Das Passwort ist wahrscheinlich das prominenteste Werkzeug für Onlinesicherheit. Es soll unsere vielzähligen Onlinekonten vor unbefugtem Zugriff und Missbrauch schützen. Die Menge und Komplexität der Passwörter, die wir uns merken müssen, überfordern jedoch unsere Gedächtnisleistung – Password Overload. Der Bruch mit alten Regeln der Passwortsicherheit ist unumgänglich und längst gängige Praxis. Muss ich wirklich alle Konten gleich gut schützen? Was gilt heute eigentlich noch als sicheres Passwort?
Das Dogma der Passwortsicherheit
Passwörter als Instrumente der Onlinesicherheit werden wir so schnell nicht los. Wir sollten uns also um eine friedliche Partnerschaft mit ihnen bemühen. Friedlich heißt in diesem Kontext sicher. Und die Sicherheit eines Passworts steht und fällt mit dessen Geheimhaltung und Nicht-Erratbarkeit. Wenn hier von erraten die Rede ist, geht es nicht primär um die Erratbarkeit durch Menschen, sondern vielmehr durch Maschinen – sogenannte Password Cracker. Hochleistungsrechner können bis zu zwei Milliarden Passwörter pro Sekunde ausprobieren. Ein Passwort muss dieser Wucht Stand halten können. Daher wurden einige – bis heute unumstößliche – Regeln quasi als Dogmen der Passwortsicherheit etabliert: Ein Passwort sollte möglichst lang und komplex sein. Es sollte nicht im Wörterbuch stehen, keinen persönlichen Bezug haben, kein einfaches Muster darstellen, nicht wiederverwendet, notiert oder geteilt werden. Zudem sollte es regelmäßig gewechselt werden. Sollte. Eigentlich.
Übertreibung oder Vernunft?
Jede dieser Regeln trägt zweifelsfrei zur Sicherheit bei. Sie aber konsequent auf circa 100 Benutzerkonten anzuwenden, die jeder von uns durchschnittlich besitzt, ist wie einen Sack voll Flöhe hüten. Es ist also nicht verwunderlich, dass wir hin und wieder die eine oder andere Regel missachten. Dieses Verhalten sollte man nicht pauschal verurteilen. Unter gewissen Umständen ist es einfach nur zielführender Pragmatismus. Diese gewissen Umstände müssen den Menschen jedoch durch neue, entdogmatisierte Leitlinien für den Umgang mit Passwörtern nahegebracht werden, denn aktuell ist der Faktor Bequemlichkeit der einzige Treiber für den Regelbruch.
Ein Rezept für aufgeklärte Passwortsicherheit
Mit den folgenden fünf Grundzutaten könnt ihr das Gericht Passwörter ummantelt mit bedrohungsorientierter Sicherheit nach eurem Geschmack und unter Berücksichtigung eurer Abneigungen und Allergien anpassen. Es gibt jedoch auch Gift, das vermieden werden sollte. Hinweis: Dieses Rezept ist nur für den privaten Gebrauch gedacht! Bei Benutzerkonten im dienstlichen Umfeld sind selbstverständlich gültige Vorgaben zu beachten.
Zutat 1: Bullshit ist Bullshit – Fokus auf besonders schützenswerte Konten legen
Für jedes Onlinekonto pauschal ein eigenes und starkes Passwort zu fordern, ist realitätsfern. Man darf bei der ganzen Sache den Sinn für die Bedrohung nicht verlieren: Unbefugte erlangen Zugriff auf unsere Onlinekonten. Die Größe der Bedrohung hängt also vom Missbrauchspotential eines Kontos ab. Habe ich meinen Klarnamen, Kontaktdaten oder Zahlungsdaten hinterlegt? Kann man Aktionen ausführen, die unmittelbar finanzielle oder rufschädigende Auswirkungen haben könnten? Sind Daten abgelegt, die auf keinen Fall gelöscht werden dürfen oder andere Personen nicht sehen sollten? Je mehr dieser Fragen mit ja beantwortet werden, umso schützenswerter ein Konto. Euer E-Mail-Konto ist übrigens die Mutter aller schützenswerten Konten – euer Kronjuwel, das einen Zweifach-Schutz verdient. Ihr werdet sicher einige Benutzerkonten besitzen, die eher nicht so schützenswert sind (ich nenne sie gerne Bullshit-Konten). Was ist verwerflich daran, bei diesen Konten einen etwas schlampigeren Umgang mit Passwörtern zu pflegen? Aus meiner Sicht, nichts. Mann sollte aber berücksichtigen, dass bei Mehrfachverwendung von Passwörtern alle Konten mit dem gleichen Passwort quasi in den gleichen Safe gelegt wurden. Hat ein Angreifer den Schlüssel, hat er Zugang zu allen Konten. Überlegt also, ob die Kombination aus den Inhalten vielleicht doch nicht etwas schützenswerter ist, als wenn man sie einzeln betrachtet.
