Passwörter - eine Frage der Disziplin

Apr 07, 2020

Neben vielen Erinnerungen und Allgemeinwissen schwirren auch mehrere Passwörter in unserem Gedächtnis umher. Sie gehören mittlerweile zu uns wie unsere Kleidung, unser Handy oder unser Haustürschlüssel. Sei es das E-Mail-Passwort (z.B. "Passwort1234") oder das Passwort für Amazon (z.B."fdbuo98!4d"), eigentlich alle Online-Services setzen auf Passwörter und sind somit Teil unseres Lebens. Aber warum nutzt fast jeder sie, obwohl man immer wieder liest, wie unsicher sie doch seien?

Wie unsicher sind Passwörter wirklich?

Es mag überraschen, aber Passwörter sind mit das Sicherste, was man zur Sicherung von Daten oder Zugängen verwenden kann - theoretisch. Aber warum?

In der IT-Sicherheit teilt man Authentifizierungsmethoden in drei Kategorien ein:

1) Geheimes Wissen bedeutet, dass der richtige Nutzer als Einziger ein Geheimnis kennt.
2) Besitz bedeutet, dass der richtige Nutzer als Einziger einen physischen Gegendstand (zum Beispiel den Haustürschlüssel) besitzt.
3) Biometrie bedeutet, dass der richtige Nutzer ein biometrisches Merkmal von ihm einsetzt (z.B. ein Fingerabdruck).

Um eine Authentifizierung zu knacken, muss der Angreifer also an das verwendete Merkmal gelangen oder dieses kopieren.

Am offensichtlichsten ist dies bei der Besitz-Kategorie. Der Angreifer muss entweder den Besitz klauen oder kurzfristig in den Besitz kommen um eine genaue Kopie des Merkmals anzulegen. Bei jährlich über 100 000 Taschendiebstählen allein in Deutschland, kann man sich vorstellen, dass es mit der entsprechenden Energie ein relativ Leichtes ist, das Besitzmerkmal zu entwenden. Man denkt zwar immer, dass passiert mir doch nicht. Aber in Wirklichkeit ist es eher so, dass sich einfach noch keiner für einen interessiert hat und man bei den "Zufallsdieben", die es dann auch eher auf die Wertsachen in den Taschen abgesehen haben, einfach Glück hatte.

Während das Entwenden meistens relativ schnell auffällt, fällt eine kurze Abwesenheit eher seltener auf. In dieser Zeit kann jedoch z.B. eine Schadsoftware auf das Handy gespielt oder ein Schlüsselabdruck erstellt werden. Das kann innerhalb von Sekunden passieren.

Wie immer gilt, sobald ein solcher Vorfall bekannt ist, muss der Besitz ausgetauscht werden - also z.B. ein neues Türschloss, wenn der Schlüssel weg ist. Bei den Kopien, ist das natürlich schwieriger, da man vielleicht gar nicht den Zusammenhang erkennt, denn der kurzfristige Verlust des Besitzes ist möglicherweise gar nicht aufgefallen.

Aber Biometrie, die ist doch sicher. Ja, aber auch nicht unüberwindbar. In Zeiten in denen die Kameras immer hochauflösender werden, kann man bereits mit einem Foto aus mittlerer Distanz, den Fingerabdruck kopieren. Noch einfacher ist es, wenn man benutzte Gläser verwendet. Auch hier ist natürlich eine gewisse Energie gefragt, aber sich dagegen zu schützen ist sehr schwer. Gesichtserkennung kann man ebenfalls mit Fotos oder Abgüssen austricksen, es wird aber von mal zu mal schwieriger.

Gleiches gilt für Iris-Scans, aber mit der nötigten Energie und Material sind die meisten Biometrischen Merkmale kopierbar und das so, dass der richtige Nutzer noch nicht mal zwingend etwas davon mitbekommt.

Ein großes Problem bei der Biometrie ist jedoch, dass man sie nicht ändern kann. Ist ein mal eine Kopie des eigenen Fingerabdrucks im Umlauf, so ist das Biometrische Merkmal "verbrannt", denn den eigenen Fingerabdruck zu ändern ist schwerlich möglich.

