Aus gegebenem Anlass unterbrechen wir unsere Berichterstattung und möchten darauf hinweisen, sich auch mal selbst zu auditieren. Zum einen hat das Hasso-Plattner-Institut (HPI) bereits Ende des letzten Jahres einmal mehr die Top 10 der meistgenutzten deutschen Passwörter bekannt gegeben und zum anderen beflügelt die aktuelle Veröffentlichung von Privatdaten von Bundestagsabgeordneten und Prominenten über Twitter die Diskussion nach mehr Sicherheit. Aber was kann ich eigentlich konkret unternehmen, um meine Accounts zu „auditieren“ und mich besser abzusichern?
Werfen wir doch zunächst mal einen Blick auf die Top 10 der meistgenutzten deutschen Passwörter in 2018 laut HPI:
- 123456
- 12345
- 123456789
- ficken
- 12345678
- hallo123
- hallo
- 123
- Passwort
- master
Das Ranking offenbart, dass die Deutschen nicht sonderlich kreativ bei der Wahl ihrer Passwörter sind. Wie im Vorjahr 2017 belegt die äußerst schwache Ziffernfolge „123456“ den ersten Platz. Insgesamt finden sich 5-mal schwache Ziffernfolgen in den Top 10 vertreten.
Fühlen Sie sich ertappt?
Dann brauche ich wohl an dieser Stelle nicht weiterschreiben.
Aber warum sind die Passwörter eigentlich so unsicher? Abgesehen davon, dass sie allseits bekannt sind und von Hackern als erstes ausprobiert werden, haben die Passwörter eine ganz einfache mathematische Problematik:
Sie sind zu leicht durch ausprobieren zu knacken.
Das schlichte ausprobieren von Passwörtern nennt sich Brute-Force-Attacke. In diesem Artikel habe ich bereits erklärt, wie SAP Passwörter mit Hilfe eines Programms namens „Hashcat“ geknackt werden können. In dem Artikel erwähnte ich ebenfalls, dass mein Computer in der Lage war 30 – 50 Millionen Passwörter pro Sekunde „auszuprobieren“.
Werfen wir also einen Blick auf die Anzahl von möglichen Passwörtern, die rein aus Zahlen bestehen.
Es gibt 10 Ziffern:
1, 2, 3, 4, 5, 6, 7, 8, 9, 0
Für jede Stelle in einem sechsstelligen Passwort, z.B. „123456“ muss also jede Ziffer einmal ausprobiert werden. Das ergibt in Summe:
10*10*10*10*10*10 = 106 Möglichkeiten = 1 Millionen
Hatte ich erwähnt, dass mein Computer 30 Millionen die Sekunde schafft?
Nehmen wir zusätzlich alle Kleinbuchstaben (ohne ä,ö,ü,ß) dazu, kommen wir auf 36 Möglichkeiten pro Stelle im Passwort. Bei einem ebenfalls sechsstelligen Passwort bedeutet das demnach:
36*36*36*36*36*36 = 366 Möglichkeiten = ca. 2 Milliarden
Dafür würde mein Computer immerhin schon mal ca. 72 Sekunden benötigen.
Ich glaube das Prinzip ist klar geworden.
Mit steigender Komplexität und zunehmender Länge des Passworts steigt auch die Dauer des reinen Ausprobierens von Passwörtern.
Aber welche konkreten Empfehlungen gibt es denn, werden Sie sich jetzt fragen.
Das HPI gibt dazu eindeutige Tipps zur Passwortwahl:
- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren
Die ersten vier Punkte sollten eindeutig sein. Für den fünften Punkt kann ich aus eigener Erfahrung entweder den Norton Passwort Manager oder KeePass empfehlen. Beide speichern Passwörter sicher ab und enthalten zusätzlich einen Generator für Passwörter, sodass Sie sich keinen Kopf mehr darüber zerbrechen müssen, welches Passwort sie wo verwenden.
Wenn sichere Passwörter auch nicht helfen
Bei Punkt 6 der Tipps helfen allerdings auch die sichersten Passwörter nicht immer, denn in dem Fall ist es davon abhängig, wie der Anbieter einer Dienstleistung die Passwörter intern abspeichert. Genau darüber ist in der Regel aber nichts bekannt. Aus dem Grund sollte nach Bekanntwerden eines Sicherheitsvorfalls immer das Passwort für den entsprechenden Dienst geändert werden. Nun liest natürlich nicht jeder tagtäglich über die neuesten Sicherheitsvorfälle, sodass eine regelmäßige Prüfung mit dem Identity Checker des Hasso-Plattner-Instituts durchaus sinnvoll ist. Der Online-Sicherheitscheck prüft, ob z.B. Ihr E-Mail-Konto von Yahoo beim großen Hack aus dem Jahre 2014 (500 Millionen Daten) oder Dropbox Account (68 Millionen Daten) im Jahre 2012 oder oder oder betroffen war.
Punkt 7: Was ist Zwei-Faktor-Authentifizierung?
Nicht jeder Dienst bietet sie an, obwohl sie sehr sinnvoll sein kann: Die Zwei-Faktor-Authentifizierung. Laut Grünen-Politiker Konstantin von Notz und Malte Spitz sollte die Verwendung Standard sein und auch Bundesjustizministerin Katarina Barley hat die Prüfung strengerer Sicherheitsvorgaben für Plattformbetreiber gefordert (Quelle). Dabei handelt es sich um eine zusätzliche Methode zum Passwort für die Authentifizierung. Das ist in aller Regel ein sechsstelliger Zahlencode, den man entweder unter Angabe der Handynummer per SMS, Sprachanruf oder auch durch Dienste, wie den Google Authenticator bekommt. So ist in der Folge ein Login an einem Dienst nur dann möglich, wenn:
- Das Passwort korrekt eingeben und
- der richtige sechsstellige Code eingetragen wurde
Jeder Code kann zudem nur einmal verwendet werden und verliert in aller Regel nach einer bestimmten Zeit (häufig 30 Sekunden) seine Gültigkeit. Dazu muss man leider sagen, dass auch diese Methode nicht frei von Problemen ist, wie unter anderem hier (englischer Text) beschrieben wird.
Abschließend muss man ganz deutlich sagen, dass es im Internet keinen absoluten Schutz gibt, aber regelmäßiges selbst auditieren die halbe Miete ist.
Haben Sie sich schon mal selbst auditiert? Und was haben Sie ggf. zusätzlich unternommen?