Sichere Passwörter in der aktuellen Zeit

Die IT will schon lange von der Authentifizierung mittels Benutzernamen & Passwort weg, bis jetzt vergeblich. Hier zeigen wir den korrekten Umgang damit.
Autor Pascal C. Kocher
Datum 10.08.2018
Lesezeit 8 Minuten

Die Informatik will sich bereits seit Jahrzehnten von der Authentifizierung mittels Benutzernamen und Passwort lösen. Leider mit mässigem Erfolg. Auch Mitte 2018 ist diese Art der Authentifizierung noch gang und gäbe, wenn nicht sogar teilweise noch Standard. In diesem Blogpost erfahren Sie, wie Sie korrekt mit Passwörtern umgehen.

Das Passwort

Die Authentifizierung ist der Prozess zur Identifikation eines Benutzers. Die einfachste Art der Authentifizierung ist der Benutzername in Kombination mit dem zugehörigen gültigen Passwort. In dieser gültigen Kombination kann das System mit Sicherheit sagen, dass der Benutzer einerseits den Benutzernamen kennt und andererseits das zugehörige, gültige Passwort kennt. Doch leider ist damit die Identifikation des Benutzers noch nicht eindeutig, denn das Passwort könnte gestohlen worden sein oder von einem Post-it von der Tastatur abgeschrieben worden sein.

Das obenstehende Beispiel veranschaulicht eine grundsätzlich wichtige sicherheitstechnische Einschränkung in Zusammenhang mit Passwörtern:

Passwörter dürfen weder weitergegeben noch aufgeschrieben werden!

Während vielen Nutzern das mit der Weitergabe des Passworts noch einleuchtet, stösst spätestens der Verzicht, sich das Passwort zu notieren,  auf Uneinsichtigkeit, vor allem wenn die IT-Abteilung komplexe Passwörter voraussetzt, die mindestens 12 Zeichen lang sind und Sonderzeichen enthalten. Wenn zudem dieses komplizierte, kaum merkbare Passwort noch alle 30 Tage geändert werden muss, wird vielerorts gerne zum Post-it oder Notizblock gegriffen und das Passwort aufgeschrieben.

Nebst der Schwachstelle, dass der Benutzer das Passwort potenziell aufschreiben könnte, sind Passwörter aktuell grundsätzlich nicht zwingend sicher, auch wenn sie entsprechend lang sind.

Nehmen wir als Beispiel dieses 12-stellige Passwort: «^S*J9aJ4g9UP». Es erscheint auf den ersten Blick sicher, da lang und potenziell schwer zu merken. Auf einem guten Heimcomputer würde es etwa 400 Jahre dauern, um es zu knacken – aber es könnte geknackt werden. Nun mögen 400 Jahre sehr lange erscheinen, aber ein Heimcomputer ist auch nicht die schnellste Maschine. Mit entsprechenden Grafikkarten-Cloud-Computern könnte man das Knacken auf wenige Stunden reduzieren. Aber wir gehen ja sowieso davon aus, dass das Passwort aufgeschrieben wurde.

Der Weg zu Passphrasen statt -wörtern

Wie wäre es nun, ein Passwort zu haben, dass einerseits sicher und andererseits sogar noch einfach zu merken ist? Die Komplexität der Passwörter ist leider auch deren Schwachstelle. Aktuell ist der Weg zur Passphrase – also einem Passwortsatz – ein guter und gangbarer Weg. Aber was ist eine Passphrase? Grundsätzlich nichts anderes als einige aneinandergereihte Worte.

Bildlich ist dies von XKCD mit der Passphrase «correct horse battery staple» dargestellt. Es würde auf einem guten Homecomputer über 10’000 Jahrhunderte dauern, um diese mittlerweile weltweit bekannte Passphrase zu knacken und auf der Cloud-Maschine mit Grafikkarten immer noch einige tausend Jahrhunderte. Und das Beste: Es lässt sich einfach merken. Wenn jemand zu wenig kreativ ist, um eine Passphrase zu erstellen, gibt es Online-Tools, sogenannte Diceware, die Vorschläge generieren können.

Die Frage ist nun, ob Passphasen sicher sind. «Es kommt darauf an», wäre die diplomatischste Antwort. Wenn Sie damit militärische, brisante Geheimnisse schützen, dann wohl eher nicht – ausser Sie verwenden eine Passphase mit 10 Wörtern (wofür auch die NSA mehrere tausend Lebensdauern unseres Universums benötigen würde). Aber zum Schutz von E-Banking und persönlichen Daten ist eine gut gewählte, regelmässig angepasste Passphrase durchaus brauchbar.

