter den oben genannten. Zu den bekanntesten zählt die Zwei-Faktor-Authentifizierung.

Was macht ein gutes Passwort aus?

Ein gutes Passwort soll vor allem eins: Unbefugte davor hindern, die Daten und Rechner dahinter zu missbrauchen. Ob das erfolgreich ist, hängt zuerst einmal von drei Faktoren: Dem Angreifer, dem Verteidiger und dem Passwort.

Was kann der Angreifer?

Ein Angreifer hat folgende Möglichkeiten, Passwortkandidaten zu bekommen:

1. Direkt vom User z.B. durch Shoulder Surfing^[1]Shoulder Surfing: Jemandem (über die Schulter) beim Eingeben des Passworts zuschauen, Phishing oder durch Keylogger als Hardware oder Software.
2. Beim unverschlüsselten Übermitteln über einen Kanal, insbesondere eine unverschlüsselte HTTP-Verbindung (also ohne HTTPS) oder über eine unverschlüsselte Mail.
3. Von einem anderen Konto übernehmen, wenn
   1. der User dasselbe Passwort (oder ein abgewandeltes) bei mehreren Onlinekonten verwendet und
   2. das Passwort bei einem dieser Onlinekonten erbeutet wurde.

   Am einfachsten ist es für den Angreifer, wenn das Passwort beim Diensteanbieter unverschlüsselt gespeichert ist. Dazu aber mehr weiter unten.

4. Erraten mit Lexikon und Regeln. Das Basis-Lexikon kann ein echtes Wörterbuch sein oder eine Liste von beliebten Passwörtern. Diese werden dann aber nicht nur direkt verwendet, sondern mit Ersetzungsregeln bearbeitet: l durch I oder 1 ersetzen; hinten ein 1 oder ! anhängen, Namen und Abkürzungen der Diensteanbieter ersetzen (blue oder bl im Passwort eines Bluewin-Kontos durch green oder gr ersetzen, wenn das Passwort bei einem Green.ch-Konto versucht werden soll).
   

   Wenn Ihnen jemand eine Ersetzungsregel empfohlen hat, dann kennen die Angreifer diese Regel schon lange. (Und auch die meisten Regeln, die Sie sich ein Mensch merken kann, sind schon computerisiert.)

5. Erraten ohne Anhaltspunkt („Brute Force“). Alle Zeichenkombinationen von aaaaaaaaaa über Mb2.r5oHf-0t bis ZZZZZZZZZ auszuprobieren ist um so schwieriger, je mehr verschiedene Zeichen darin vorkommen und je weniger Zeichen davon nach irgendwelchen Regeln erzeugt wurden.

Was kann der Verteidiger?

Grundsätzlich unterscheidet sich ein Angreifer, der ein Passwort aus seiner Liste ausprobiert, erst einmal nicht von einem Benutzer, der sein Passwort falsch eingibt. Es gibt einige Merkmale, die es einfacher machen, diese kommen aber mit ihren eigenen Risiken.

Damit bleibt dem Diensteanbieter, unserem Verteidiger gegen den Angriff, vor allem Eines: Den Angreifer verlangsamen. Eine Regel, wie sie bei Bancomatkarten üblich ist, dass die Karte gesperrt wird, sobald das Passwort drei Mal falsch eingegeben wird, ist im Internet fatal: Viele Konten wären dauernd gesperrt.

Der Mittelweg: Wenn von einer bestimmten IP-Adresse aus mehrere falsche Versuche erfolgen, werden weitere Loginversuche von dieser Adresse aus für mehrere Minuten gesperrt.