Zutat 2: Diene, Maschine! Passwortmanager verwenden
Es hilft nichts. Am Ende sind es immernoch zu viele Passwörter, die man sich merken müsste. Aber warum sollten wir uns überhaupt noch Passwörter merken? Maschinen sind uns hierbei haushoch überlegen und sollten daher diesen niederen Teil der Arbeit übernehmen. Passwortmanager sind Softwaretools, die eure Passwörter sicher abspeichern und bei Bedarf zur Verfügung stellen. Der Zugang zu eurer Passwortdatenbank ist durch – oh, Wunder – ein Passwort abgesichert. Aber immerhin muss man sich ja nur noch dieses eine Passwort merken. Daher kann es auch ein besonders starkes sein. Man kann es sich ja aufschreiben und sicher verwahren. Ich persönlich nutze seit vielen Jahren das kostenlose KeePass. Praktisch: Es enthält auch einen Passwort-Generator. Im Prinzip müsst ihr eure Passwörter noch nicht einmal selbst kennen. Achtung: Da grundsätzlich das Risiko besteht, die Passwortdatenbank zu verlieren (Rechner kaputt, geklaut oder verloren, Daten gelöscht, usw.), sollte man einen Ausdruck der Passwörter machen und dieses verwahren (z.B. im Safe oder im Bankschließfach).
Zutat 3: Starke, aber merkbare Passwörter erstellen
Es wird doch den einen oder anderen schützenswerten Onlinedienst geben, für die man starke, aber merkbare Passwörter haben will. Zum Beispiel Konten, auf die man häufig von verschiedenen oder fremden Geräten zugreift. Man hat seine Passwortdatenbank eben nicht immer und überall dabei. Es gibt zwei Strategien für das Erstellen von starken, aber dennoch merkbaren Passwörtern:
Strategie 1: Initialzeichen-Passphrasen
Man nehme einen Satz, den man sich gut merken kann. Dies kann eine Aussage mit persönlichem, aber möglichst nur dir bekanntem Bezug sein oder eine Zeile aus einem Lied, Buch, Film oder Gedicht. Beispielsweise folgender Satz: “Jeden Morgen um 9 Uhr denke ich an Passwörter!”. Jetzt fügt man einfach die Anfangsbuchstaben mit korrekter Groß- und Kleinschreibung zum Passwort zusammen: JMu9UdiaP! Das Passwort lässt sich jederzeit aus dem leicht merkbaren Satz rekonstruieren. Allerweltssätze (z.B. “Alle meine Entchen schwimmen auf dem See!”, AmEsadS!) und Sätze mit Bezug zum betroffenen Dienst (“Dies ist mein Passwort für Facebook!”, DimPfF!) sollte man vermeiden.
Strategie 2: Mehrwort-Passphrasen
Eines der klassischen Regeln der Passwortsicherheit lautet: Verwende keine Wörter aus dem Wörterbuch! Denn gute Passwortcracker gehen alle möglichen Wörterbücher durch. Wenn man aber hinreichend viele Wörter kombiniert, ist man wieder auf der sichereren Seite. Beispiel: “limette tacker regal wolke”. Auch hier gilt: Ganze Wörter lassen sich leichter merken. Mehrwort-Passphrasen kann man sich sogar bildlich abspeichern (Eine Limette, die an ein Regal auf den Wolken getackert wurde?!). Vier Wörter sollten es mindestens sein. Klar, fünf oder sechs sind besser. Wichtig: Auch dieses System lebt davon, dass man sich bemüht, die Wörter möglichst zufällig zu kombinieren und aus einem großen Wortschatz zu schöpfen. “stadt land fluss” ist beispielsweise keine gute Wahl, da diese Kombination sehr geläufig ist. Da die meisten Onlinedienste immernoch zwingend Zahlen und Sonderzeichen fordern, müssten diese eben noch ergänzt werden.
Zutat 4: Passwörter wechseln bei Verdacht
Klassischerweise wird empfohlen, Passwörter regelmäßig zu wechseln. Wenn wir aber jedes Passwort beispielsweise alle drei Monate wechseln müssten, wären wir nur noch damit beschäftigt. Klar, es erhöht die Sicherheit. Aber man lässt es lieber gleich sein, wenn man das Passwort nur minimal ändert. Stattdessen empfiehlt sich, Passwörter nicht primär zeitgetaktet, sondern nach bestimmten Ereignissen zu ändern. Zum Beispiel, wenn es konkrete Hinweise oder einen Verdacht darauf gibt, dass ein Konto oder ein Onlinedienst gehackt wurde. Wie man prüfen kann, ob einer der eigenen Accounts von einem Datenhack betroffen ist, habe ich in einem anderen Artikel beschrieben. Auch sollte man Passwörter ändern, wenn bei einem Konto ungewohnte, ungewollte oder unerklärliche Dinge passieren.
