Aus zum Glück nicht gegebenem Anlass, aber aus neuerlich geweckter Aufmerksamkeit möchte ich mich im Folgenden eher kurz mit Passwörtern und unserem Umgang damit befassen. Ich weiß, es ist ein leidiges Thema – aber es ist ein wichtiges Thema.
Im Moment ist viel von Passkeys die Rede. Allerdings ist dieses Verfahren zur Zeit noch nicht so weit verbreitet und zumindest mir ist dabei auch noch einiges unklar. Die meisten von uns dürften bis auf Weiteres zumindest teilweise noch Passwörter (und zugehörige Anmeldenamen) zum Login bei vielen Diensten und Anbietern einsetzen.
Also, nun Passwörter…
Ich bin heute beim Informieren über einen alternativen Passwortmanager zu meinem ‚Keepass2Android‘ auf einen älteren Artikel von Mike Kuketz über Passwörter im Allgemeinen gestoßen. So etwas passiert mir öfter, da ich im Blog und im Forum des umtriebigen Mike Kuketz ziemlich oft unterwegs bin.
Der Knackpunkt für mich heute war ein Link zu einem Bericht in Arstechnica »Anatomy of a hack: How crackers ransack passwords like qeadzcwrsfxv1331»
Der Bericht ist in Englisch, aber ich empfehle die Lektüre trotzdem dringend, wenn ihr einigermaßen englischfest im Lesen seid.
Ich sage einfach mal kurz und knapp das:
Wir alle kennen wohl die Berichte aus den letzten Monaten, wo kritisch angemerkt wird, dass Internetnutzer in Deutschland geradezu grotesk leichtsinnig mit dem Thema Sicherheit bei Onlinezugängen umgehen. Sogenannte Passwörter wie hansi12345, 2468abcd, fritzle37 oder vergleichbarer Dummfug sind offensichtlich weithin die Regel für Onlinezugänge.
Wer solchen Quatsch als Passwörter einsetzt und das immer noch für ganz Ok hält, braucht jetzt nicht weiterzulesen. Es würde nichts bringen, denn der- oder diejenige glaubt wahrscheinlich, dass der Osterhase sie vor den bösen Hackern schützt.
Alle anderen führen sich das hier mal zu Gemüte:
Passwörter wie n3xtb1gth1ng, qeadzcwrsfxv1331, momof3g8kids, Coneyisland9/ oder Qbesancon321 sind kaum bessere Passwörter als der vorgenannte Mist.
Warum das so ist, und warum solche Passwörter aus verschlüsselten Hashes heraus in geradezu lächerlich kurzer Zeit mit einem guten PC mit einer oder mehreren modernen Grafikkarten »extrahiert« werden können, könnt ihr aus dem im genannten Artikel besprochenen Experiment mit drei Kryptospezialisten herauslesen.
Mir hat der Bericht jedenfalls ein gehöriges Bisschen die Augen geöffnet, wie Passwortcracker mit relativ wenig Aufwand und ein paar guten Tools in der Lage sind, aus geleakten Nutzerdatenbanken Zehntausende und mehr Passwörter in verschwindend kurzer Zeit zu cracken.
Leaks und Angriffe
Davon lesen wir in letzter Zeit doch immer öfter – geleakte Nutzerdatenbanken von kommerziellen oder institutionellen Dienstleistern machen gewinnbringend in dunklen Netzkreisen die Runde.
Das ist tatsächlich das reale Angriffs-Szenario, das uns allen droht. Es ist nicht das kleine Skrip-Kid, das mit ein paar Wortlisten oder Brute-Force-Attacken nächtlich versucht, sich auf irgendeinem Server Zugang zu verschaffen. Oder derart mal eine ‚große‘ Seite anzugreifen.
Zwei Hauptvektoren dienen erfolgreichen Angriffen auf ganze Nutzerdatenbanken:
- Schwache Passwörter
- Schwach abgesicherte bzw. gehashte Passwörter in den Datenbanken
Ihr müsst einfach davon ausgehen, dass Anbieter registrierungspflichtiger Dienstleistungen nicht die beste verfügbare Sicherheitslösung zur Absicherung von Nutzerdaten implementieren, sondern einfach die Verfahren nutzen, die in der gewählten Out-of-the-Box-Software ‚mit dabei‘ sind – oder sie lassen sich kostengünstige Verfahren aus meist vorgegebenen Bausteinen einbauen. Sicherheit ist eine Kostenfrage.
Dementsprechend »sicher« sind die Nutzerdatenbanken dann auch… man liest ja immer wieder davon.
Lest selbst, es ist hochinteressant und wirklich atemberaubend. Ich kann das alles nicht so wirkungsvoll berichten oder gar erklären.
Ich kann aber das einzig sinnvolle Fazit sowohl der Kryptospezialisten als auch von Mike Kuketz wiederholen – als Quintessenz:
Nur ein absolut zufälliges Passwort bzw. nur eine absolut zufällige Passphrase (Diceware-Verfahren) können sicher sein. Dazu noch eine ordentliche Länge, vielleicht 16, 20, 24 Zeichen, um der einfachsten Methode des Brute-Force-Angriffs entgegenzustehen.