Aber schon alleine die Einschränkung, dass ein Passwortknackversuch über das Netzwerk gehen muss, verlangsamt einen Angreifer massiv. Damit sind meist nur noch wenige Dutzend bis ein paar Tausende Versuche pro Sekunde möglich. Das mag im Vergleich zu Lo und Leducs Versuch, alle 20 Sekunden eine neue „079“-Telefonnummer auszuprobieren, nach sehr viel anmuten, ist es aber nicht: Selbst wer „nur“ ein Passwort aus 8 zufälligen Kleinbuchstaben verwendet, hat bereits 26⁸ Versuche vor sich, rund 200 Milliarden. Bei tausend Versuchen pro Sekunde dauert das schon über 6 Jahre. Ein neuntes Zeichen bringt das auf 172 Jahre, die Mischung von Gross- und Kleinbuchstaben auf rund 17’000 Jahre; wer sich dabei noch grosszügig aus den Sonderzeichen bedient, der bringt die Angriffszeit auf einige Jahrmillionen. Genug, um auch den hartnäckigsten Angreifer zur Verzweiflung zu treiben. Wo liegt also das Problem?

Das schutzlose Passwort

Das Problem ist insbesondere dann eines, wenn gar kein Verteidiger da ist, wenn also der Angreifer

1. schon das richtige Passwort kennt,
2. das Passwort nur mit wenigen Tausend Versuchen erraten kann oder
3. ein verschlüsseltes Passwort von einem anderen Diensteanbieter erschlichen werden konnte.

Wenn der Angreifer also das korrekte Passwort oder ein sehr ähnliches kennt, nützten Passwortchecks nichts. Auch ein Zwang zu langen Passwörtern oder Sonderzeichen in der Mitte macht keinen Unterschied. Deshalb:

Regel #1: Passwort mit niemandem teilen. Auch nicht mit einem anderen Diensteanbieter.

Regel #2: Dann braucht man keine weiteren Regeln.

D.h., für jedes Konto ein unabhängiges Passwort erzeugen oder auf Passwörter verzichten:

• Unabhängige Passwörter kann man sich nur wenige merken, ohne Rückgriff auf technische Mittel läuft da nichts. Deshalb ist ein Passwortmanager unverzichtbar. Wenn mit dem Browser oder Betriebssystem schon einer kommt, dann ist das häufig der beste Weg, weil man ihn so auch nutzt.
  Mein Passwortmanager hat in den letzten Jahren weit über 1000 Passwörter gesammelt. Da sind viele Zugangsdaten dabei, die man einmal angelegt hat und vielleicht nie wieder braucht, z.B. beim einmaligen Onlineshopping beim lokalen Schuh- oder Kleiderladen. Wahrscheinlich beschäftigt der keinen IT-Security-Experten. Wenn wir diesem Laden um die Ecke dasselbe Passwort verraten, mit welchem wir uns auch bei unserem Emailkonto anmelden^[2]Warnung: Viele glauben, ihre Emails seien gar nicht wichtig und das Passwort dafür auch nicht. Das ist ein grober Fehlschluss. Mit Zugriff zum Emailkonto kann man über die „Passwort zurücksetzen“-Funktion vieler Anbieter die Kontrolle über diese weiteren Konten erlangen. Und auch die sogenannten „Sicherheitsfragen“ halten keinen dedizierten Angreifer auf. oder das wir bei der Arbeit verwenden, gefährden wir auch diese und weitere Daten.
• Ohne Passwort kann man sich bei einigen wenigen Diensten mittels Benutzerzertifikat anmelden, beispielsweise mittels einer Smartcard oder speziellem USB-Stick. Der Ansatz ist sehr gut, allerdings für Otto Normalverbraucher aufgrund seiner fehlenden Verbreitung irrelevant.
• „Anmelden mit Facebook, Google, …“ hilft ebenfalls, auf Passwörter zu verzichten. Diese Methode ist nicht sicherer als der Passwortmanager (im Gegenteil), untergräbt aber die Privatsphäre noch weiter. Deshalb empfehle ich dies nur im Ausnahmefall.

Gegen diesen Missbrauch eines bekannten Passwortes wird auch Zwei-Faktor-Authentisierung (2FA) als zusätzlicher Mechanismus eingesetzt. Er ist dort fast die einzige Methode, die Schutz bringt. Allerdings kann sie auch lästig sein. Da sind die Diensteanbieter gefragt, sie möglichst benutzerfreundlich umzusetzen.

Wenn ich aber das Passwort gar nicht weitergebe, dann bin ich doch sicher? Wieso brauche ich dann trotzdem ein langes Passwort?

