Das können Sie vergessen: Das ewige Leid mit den Passwörtern

13.06.2019 14:58 Uhr (Kommentare: 0)

Das leidige Thema sicherer Passwörter verfolgt uns alle nun schon seit ein paar Jahrzehnten, und es ist auch nicht abzusehen, dass sich das so schnell ändern wird. Mit schöner Regelmäßigkeit werden zudem sicher geglaubte Wahrheiten wieder in Frage gestellt. Das gilt beispielsweise für die Regel, dass Passwörter regelmäßig geändert werden müssen: Ist ein Passwort sicher und existieren zusätzliche Kontrollmechanismen (wie bspw. die Benachrichtigung bei fehlgeschlagenen Logins oder eine Limitierung der möglichen Anmeldeversuche), so ist nicht einzusehen, weshalb das Passwort geändert werden muss.

Eine einfache Google-Suche zum Thema bringt, wenig überraschend, eine große Fülle verschiedener Regeln, Tipps und Tricks zum Vorschein. Nimmt man die Hinweise von etwa dem BSI (oder auch hier zum Umgang mit Passwörtern), der Verbraucherzentrale oder auch G DATA einmal zusammen, so lassen sich die folgenden Kernanforderungen an ein sicheres Passwort herausarbeiten:

Size matters

Ein sicheres Passwort muss, um eine bestimmte Komplexität zu erreichen, eine gewisse Länge besitzen. Unter zehn Zeichen sind die kombinatorischen Möglichkeiten schon rein mathematisch zu begrenzt, um Angriffen ausreichen lange standhalten zu können. Die Erhöhung der Komplexität durch die Verwendung unterschiedlicher Zeichentypen ist grundsätzlich gut, ist aber dennoch mit Vorsicht zu genießen: Die Maßstäbe menschlicher und kryptographischer Komplexität sind nicht unbedingt die gleichen:

Wichtig: Die Passworterstellung sollte nicht durch ein festes Schema eingeschränkt sein, weil dies den Passwortraum (d.h. die Menge der theoretisch möglichen Passwörter) unnötig und ggfs. gefährlich einschränkt – auf diese Weise war es bspw. schon den Briten gelungen, die Verschlüsselung der deutschen Enigma auszuhebeln.

Be unique

Eine weitere Maßgabe lautet, für jeden Dienst ein eigenes Passwort zu verwenden. Denkt man an den eigenen Schlüsselbund, so leuchtet auch diese Regel unmittelbar ein. Schade nur, dass es (im Gegensatz zu den Schlüsseln) so wahnsinnig unpraktisch ist, sich für jeden Dienst ein eigenes Passwort merken zu müssen. Dieser Umstand führt uns jedoch stracks zum nächsten Punkt:

Muss praktisch sein

Eine Lösung kann so sicher sein wie sie will – wenn man sie nicht nutzt, weil sie im Alltag nicht praktisch genug ist, ist der Nutzen gleich null. Realistisch betrachtet kommt daher heutzutage nur die Nutzung eines Passwortmanagers in Frage – weil so gut wie niemand mit einem Elefantengedächtnis gesegnet ist. Auch die Nutzung einer Papierliste für Passwörter oder andere sensible Informationen wie Zugangsdaten, PINs o.ä. ist gefährlich und daher nicht zu empfehlen – schließlich kann eine solche Liste nicht nur unbefugten Dritten in die Hände fallen, sondern auch schlichtweg einfach verloren gehen. Außerdem wäre eine solche auf Papier geführte Liste auch im Alltag nur mäßig praktisch, geht es doch in der Regel darum, Passwörter – noch dazu komplexe Passwörter – am PC (oder einem anderen digitalen Gerät) einzugeben. Ergo brauchen wir etwas wie einen …

... Passwortmanager

Passwörter wie =56X8-#+sa9SDFn3! (bitte dieses Passwort nicht mehr benutzen!) lassen sich mit einem Passwortmanager nicht nur einfach erzeugen, sondern vor allem automatisch kopieren und einfügen. In Verbindung mit einem Login-Namen lassen sich dann auch Anmeldemasken schnell und effizient ausfüllen. Auch andere sinnvolle und praktische Funktionen wie etwa eine interne Strukturierung und Gruppierung der Einträge oder eine Passwort-Historie kann ein Passwortmanager bieten. Und schließlich ist auch der verteilte Zugriff auf Passwörter möglich, wenn die Datenbank auf einem Netzwerklaufwerk o.ä. abgelegt ist.

Grundlegende Bedingung für den sicheren Betrieb eines Passwortmanagers ist natürlich, dass das Master-Passwort (gewissermaßen der Zentralschlüssel), mit dem die Passwort-Datenbank verschlüsselt ist, ausreichend sicher ist und auch sicher verwahrt bleibt. Ein beliebtes Tool ist beispielsweise KeePass, ein Open Source Passwortmanager, dessen Möglichkeiten wir in einem der nächsten Beiträge im Detail vorstellen werden.

Doppelt genäht hält besser

Wenn möglich, sollte bei Webdiensten, die eine solche Möglichkeit bieten, eine Zwei-Faktor-Authentisierung genutzt werden: Dabei wird neben der üblichen Zugangskontrolle mittels Benutzername/PIN und Passwort auf einen zweiten, externen Faktor zur Authentisierung zurückgegriffen, was die Sicherheit zusätzlich erhöht (eine sichere Implementierung vorausgesetzt). Solche Systeme sind nicht nur im Zusammenhang mit Online-Banking inzwischen sehr verbreitet, sondern auch zahlreiche Dienste wie Google, Apple, Facebook etc. bieten dies an.

Zurück

Es gibt noch keine Kommentare.

Einen Kommentar schreiben