Es ist unter diesen Umständen natürlich geradezu eine Pflicht, einen Passwortmanager auf seinen PCs und Mobilgeräten einzusetzen. Denn natürlich kann sich kein Mensch rein zufällige Passwörter mit ausreichender Zeichenanzahl merken.
Ein Passwortmanager erleichtert einem einfach den Umstand, dass jedem einzelnen Dienste-Zugang ein eigenes Passwort zugehört, dass dieses ausreichend lang und absolut zufällig ist.
Am sicheren Ende muss man nur ein Passwort kennen, oder besser eine Passphrase – mit dem einfach anzuwendenden Diceware-Verfahren erzeugt, denn eine solche ist für Menschen recht leicht zu memorieren – und diese sichert den Zugang zum Passwortmanager ab.
Nachtrag am 29.07.2024
Passkeys
Passkeys sind ein aus der FIDO2-Allianz heraus entwickeltes einfaches Verfahren, passwortlose Logins auf der Basis von öffentlichen und privaten Schlüsseln zu realisieren. Das klingt vielversprechend und das Verfahren wird vor allem von maßgeblichen Betreibern wie Google, Microsoft und Apple forciert unterstützt. Auch diverse Heise-Plattformen rufen seit geraumer Zeit in gefühlt zwei bis drei Onlinartikeln pro Woche das Ende der Passwörter und die unmittelbar anstehende breiteste Durchsetzung der Passkeys aus – ohne übrigens selbst Logins per Passkey auf ihren Foren anzubieten. Da ist wohl doch eher werbeträchtig der Wunsch der Vater des Gedankens.
Wie dem auch sei, für mich kommen Passkeys (noch) nicht ins Spiel, von meinen knapp über dreißig Onlinezugängen könnte ich zur Zeit gerade drei mit Passkeys ausstatten.
2FA – Zwei-Faktor-Authentifizierung
Oder Zwei-Faktor-Authentisierung. Der zweite Faktor zum Login hat in den vergangenen Jahren deutlich an Bedeutung gewonnen. Das Prinzip dahinter ist gut und idR. einfach. Zusätzlich zum Login mit Nutzernamen resp. E-Mailadresse und Passwort gibt es eine zweite Schutzinstanz, die idealerweise auf einem zweiten Gerät abgefragt wird. Meist handelt es sich um eine stets frisch generierte Ziffernfolge, die man in einem weiteren Feld zum Login eingeben muss. Die Ziffernfolge erhält man entweder von einer kleinen App auf dem zweiten Gerät (gut) oder via SMS (schlecht, weil nicht sicher genug).
2FA ist IMO prinzipiell eine feine Sache, die die Zugangssicherheit deutlich erhöht, auch wenn sich dabei der Nutzeraufwand vergrößert.
Ach, bevor es in Vergessenheit gerät:
Solange wir noch Passwörter einsetzen (müssen), ist das Wichtigste daran, dass sie ZUFÄLLIG sind. Und LANG. Das schrob ich weiter oben schon, aber zum besseren Einprägen…
Nachtrag am 08. 08.2024
Nochmal zu Passphrasen
Zur Absicherung des Zugangs zum eigenen Passwortmanager eine Passphrase verwenden, z.B. zusammengesetzt aus sechs oder gar sieben per Diceware-Verfahren zufällig ausgewählten Wörtern – das klingt erst einmal nach »WTF… wer soll sich denn so etwas merken können?«
Meine Erfahrung zeigt (und ich bin wahrlich kein Gedächtniskünstler), dass das etwas Zeit braucht… und plötzlich ist die Phrase im Kopf!
Bis dahin hat man irgendwo griffbereit ein gut behütetes Zettelchen, von dem man sie abliest, solange sie noch nicht »da« ist. Wenn man sie öfter nutzen muss, lernt unser Gehirn ziemlich schnell, sie Wort auf Wort zusammenzusetzen. Bei meiner neuen Phrase für den neuen Passwortmanager hat es eine gute Woche gedauert, wobei ich sie vielleicht insgesamt sieben- oder achtmal einsetzen musste. Wir sind wirklich gut in sowas. Viel besser als in rein zufälligen Zeichenfolgen bei mehr als einem Dutzend Zeichen.
Deswegen gibt es eben diese Empfehlung, für die möglichst langen und rein zufälligen Passwort-Zeichenfolgen der Onlinezugänge den Passwortmanager (und die Passwörter auch von ihm erzeugen zu kassen!) zu verwenden, und für den einzigen Zugang dazu, den wir kennen müssen, eine menschlich memorierbare, rein zufällig aus einer Wortliste zusammengesetzte Passphrase.
Es gibt übrigens neben der originalen Diceware-Wortliste von Arnold G. Reinhold auch ebenso taugliche, teils bessere in diversen Sprachen, u.a. natürlich auch in Deutsch.