Passwörter soll man regelmäßig ändern, sagen sie. Passwörter sollen lang und kryptisch sein, sagen sie. Passwörter sollen nicht im Wörterbuch stehen, sagen sie. Wie man sich die Dinger allerdings merken soll, sagen sie nicht.
Eine übliche Regel im Unternehmensumfeld lautet “große und kleine Buchstaben, Ziffern und Sonderzeichen” – zumindest aus drei der vier Kategorien soll das Passwort bestehen und mindestens 8 Zeichen lang sein. Die konkrete Ansage variiert sicher je nach Firma, aber ungefähr darauf läuft es hinaus. “Faszinierend 01” wäre also ein schönes Passwort für den Januar, wenn man das Leerzeichen als Sonderzeichen einstuft (sonst nimmt man halt Minus oder Punkt). Alles schön und gut, es sollte funktionieren. Theoretisch.
“Alle drei Monate ändern” ist auch so eine Regel, die sich oft sogar direkt in der Accountverwaltung des Netzwerkes findet. Da hilft alles Jammern nichts, es muss sein. Wenn ich mir das Passwort dann noch merken will, muss es folglich jedes mal ein merkbares Passwort sein. Das fördert Schemata im Stil “Basis + Monatsnummer”, die dann wiederum wenigstens zum Teil leicht erratbar sind – was im Ergebnis zu einem dauerhaft schwachen Passwort führt. Aus obigem Beispiel würde im April dann folglich “Faszinierend 04”. Und jetzt muss nur noch jemandem auffallen, dass ich ein Fan von Mr. Spock bin und – oops – ein Hack ist geboren!
Nun ist “faszinierend” leider ein gängiges Wort, es steht sicher nicht erst seit Raumschiff Enterprise in jedem Wörterbuch. Auch so abwegige Dinge wie “Mitgliedsgemeinde” oder “Spradow” (Wikipedias Zufallsartikeln sei Dank) sind letztlich in irgendeiner Sammlung vorhanden. Und da Wörterbücher inzwischen elektronisch vorliegen (Wikipedia sowieso), ist es für einen Programmierer ein leichtes, daraus einen Brute-Force-Angriff zu basteln. Monatsnummern sind jetzt auch nicht soo schwer zu ermitteln, die Bandbreite ist begrenzt. Und die auszuprobierenden Sonderzeichen würde ich als Hacker zunächst auf die beschränken, die auf der Tastatur leicht zu erreichen sind.
Passwörter sollen lang und kryptisch sein. Aber mal ehrlich, die wenigsten von uns könnten sich so etwas wie UoYhzzy3QHXrC4kZS9dnV6jTC8G45Tu3 wohl merken. Das geht nur mit einem Passwort-Manager wie beispielsweise KeePass, der aber für das Windows-Login ungeeignet ist. Also haben wir die Wahl: Merkbar oder kryptisch.
Und Passwörter sollen nicht wiederholt verwendet werden, denn sonst könnte ein Hack von System X auch System Y kompromittieren.
Ändern oder nicht?
Diese Frage ist nicht so einfach zu beantworten. Betrachten wir die verschiedenen Szenarien, unter denen wir mit Passwörtern konfrontiert werden.
Da ist zunächst der Netzwerklogin. Ob es nun Windows, Linux oder MacOS ist, spielt eigentlich keine Rolle, denn hier muss der Mensch ran. Bevor ich nicht eingeloggt bin, kann ich keinen Passwortmanager damit beauftragen, meine Zugangsdaten automatisiert einzutragen. Also muss ein solches Passwort neben allen anderen Sicherheitsmerkmalen auch die Merkbarkeit für den User aufweisen. Das Problem dabei: Man wird möglicherweise sehr oft dabei beobachtet, wie man das Passwort eingibt, von Kollegen, von Kunden, von der Putzfrau. Aus allen diesen Beobachtungen können sich genügend Hinweise ergeben, mit welchem Passwort man es zu tun hat. Beobachte dich mal selbst: Legst du die Finger vor der Eingabe bereits auf die beiden ersten Tasten? Haust du bei der letzten Taste besonders kräftig rein, weil diese schwere Arbeit nun endlich erledigt ist? Solche Dinge fallen einem aufmerksamen Beobachter auf, und er oder sie kann diese gegen dich verwenden. Da ist eine häufigere Änderung des Passworts sicher sinnvoll, denn dann muss das Ausspähen wieder von vorn beginnen.
Eine gänzlich andere Situation sind Logins in Websites. Hierfür kann ich bereits auf die Dienste eines Passwortmanagers zurückgreifen, so dass die Merkbarkeit des Passworts keine Anforderung mehr ist. Ich kann also ein kryptisches Passwort wie Z@66vkzxsZaq:9qztZn;R\u2Z>8L(&cr verwenden, aber natürlich für jede Website ein anderes, denn das “merkt” sich ja der Passwortmanager für mich. Hier sehe ich zunächst keinen Grund für unnötig häufige Änderungen. Bei konkreten Hinweisen auf Hacks des betroffenen Systems sollte natürlich reagiert werden, ansonsten vielleicht im jährlichen Rhythmus.
Bei Programm-Logins oder innerbetrieblichen Websites würde ich das Problem noch geringer einstufen. Hier ist die Wahrscheinlichkeit für unspezifische Angriffe (ich denke, die weitaus meisten Phishing-Angriffe aus dem Internet fallen in diese Kategorie) meiner Ansicht nach recht gering. Da allerdings auch zu lesen ist, dass eine nennenswerte Anzahl von Angriffen auf Firmen von innen heraus erfolgen, könnte auch hier eine jährliche Änderung angeraten sein.
Dienstkonten sind nochmal ein besonderer Fall. Das sind Zugangsdaten, die nur von Programmen verwendet werden, beispielsweise um etwas in eine Datenbank einzutragen. Hier sollte man das Gespräch mit dem Netzwerkadministrator suchen und eine für beide Seiten (Admin und Entwickler) akzeptable Lösung suchen.
Fazit
So betrachtet ist der Mensch nur noch beim Betriebssystem-Login die Schwachstelle, denn alle anderen Situationen lassen sich z.B. mit Keepass recht gut abhandeln. Für Linux gibt es übrigens KeepassX, das Dateiformat ist für beide Programme identisch. Die Passwort-Datenbank kann auf dem USB-Stick mit genommen werden. Diese ist natürlich ihrerseits mit einem – hoffentlich starken – Passwort geschützt. Damit wären wir letzten Endes dann doch wieder bei der Schwachstelle Mensch gelandet :-(
Im Zuge des jüngsten “Hacks” wird wieder einmal darüber diskutiert, ob mehr Überwachung (von wem auch immer, am besten von allen) solche Aktionen in Zukunft rechtzeitig erkennbar macht, damit man sie rechtzeitig verhindern kann. Bundesinnenminister Seehofer möchte ein “Cyber-Abwehrzentrum Plus”, was immer das auch bedeuten soll. Auch wenn der Spiegel diverse Mythen zu widerlegen versucht, darf man bezweifeln, ob die Verantwortlichen so etwas überhaupt zur Kenntnis nehmen können – und wollen. Die Mechanismen erinnern stark an den Spruch “mit Kanonen auf Spatzen schießen”. Blinder Aktionismus motiviert durch Unwissenheit und in Verbindung mit hartnäckiger Lernresistenz hat noch nie wirklich etwas geholfen. Auch hier, ja ich wiederhole mich, greift die Schwachstelle Mensch. Und die lässt sich auch nicht durch noch so viel Technik eindämmen. Allenfalls durch Bildung. Aber wer will das schon.
Neueste Kommentare