Eigentlich ja. Leider kann der Diensteanbieter aber nicht wissen, ob Sie sich an die obigen Regeln halten. Deshalb versucht er das Ausprobieren von Passwörtern gegen eine Offline-Datenbank möglichst wenig erfolgreich zu machen. Leider helfen die meisten Passwortkriterien kaum weiter. Auch die Pflicht, das Passwort alle 3 Monate zu ändern, bringt kaum zusätzlichen Schutz, wenn man auf seine Passwörter aufpasst.

Zusammenfassung

Aktuell sind die besten Möglichkeiten für einen Angreifer an Passwörter zu kommen, Phishing und das Herunterladen von ungenügend gesicherten Passwortdatenbanken von Dienstleistern. Gegen beides schützen komplizierte Passwörter nicht. Jeder Einzelne sollte also darauf achten, seine Passwörter mit niemandem zu teilen. Wirklich niemand! Dazu benötigt man einen Passwortmanager, der häufig schon im Betriebssystem oder Browser eingebaut ist. Komplizierte Passwörter dienen hauptsächlich dazu, Nutzer vor Schaden zu schützen, die sich nicht an die Regel halten. Aber sie geben trotzdem mehr Schutz.

1234 ist also gar nicht so schlecht. Es darf aber – wie jedes andere Passwort auch – nur für ein Konto verwendet werden. Und ich bin sicher, da war jemand anders früher und Sie müssen sich ein neues aussuchen…

Aber für wirklich kritische Ressourcen sollten Sie 12345 verwenden. Oder  00000000.

Es sind aber auch die Dienste- und Shopanbieter gefragt, die

1. Ihre Daten und Passwörter gut schützen sollen,
2. bei vermuteten Angriffen kompetent reagieren sollen und dabei ehrlich kommunizieren sollen,
3. bei unübliche Aktivitäten und administrativen Aktionen zusätzliche Identifikation verlangen, die aber die Privatsphäre der Nutzer nicht tangieren sollte (also wenn möglich Vermeidung von „Sicherheitsfragen“ oder der Pflicht, eine Telefonnummer einzugeben) und
4. zusätzliche Schutzmassnahmen wie 2FA oder passwortlose Mechanismen einsetzen sollten.

Jeder kann seinen Beitrag dazu leisten, die Welt ein kleines bisschen sicherer zu gestalten. Gehen wir das gemeinsam an!

Weitere Informationen

• Cory Doctorow: „Hackers can steal your 2FA email account by getting you to sign up for another website“, Boingboing, 2017-06-22.
  Wie man Zwei-Faktor-Authentisierung aushebeln kann.
• Lorrie Cranor: „Time to rethink mandatory password changes„, Federal Trade Commission, 2016-03-02.
  Passwortänderungen alle X Monate bringen kaum einen Sicherheitsgewinn. Im Gegenteil.
• Dan Goodin: „Anatomy of a hack: Even your ‚complicated‘ password is easy to crack„, Wired, 2013-05-28.
  Erläuterungen, wie professionelle Passwortknacker vorgehen.
• Troy Hunt: „Data breach disclosure 101: How to succeed after you’ve failed„, 2017-03-23.
  Was man als Firma tun soll, nachdem man gehackt wurde.
• Stefan Sichermann: „IT-Experten küren Mb2.r5oHf-0t zum sichersten Passwort der Welt„, Der Postillon, 2014-04-15.
  Ein paar Körnchen Wahrheit zu Passwörtern. Und viel Futter für die Lachmuskeln.
• Marcel Waldvogel und Jürgen Kollek: „SIEGE: Service-Independent Enterprise-GradE protection against password scans„, DFN-Mitteilungen 87, 2014-11-30.
  Was man aus Passwortfehlversuchen lernen kann. Und dass Zusammenhalt der Verteidiger wichtig ist.
• Marcel Waldvogel und Thomas Zink: „Einfache Zwei-Faktor-Authentisierung„, digma 3/2018, 2018-09-30.
  2FA mit X.509-Nutzerzertifikaten. Und wie man trotz Offenheit Sicherheit erreicht.

Updates

2018-09-29: Facebook-Accountpanne hinzugefügt.