Komplexe Passwörter schützen Endgeräte und Konten vor Datendieben. Wie generiert man sichere Zugangs-Codes? Illustration: Anton Atzenhofer.
Der Einsatz von Passwörten ist immer noch die weltweit am häufigsten verwendete Methode, um Daten und Informationen zu schützen. Wesentliche Vorteile sind die einfache Handhabung und vergleichsweise geringe Kosten. Leider bringt diese Methode auch Probleme mit sich, wie erfolgreiche Angriffe auf Unternehmen zeigen, die mit umfangreichen Nutzerdaten operieren. Selbst bei prominenten Firmen wie Adobe, Vodafone, Evernote, Twitter, LinkedIn, Pinterest, Tumblr oder Sky konnten sich Eindringlinge Zugang zu Passwörtern und Nutzerdatenbanken verschaffen.
Die Authentifizierung mit Passwörtern führt im täglichen Einsatz zu einer Reihe von Problemen: Die Benutzer vergessen ihre Passwörter, geben diese weiter oder bewahren notierte Passwörter an unsicheren Stellen auf. Meist werden zu kurze oder zu wenig komplexe Zeichenkombinationen verwendet, was die Passwörter angreifbar macht. Oft wird auch das gleiche Passwort für verschiedene Anwendungen verwendet, was die Ausbeute eines erfolgreichen Datendiebes immens vergrößert. Auch Basis-Passwörter, die immer nur leicht abgeändert werden, sind Einfallstore für den Datenklau. Denn Angreifer wissen um diese „Mutationen“ und machen sich dies bei der Entwicklung von sogenannten Hashcracker-Tools zunutze.
Passwörter im Betrieb
In Unternehmen wird naturgemäß eine Vielzahl von Programmen und Internet-Anwendungen genutzt. Damit steigt das Risiko, dass für einige von ihnen „schwache“ Passwörter verwendet werden. Auch dies machen sich Angreifer zunutze, um an Informationen zu kommen. Besonders begehrt sind bei ihnen gepostete Informationen in Social Media-Netzwerken, gespeicherte Rechnungs- und Lieferadressen oder Kreditkarteninformationen in Online-Shops.
Um an die Passwörter zu gelangen, gehen die Angreifer systematisch vor: Mit sogenannten Brute-Force-Attacken gleichen sie Passwörter vollautomatisch mit einer riesigen Zahl von Zeichenkombinationen oder mit Wörterbüchern ab. Um gegen solche Attacken gewappnet zu sein, müssen Passwörter bestimmte Anforderungen erfüllen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb möglichst komplexe Passwörter: Sie sollten mindestens acht Zeichen lang sein, neben Buchstaben auch Ziffern und Sonderzeichen enthalten und in keinem Wörterbuch stehen. Ungeeignet sind auch Namen von Familienangehörigen, Freunden, Lieblingssportlern, Fernsehstars oder Haustieren.
Für die Erstellung komplexer Passwörter empfiehlt es sich, einen Merksatz als „Eselsbrücke“ zu verwenden. Von den einzelnen Wörtern nimmt man jeweils die Anfangsbuchstaben und schon hat mein eine Folge aus Groß- und Kleinbuchstaben. Anschließend können bestimmte Buchstaben durch Ziffern, Zeichen oder Sonderzeichen ersetzt werden, deren Form sich ähnelt (z.B. „S“ durch „5“ oder „A“ durch „4“). Zudem sollte jedes Passwort in regelmäßigen Zeitabständen geändert werden. Wer neue Soft- und Hardware-Produkte verwendet, sollte die voreingestellten Standard-Passwörter ebenfalls sofort ändern.
Alle Passwörter an einem Ort
Ein bewährtes Instrument für die Erstellung und Verwaltung von Passwörtern sind Passwort-Manager (auch Passwort-Safes genannt). Das sind Programme, die alle Zugangsdaten verschlüsselt an einem Ort abspeichern. Um an diese zu gelangen, ist nur ein einziges Master-Passwort notwendig, das man sich merken muss. Password-Manager sind deshalb die beste Möglichkeit, um nicht den Überblick über die Zugangsdaten für die verschiedenen Geräte (z.B. PC, Smartphone, Tablet) und Konten (z.B. E-Mail-Account, Online-Banking, E-Commerce) zu verlieren. Sie sind damit „analogen“ Methoden wie Merken oder Aufschreiben weit überlegen.