Also soll das Wissen, das Allheilmittel sein? Ja, also zumindest in der Theorie. Wissen zu kopieren oder zu klauen ist schwierig. Am einfachsten ist es, wenn man die Eingabe bzw. die Übergabe aufzeichnet. Also sei es ein Programm, das die Eingaben auf der Tastatur mitschreibt oder eine Kamera in einem günstigen Winkel (zum Beispiel im Supermarkt, wenn man an die Pin der Kreditkarte kommen möchte). Und ansonsten? Naja, man kann mehr oder weniger lieb danach fragen. Und hier liegt das Problem bei wissensbasierten Authentifizierungsmethoden. Das Wissen muss im Kopf bleiben und da der Mensch nicht wirklich darauf trainiert ist, unzusammenhängendes Wissen zu speichern, verwendet er häufig logische Folgen.

Können sie sich noch an die beiden Passwortbeispiele am Anfang des Artikels erinnern? Selbst wenn sie jetzt nochmal hochscrollen würden, so würden sie sich das eine deutlich besser merken können als das andere, denn Ersteres hat einen klaren Bezug und ist logisch aufgebaut. Das es natürlich auch das Unsichere der beiden ist, obwohl es sogar länger ist, sollte auch auf der Hand liegen. Nicht nur der richtige Nutzer merkt sich die logische Folge besser, natürlich kann auch jeder Angreifer solche logischen Schlussfolgerungen machen kann. Und selbst wenn sie jetzt ihre Hausnummer, ihre Straße, den Namen ihrer Mutter, ihres Onkels oder ihres Haustieres im Passwort verwenden, glauben sie mir, das ist alles online einsehbar oder vielleicht steckt hinter dem Satz: "Sie haben aber einen schönen Hund, wie heißt er denn?" gar nicht der Small-Talk eines anderen Hundebesitzeres, sondern ein Angriff auf ihr Firmennetz.

Machen Sie es den Angreifern mit ihrem Passwörtern nicht (zu) leicht!

Es gibt zwei verschiedene Angriffszenarien: Sie werden bewusst ausgesucht oder sie sind einfach ein Zufallsopfer, weil sie es den Angreifern zu leicht gemacht haben. Wenn man von einem Angriff von außen ausgeht, dann handelt es sich sehr wahrscheinlich um ein Zufallsopfer. Es gibt genügend Pseudo-Hacker, die sich einen Spaß draus machen nach Accounts mit einfachen Passwörtern zu suchen und diese zu hacken.

"Ok, dann verwenden ich eben zufällige Zeichenkombinationen."
Gute Idee, aber das Problem ist doch, dass auch Sie sich diese behalten müssen.
"Ok, dann verwende ich halt überall die gleiche Kombination, eine kann ich mir ja wohl merken"
Sparsam, aber wollen sie auch für alle Türen nur einen Zentralschlüssel haben? Gerade wenn diese unterschiedlich gut gesichert sind und man vom Schloss der Tür jeden passenden Schlüssel (also auch ihrer für alles) ableiten kann?
"Ok, dann nehme ich mir überall ein anderes und schreibe sie mir auf"
Und kleben diese an ihren Bildschirm... Die Reinigungskraft, der Installateur und der Besucher werden sich freuen...

Das richtige Maß an Sicherheit in ihrer Firma

Der Mensch ist drauf aus, dass er sich selbst das Leben so einfach wie möglich macht und er ist ein wahrer Meister darin Regeln zu umgehen. Sie müssen die Einschränkungen für die richtigen/validen Nutzer so gering wie möglich halten, damit diese Sicherheitsmaßnahmen akzeptieren und sich daran halten. Das bedeutet insbesondere, dass sie bitte nicht verlangen, dass Passwörter in einem bestimmen Zyklus geändert werden müssen, denn dann wird aus "Passwort2019" lediglich "Passwort2020". Damit bringen sie ein Pattern rein, das zwar jedem Mitarbeiter das Merken immer neuer Daten erleichtert , aber zugleich es es deutlich unsicherer macht, denn die Angreifer können auch auf das Pattern kommen. Alternativ fangen ihre Mitarbeiter an, sich die Passwörter aufzuschreiben und damit wird aus dem Wissen Besitz, welcher einfacher zu entwenden bzw. zu kopieren ist.