Offline- & Online-Passwörter

Grundsätzlich können Passwörter in zwei verschiedene Kategorien gegliedert werden: Offline- und Online-Passwörter – oder genauer gesagt, Offline-Passphasen und Online-Passwörter.

Offline-Passwörter sind Kennwörter, die nirgends gespeichert werden dürfen und die man auswendig kennen muss. Diese werden beispielsweise genutzt, um sich im Betriebssystem einzuloggen oder das Telefon zu entsperren. Hierzu eignen sich natürlich Passphrasen, sofern das System überhaupt so lange Kennwörter zulässt.

Im Gegensatz zu Offline-Passwörtern können Online-Passwörter gespeichert werden, in einem sicheren Passwortmanager. Diese Passwörter muss man nicht mehr auswendig kennen, sondern sie werden in einem sicheren System zugriffsbereit gespeichert. Dies löst eine grosse Herausforderung der Passwörter bei Onlinediensten: Die Nutzung des selben Passworts auf verschiedenen Webseiten. Mit einem Passwortmanager haben Sie für jede einzelne Seite ein eigenes, sicheres Passwort und müssen sich trotzdem nur eines merken.

Passwortmanager gibt es in allen Formen und Farben und diese zu beschreiben, würde wohl den Rahmen dieses Beitrages sprengen. Ich möchte lediglich darauf hinweisen, dass Passwortmanager für den privaten Gebrauch nicht unbedingt geeignet sind. Sehr gut eignen sie sich jedoch für Teams oder Unternehmen; vor allem, wenn es darum geht, gewisse Passwörter (wie System-Passwörter) gemeinsam als Team zu nutzen.

Der zweite Faktor

Nebst der sicheren Verwendung von Passwörtern gilt es, Onlinezugänge zu Systemen auch mit einem zweiten Faktor abzusichern. Man spricht hier von der sogenannten Zwei-Faktoren-Authentifizierung. Kurz gesagt: Wenn ein Onlinedienst vom öffentlichen PC des Ferienhotels mit Benutzernamen und Passwort erreichbar ist, sollte dringend eine Zwei-Faktoren-Authentifizierung genutzt werden.

Der erste Faktor zur Authentifizierung ist etwas, was ich weiss, z.B. mein Passwort. Da dieses Passwort potenziell gestohlen werden kann, lohnt sich der Einsatz eines zweiten Faktors, z.B. eine biometrische Angabe wie der Fingerabdruck oder mit Hilfe eines Gegenstands, den ich bei mir habe (Smartcard, Handy). Insbesondere in Kombination mit dem Mobile lässt sich eine Zwei-Faktoren-Authentifizierung bei den gängigsten Onlinediensten relativ einfach einrichten.

Fazit – 5 Grundsätze zum sicheren Passwort

  • Nutzen Sie wenn immer möglich Passphrasen mit vier bis sechs Wörtern
  • Für Passwörter für Onlinedienste benutzen Sie einen Passwortmanager (natürlich mit Zwei-Faktor-Authentifizierung)
  • Notieren Sie sich die Passwörter nicht auf Zetteln
  • Geben Sie Passwörter nicht an andere Personen (auch wenn begründet) weiter
  • Wenn immer möglich, aktivieren Sie die Zwei-Faktoren-Authentifizierung

In meinem nächsten Blogbeitrag widme ich mich den Details sowie Tipps & Tricks zur Zwei-Faktor-Authentifizierung.

Links zu Passwortmanagern

IT Sicherheit für Anwender

Sicherheit fördern heisst Bewusstsein schaffen.

Das grösste Sicherheitsrisiko ist der Mensch selbst. Lernen Sie in unseren Kursen, wie Sie bei Ihren Mitarbeitenden das Bewusstsein für Security erhöhen.

Sicherheit fördern heisst Bewusstsein schaffen.

Das grösste Sicherheitsrisiko ist der Mensch selbst. Lernen Sie in unseren Kursen, wie Sie bei Ihren Mitarbeitenden das Bewusstsein für Security erhöhen.

Über den Autor

Pascal C. Kocher

Pascal C. Kocher ist Gründer und CEO der Auditron GmbH. Die junge Firma ist spezialisiert auf IT Security Audits und Penetration-Tests sowie IT-Forensik. Seit über 20 Jahren engagiert sich Pascal C. Kocher im Bereich der IT Security und hat ein profundes technisches Verständnis. Studiert hat er an der Fachhochschule Bern und basierend auf der Diplomarbeit – eine integrierte Firewalllösung auf CD – gründete er seine erste IT-Security-Firma. Zudem war Pascal C. Kocher Präsident des technisch orientierten IT-Security-Vereins DEFCON Switzerland und ist Instruktor für Certified Ethical Hacker (CEH) Kurse und seit 2002 im Besitz des Certified Information Systems Security Professional (CISSP) Zertifikats.