Die meisten Passwort-Manager erlauben zusätzlich eine Unterteilung der gespeicherten Passwörter nach Kategorien (z.B. E-Mail-Konten, Bankkonten, Kreditkarten, Datenbanken, Software-Lizenzen usw.), was ebenfalls zur Übersichtlichkeit beiträgt. Im Manager speichert man den Link eines Online-Zugangs sowie Benutzernamen und Passwort ab, beim Aufruf der Anwendung werden die abgefragten Felder im Browser auf Wunsch automatisch ausgefüllt.
Die Passwort-Manager verfügen in aller Regel über einen Passwort-Generator, der in Sekundenschnelle zufällige und hoch komplexe Passwörter in verschiedener Länge generieren kann. Da es nicht mehr notwendig ist, sich die Passwörter selbst zu merken, können alphanummerische Passwörter generiert und gespeichert werden, die sehr sicher sind. Ihnen können auch Analyse-Tools nichts anhaben, mit denen Angreifer versuchen, Muster in den von Menschen erdachten Passwörtern zu erkennen.
Schutz von Smartphones und Tablets
Entsprechende Apps für Smartphones und Tablets erlauben auch den sicheren und geschützten Zugriff auf die Passwörter von mobilen Geräten. Die Passwort-Datenbank der unterschiedlichen Endgeräte kann über WLAN oder Cloud-Dienste synchronisiert werden. Je nach Einstellung erfolgt in der Regel in bestimmten zeitlichen Abständen eine Datensicherung. Dabei wird eine verschlüsselte Datei erstellt, damit bei einem Verlust des Gerätes nicht alle Passwörter verloren gehen.
Passwort-Manager haben aber auch einen gravierenden Nachteil, denn ihre Sicherheit steht und fällt mit dem Master-Passwort. Wenn dieses nicht sorgfältig ausgewählt wird, können es Angreifer durch Brute-Force- und Wörterbuch-Attacken knacken und sich damit auf einen Schlag Zugriff auf alle Passwörter verschaffen.
Anforderungen an Passwort-Manager
Wenn sich Betriebe für die Nutzung eines Passwort-Managers entscheiden, müssen sie zunächst die Anforderungen klären: Werden Passwörter jeweils nur auf Computern in einer Abteilung benötigt, dann müssen diese nicht in der Cloud und auf Mobilgeräten gespeichert werden, sondern lokal oder verschlüsselt im Netzwerk. Für das Arbeiten an unterschiedlichen Orten und Geräten wird eine Lösung benötigt, bei der die Passwörter entweder in der Cloud abgelegt oder die unterschiedlichen Geräte untereinander synchronisiert werden.
Sind diese grundlegenden Fragen geklärt, müssen die Eigenschaften verschiedener Passwort-Manager verglichen und dabei insbesondere folgende Aspekte beachtet werden: Stärke der Verschlüsselung, Schutz vor Keyloggern (Angriffsinstrumente, mit denen die Eingaben am Computer verfolgt werden können), Benutzerfreundlichkeit, Schnittstellen-Problematik, problemlose Synchronisierung, Support durch den Hersteller, Dokumentationen und Kosten.
Fraunhofer-Projekt
Im Rahmen eines Forschungsprojektes entstand am Fraunhofer-Institut für Sichere Informationstechnologie (SIT) die Software „MobileSitter“. Anders als bei konventionellen Passwort-Managern wird dem Angreifer vorgegaukelt, dass er das Master-Passwort erfolgreich geknackt hat. Er bemerkt nicht, dass der „MobileSitter“ ihm falsche Einzel-Passwörter generiert, die unbrauchbar sind. Nur der berechtigte Nutzer erkennt anhand einer Grafik, ob er das korrekte Master-Passwort eingegeben hat. Die Software, die über die gängigen App-Stores heruntergeladen werden kann, bringt also ein Plus an Sicherheit.
