Niemand ist so recht zufrieden damit, aber offenbar gibt es keine andere Lösung: Passwörter sind die einzige Möglichkeit, Daten im Internet zu schützen. Wie ich für mich eine einigermassen taugliche Passwort-Strategie ausgetüftelt habe.
Ich gebe es zu: Ich bin etwas paranoid geworden, wenn es um die Sicherheit im Internet geht. Nicht ganz unschuldig sind einige Berichte, die in den letzten Monaten im Web publiziert wurden:
Wenn dein digitales Ich ausgelöscht wird
2012 hat Mat Honan in Wired beschrieben, wie Hacker sein ganzes «digitales Leben» gelöscht haben: Mail- und Twitter-Account gehackt, Kreditkartendaten übernommen und als Krönung auch die lokalen Daten auf seinem Laptop gelöscht. Möglich wurde dies mit einer Kombination von Hacking, Social Engineering und unvorsichtigem Verhalten seitens Mat.
Der zweite Denkanstoss war ein Bericht von Ars Technica. Das Online-Magazin gab drei Hackern eine Liste mit 16’000 Passwörtern (bzw «hashed passcodes») zum knacken. Resultat: 90% der Passwörter waren den drei nach wenigen Stunden bekannt – und nebenbei haben sie noch Interviews mit Ars Technica geführt. Wer mehr wissen will, wie Hacker Passwörter knacken und erraten, für den dürfte auch dieser Artikel bei Medium interessant sein.
Was ist ein sicheres Passwort?
Als schliesslich vor einigen Wochen die Heartbleed / Open SSL-Geschichte Fragen nach der Passwort-Sicherheit aufwarf, fragte ich mich: Was ist überhaupt ein sicheres Passwort? Ich habe mir so einiges im Internet zusammengelesen und meine Passwörter neu gesetzt. Dazu verwende ich einen Passwort-Manager – ein Stück Software, für das ich gerne bezahle: Mir ist recht, wenn die Entwickler davon leben können und ihre Zeit in die Weiterentwicklung bzw. den Unterhalt stecken können.
Man findet Hinweise im Web darauf, wie man zu sicheren Passwörtern kommt. Gut zusammengefasst findet man einiges bei Bruce Schneier:
- Die Länge des Passwortes ist entscheidend. Und zwar sprechen wir hier von 9, 10 oder mehr Zeichen. Alles darunter bringt nichts.
- Alles, was irgendwie einem Muster entspricht, wird geknackt. Dazu gehören auch Beispiele wie „qeadzcwrsfxv1331“. Sicher sind nur Passwörter, die aus einer vollständig zufälligen Abfolgen von Buchstaben, Zahlen und Symbolen bestehen.
- Das Wiederverwenden von Passwörtern geht gar nicht. Jeder Dienst bzw. jedes Account im Web braucht ein eigenes Passwort.
- Wo möglich oder zumindest bei sehr sensiblen Diensten (Mail, File-Sharing) sollte man die Zwei-Faktor-Authentifizierung aktivieren. Damit nutzt man neben dem Passwort ein zweites Sicherheitselement.
Ohne Passwort-Manager geht nichts
Ich verwende rund 150 Webdienste mit einem Login. Ich muss für jeden dieser Dienste ein einzigartiges Passwort verwenden, dass mindestens 10 Stellen lang ist und aus einer zufälligen Abfolge von Zeichen besteht. Man braucht nicht lange zu überlegen, um darauf zu kommen: Ohne digitale Helfer in Form eines Passwort-Managers geht das nicht. Ich nutze seit einiger Zeit 1Password, häufig erwähnte Alternativen dazu sind Lastpass, Keepass (Open Source) oder Password Safe von Bruce Schneier (Open Source).
Das Tool übernimmt zwei Aufgaben: Es generiert mit einem Zufallsgenerator die Passwörter und es speichert sie für mich. Mit einem Browser-Plugin logge ich mich dann in die jeweiligen Dienste ein. Gesichert wird das Tool durch ein sogenanntes Master Passwort – das einzige Passwort, das ich nun wirklich nicht mehr vergessen darf. Um ein solches Passwort zu erstellen, kann man sich an das Schneier-Schema halten:
My advice is to take a sentence and turn it into a password. Something like „This little piggy went to market“ might become „tlpWENT2m“. That nine-character password won’t be in anyone’s dictionary. Of course, don’t use this one, because I’ve written about it. Choose your own sentence — something personal.
Natürlich bleiben Risiken
Das File mit den Passwörtern lässt sich mit anderen Geräten synchronisieren: Entweder lokal via Wifi oder über File-Sharing-Dienste wie Dropbox. Die File-Sharing-Variante ist die bequemste – sie passiert automatisch ohne mein Zutun. Natürlich mit dem Nachteil, dass meine Passwort-Datei bei einem Cloudanbieter irgendwo auf dem Server liegt. Sie ist verschlüsselt und das Master Passwort ist nicht dabei – aber man muss es wissen. Ausserdem handelt man sich mit einem Passwort-Manager eine «Alle Eier im gleichen Korb»-Problematik ein.
Allerdings, und das fand ich eine sehr hilfreiche Analogie: Wie beim Autofahren gibt es für Passwörter keine absolute Sicherheit. Ich kann Risiken minimieren, muss dabei aber ständig den Kompromiss zwischen Sicherheit und Bequemlichkeit mit mir selber ausmachen.
Letzendlich hängt es auch von den verschiedenen Angriffszenarien ab – die meisten Experten unterscheiden zwei Möglichkeiten: Jemand greift gezielt meine Accounts an und will mir persönlich schaden. Oder jemand greift sich die Kundendaten eines grossen Web-Anbieters – wie es Adobe oder einigen anderen schon passiert ist. Und gerade dieses zweite Szenario zeigt die Grenzen des eigenen Einflusses auf: Wenn der Web-Dienstleister fahrlässig mit meinen Daten umgeht, kann ich nichts dagegen machen.
Schreibe einen Kommentar