Wenn sie kritische Informationen haben, sollten Sie sich daher mit Zwei-Faktoren-Authentifizierung - aber bitte nicht, wie es jetzt die meisten Banken machen: auf dem selben Gerät - oder Biometrischer Sicherheit auseinander setzen. In beiden Fällen gilt es jedoch, diese auch richtig zu implementieren und auch wirklich sichere Systeme verwenden, ansonsten gauckeln sie die Sicherheit nur vor und das ist meist noch gefährlicher. Oder wo achten sie mehr auf ihr Handy - bei der Party mit ihren Freunden oder in einer vollen U-Bahn? Ich gehe sorgloser unter Freunden damit um, weil ich mich dort sicherer fühle.

Achten Sie aber darauf, dass alle Maßnahmen in einem nutzungsfreundlichen Rahmen bleiben, denn ansonsten werden ihre Mitarbeiter die Sicherheitsmaßnahmen unterwandern. Wenn sie z.B. bei jeder Aktion ein Passwort verlangen, wird es kürzer und kürzer, oder wenn sie verlangen, dass ihr USB-Token vorhanden sein muss, wird er auch während der Pause - wenn nicht sogar auch nach der Arbeit - noch im Rechner stecken.

7 Tipps für mehr und akzeptierte Sicherheit

1) Verwenden Sie Passwörter, die aus mehreren zufälligen Wörtern zusammengesetzt sind: Z.B. ApfelmusHausLilaKatzeBanane und die bei jedem Service unterschiedlich sind. Alternativ denken Sie sich für jeden Service einen Satz aus und verwenden davon z.B. die Anfangsbuchstaben als Passwort.

2) Ändern Sie Ihre Passwörter wenn es nötig ist (z.B. wenn ein Angriff auf diesen Service bekannt wird) und nicht in bestimmten Zyklen.

3) Achten Sie darauf, dass Sie ihre Passwörter nicht aufschreiben z.B. in einem Notizblock festhalten oder an den Bildschirm kleben.

4) Verwenden Sie die Zwei-Faktoren-Authentifizierung an besonders wichtigen Stellen. Nutzen Sie als Faktoren zwei möglichst komfortable Varianten. Achten Sie dabei besonders auf die Implementierung, denn viele Anwendungen sind dabei fehleranfällig.

5) Achten Sie darauf, dass Sie bei der Passworteingabe unbeobachtet sind.

6) Teilen Sie ihr Passwort nicht mit anderen (eigentlich selbstverständlich, aber in vielen Firmen werden die selben Accounts von mehreren Mitarbeitern verwendet, die sich entsprechend auch die Passwörter teilen müssen).

7) Verwenden Sie einen Passwortmanager, so müssen Sie sich nur noch ein Passwort (dann bitte ein besonders sicheres gemäß Tipp 1) merken und können ansonsten wirklich sichere Passwörter wie z.B. "dgso23908fekjbxvp!E=DFHklj2E)f" in allen anderen Services nutzen.


VIPFY bietet in seiner Business-Suite einen integrierten Passwortmanager an. Mit der Besonderheit, dass die einzelnen Mitarbeiter die Service-Passwörter gar nicht mehr zu sehen bekommen, sondern die Accounts sowie Passwörter zentral vom Administrator verwaltet werden können. Accounts können außerdem mehreren Nutzern zugeordnet werden, sodass auch im Fall von gemeinsam genutzten Accounts die Zugangsdaten nicht herausgegeben werden müssen. Durch die zusätzliche Aktivierung einer Zwei-Faktoren-Authentifizierung für den VIPFY-Account können damit quasi alle Services mit dieser Technik abgesichert werden.

Teste die VIPFY Business Suite kostenlos.

VIPFY wird durch das CISPA Helmholtz-Zentrum für Informationssicherheit und das Bundesministerium für Bildung und Forschung unterstützt.


Weitere Infors finden Sie auch unter:

BSI für Bürger - Passwörter
Sichere Passwörter sind sehr wichtig, wenn man sich im Internet bewegt. Wir geben Tipps für gute Passwörter.

Nils Vossebein

CMO VIPFY