Beitrag vom 4 Juli 2009 00:10
Jeder von uns hat mittlerweile eine unüberschaubare Vielfalt an Accounts im Internet. Mailkonten, Foren, Social Networks, Online-Spiele, Amazon, eBay und Netbanking sind nur ein paar Vertreter davon. Was sie alle gemeinsam haben ist die Tatsache, dass man zur Anmeldung ein Passwort benötigt. Worauf man dabei achten sollte, was ein sinnvolles Vorgehen darstellt und was man unter keinen Umständen machen sollte, will ich im Folgenden ausführlich erklären.
Wie man auf einschlägigen Webseiten und in guten Büchern zu dem Thema lesen kann, sollten Passwörter mindestens 8-20 Zeichen lang sein. Natürlich sollten das aber keine einfach zu merkenden Wörter sein sondern möglichst wirre Kombinationen aus Buchstaben, Ziffern und Sonderzeichen. Um die Sicherheit zu maximieren, gehören Passwörter am Besten monatlich geändert und jedem Account ein eigenes Passwort verpasst. In der Theorie eine tolle Sache, aber merken kann sich das niemand mehr.
Natürlich kann man sich jetzt für jeden erdenklichen Einsatzzweck ein frisches Passwort generieren und mit einem Passwortmanager auf dem PC speichern. Auf dem Markt existieren einige Programme, die das perfekt beherrschen und auch mit dem Webbrowser integriert sind. Obendrein unterstützen alle gängigen Browser die – mehr oder minder – sichere Speicherung von Passwörtern. Soweit alles eine tolle Sache, die aber einen gewaltigen Nachteil hat. Wenn man mal nicht an seinem Rechner ist und vom Büro, von einem Internetcafé oder vom PC eines Bekannten mal schnell seine Mails abrufen möchte, hat man ein Problem.
Aufgrund der Komplexität der Passwörter war ein Merken leider nicht möglich und die Passwort-Datenbank liegt auf der Festplatte des heimischen Rechners. Ein scheinbarer Ausweg scheint hier zu sein, dass man einfach überall das selbe supersichere Passwort verwendet. Dass so ein Passwort einfach erraten oder per Brute Force Angriff heraus gefunden wird, ist ziemlich unwahrscheinlich. Allerdings hat man ein gewaltiges Problem, falls das Passwort an jemand Unbefugten gelangt. Im schlimmsten Fall droht hier ein Diebstahl der eigenen Online-Identität, was weit reichende Folgen haben kann!
Ein Beispielszenario: Gehen wir davon aus, dass wir mit dem Laptop in einem Kaffeehaus sitzen und dort per WLAN im Internet surfen. Jemand anderer snifft den Netzwerkverkehr mit und spioniert so Mailadresse und Passwort des Opfers aus. POP3-Abrufe ohne verschlüsselte Anmeldung sind nicht so selten, Angreifer haben hier leichtes Spiel. Der Angreifer kann sich jetzt bequem sämtliche Mails ansehen, die auf dem Mailserver liegen. Außerdem kann er probieren, sich mit derselben Kombination aus Mailadresse und Passwort bei Facebook oder studiVZ anzumelden.
Nachdem ja praktischerweise überall das selbe Passwort verwendet wurde, klappt das auch problemlos und schon kann der Angreifer anfangen, diverse Passwörter von Accounts nach Belieben zu ändern. Etwaige Bestätigungsmails kann er über die Mailadresse abrufen. Einmal Posteingang durchstöbern und schon findet man diverse Registrierungsbestätigungen von Webseiten, wo der Bösewicht als nächstes sein Glück probieren kann. Ich persönlich weiß nicht, wie ich in einem solchen Fall vorgehen würde, aber eines ist sicher: Das Zurückbekommen/Sperren aller gekaperten Accounts wird verdammt schwierig und zeitraubend … falls es überhaupt schaffbar ist.
Vor einigen Monaten war im c’t Magazin ein Artikel über Passwörter und wie man sich ein sinnvolles Passwortsystem erschafft, das gleichzeitig sicher und einfach zu merken ist. Der Tipp von der dortigen Redaktion war, überall dasselbe Passwort zu verwenden und einfach den Namen des Dienstes anzuhängen. Das heißt beispielsweise, dass man für GMX »maxi_gmx« und für Google »maxi_google« verwendet. Meiner Meinung nach ist das zwar eine Spur besser als ein Passwort für alle Seiten zu verwenden, aber tendenziell leicht zu erraten.
Ich persönlich empfehle die Benutzung eines »Klassensystems«. Dabei nimmt man – je nach Geschmack – den ersten, zweiten oder letzten Buchstaben des Dienstes zur Klassifizierung her. Dann überlegt man sich, wie viele Klassen man verwenden möchte. Ich nehme jetzt zu Erklärungszwecken den zweiten Buchstaben und drei Klassen. Nehmen wir jetzt die 26 Buchstaben des Alphabets her, geben noch @ als Platzhalter für Ziffern und Sonderzeichen dazu und teilen das Ganze in drei gleich große Teile:
ABCDEFGHI – JKLMNOPQR – STUVWXYZ@
Für jede dieser Klassen überlegen wir uns anschließend ein Passwort. Drei Passwörter sollte sich jeder nach ein paar Tagen gemerkt haben. Um heraus zu finden, welches Passwort zur aktuellen Seite passt, schauen wir kurz den Namen an. Für GMX wäre das die zweite Klasse und das zugehörige Passwort, für Yahoo die Erste und für studiVZ die Dritte. Wenn man sich beim Merken schwer tut, kann man sich im Passwort einen Hinweis auf die Klasse verstecken (Anfangsbuchstabe der Klasse oder Nummer). Die drei Buchstabengruppen kann man obendrein gefahrlos auf einem Blatt Papier notieren.
Auf diese Weise erhält man ein verhältnismäßig einfach zu merkendes und sicheres System. Für den Fall, dass ein Passwort gestohlen wird, hat man trotzdem eine gewisse Streuung der Zugangsdaten, so dass beispielsweise nicht alle Mailkonten gleichzeitig übernommen werden können. Security-Spezialisten schlagen jetzt sicher die Hände über dem Kopf zusammen, dass das alles zu unsicher ist. Aber, Hand aufs Herz, die meisten Leute haben überall das gleiche Passwort im Einsatz und das ist meist noch dazu der Name von Sohn oder Ehefrau. Definitiv unsicher!
Zum Erstellen von Passwörtern verwende ich gerne das Programm »Password Builder«, welches es kostenlos zum Download gibt. Besonders dessen Funktion »Phonemic Password« schätze ich sehr, da man sich solche Passwörter leicht merken kann, obwohl sie keine Begriffe aus dem Wörterbuch sind. Beispiele hierfür sind »awosness«, »colidly« und »tranofer«. Idealerweise kombiniert man diese Wörter noch mit einem Sonderzeichen und schon hat man qualitativ recht passable Passwörter. Anzumerken ist, dass solche Passwörter zwar Brute Force Attacken eher schlechter stand halten, aber Zugangsdaten werden sowieso weit häufiger gestohlen als geknackt.
Ansonsten sollte man Passwörter von Zeit zu Zeit ändern, insbesondere wenn der Verdacht besteht, dass Unbefugte ein Passwort besitzen. Hier hat das Klassensystem auch den Vorteil, dass man nur ein Drittel (im obigen Beispiel) der Passwörter ändern muss und nicht alle auf einmal. Und weiter geben sollte man Zugangsdaten selbstverständlich auch nie – man weiß nicht, was damit geschieht!
Ich hoffe ich konnte meinen Lesern mit diesem Beitrag einen kleinen Denkanstoß geben. Sicherheit im Internet ist im Allgemeinen kein Mirakel, wenn man ein paar Grundregeln beherzigt. Perfekt ist nichts, knacken lässt sich alles irgendwie, aber immerhin ist es jetzt weit schwieriger für Angreifer als mit Passwörtern wie »sabine«, »password« oder »123456«, die noch dazu jahrelang unverändert eingesetzt werden.
Password Builder Webseite:
http://italianapple.wordpress.com/password-builder/
Sehr schöner Artikel! Nicht das übliche “Macht euch sichere Passwörter” und Ende. Danke!
Am Ende siegt leider meist die Faulheit
Sehr toller Artikel.
Ich habe mein Passwort nach einem “Satz” erstellt. Heißt: Wenn ich mich mal an meine Kombination nicht erinnere, dann denke ich einfach wieder an diesen einen Satz und such mir die Anfangsbuchstaben raus.
Dann noch irgendwo ein Dollar und ein paar simple Zahlen einfügen. Voila. Schon hat man ein gutes PW.
Zum Klassensystem: Derzeit habe ich so drei Passwörter größtenteils. Hierbei unterteile ich nach der Wichtigkeit des Dienstes.
E-Mails & Kontakte sind mir z.B. wichtiger als jetzt mein Twitter-Account oder Sonstiges.
Aber “dein” Klassensystem finde ich auch sehr interessant. Mal schauen, vielleicht mache ich wieder mal einen “Password-Change”