Zutat 5: Zwei-Faktor-Authentifizierung (2FA) verwenden
Das System Passwort ist kompliziert und trotz vieler sinnvoller Empfehlungen kaum handhabbar. Daher sollte man sich bei den besonders wichtigen Konten nicht allein auf Passwörter als einzigen Sicherheitsfaktor verlassen. Für die Kronjuwelen unter den Benutzerkonten empfehle ich einen Zwei-Faktor-Schutz, wie man es vom Onlinebanking kennt (TAN bei Transaktionen). Dieser zweite Faktor nimm ein wenig Druck vom Kessel, ein ultrastarkes Passwort wählen zu müssen. Eine Übersicht von Diensten, die 2FA bereits anbieten findet ihr hier. Über den Einsatz von 2FA bei E-Mail-Konten habe ich mich bereits ausgelassen.
Zutat 6: Facebook- oder Google-Login verwenden (Achtung: Privatsphäreschädigend)
Bei vielen Onlinediensten und Apps kann man sich mit dem Google- oder Facebook-Konto einloggen. Der offensichtliche Vorteil: Es ist kein neues Passwort notwendig. Nachteile: (1) Je mehr Konten mit Facebook oder Google verknüpft sind, umso größer die Verantwortung, diese Konten besonders gut zu schützen (man erinnere sich an die Safe-Analogie). (2) Größere Abhänigkeit zu Google, bzw. Facebook auf, da man seine Onlinekonten später nicht einfach von diesen Diensten entkoppeln kann. Ich empfehle diese Option daher nur für Bullshit-Dienste. (3) Privatsphäre: Wir geben den datenbasiert Geld verdienenden Konzernen nochmal mehr über unser Nutzungsverhalten preis.
Diese Zutaten sind Gift für die Passwortsicherheit
Es gibt sicher noch weitere Strategien, um das Gericht sichere Passwörter aufzupeppen. Folgende Zutaten sind jedoch Gift für dieses Gericht und sollten gemieden werden.
Gift 1: Pseudo-Komplexität durch Leet Spe@k
Das Ersetzen von Buchstaben durch ähnlich aussehende Ziffern sowie Sonderzeichen bezeichnet man als Leatspeak. Die Komplexität von Passwörtern durch Leatspeak erhöhen zu wollen, ist gut gemeint, aber nicht effektiv. Password Cracker gehen selbstverständlich übliche Variationen durch. P@sswort! ist also kaum schwerer zu knacken als Passwort.
Gift 2: Minimal-Variation bei Passwortänderung
Wenn man Passwörter gemäß Zutat 4 mal ändert, sollte das neue Passwort nicht einfach nur minimal angepasst werden. Passwort2018! zu Passwort 2019! abzuändern ist sehr durchschaubar.
Gift 3: Online-Passwortgeneratoren verwenden
Es gibt diverse Webseiten, auf denen man sich komplexe Passwörter generieren lassen kann (Online-Passwortgeneratoren). Diese sollten nicht verwendet werden, um Passwörter zu generieren, die man tatsächlich verwenden will. So vertrauenswürdig die Betreiber solcher Webseiten scheinen, entsteht eine unnötige Angriffsfläche. Lieber Zutat 2 folgen und einen Passwortmanager verwenden.
Gift 4: Passwortmanager des Webbrowsers nutzen
Alle gängigen Webbrowser enthalten einen Passwortmanager, der Zugangsdaten für Webseiten speichert, verwaltet und automatisch ausfüllt. Grundsätzlich gilt auch hier: Der Webbrowser stellt eine unnötige Angriffsfläche dar. Daher nur bei Bullshit-Diensten benutzen oder bei Diensten mit aktivierter 2FA. Das Betriebssystem und den Webbrowser immer auf dem aktuellen Stand zu halten, wird umso wichtiger. Auf fremden Rechnern solltet ihr die Zugangsdaten definitiv nicht im Browser speichern. Zugegeben: Das ist eher nur ein Bitterstoff und kein wirkliches Gift. Also gut dosieren!
Anwender nicht allein verantwortlich für Passwortsicherheit
Das System Passwort stammt aus einer Zeit, in der wenige Menschen Zugang zu wenigen IT-Systemen hatten und sich dementsprechend nur wenige Passwörter merken mussten. Heute ist es eher ein Auslaufmodell, das nicht so richtig auslaufen will. Sie werden uns trotz diverser Alternativen noch einige Zeit begleiten. Es ist aber kaum möglich, durchgängig den hohen Anforderungen an sichere Passwörter gerecht zu werden. Stattdessen sollten wir risikobewusst agieren und den Fokus auf die wirklich kritischen Benutzerkonten legen. Entscheidend ist, die Risiken abzuwägen und informierte Entscheidungen zu treffen, die nicht ausschließlich aus dem Aspekt der Bequemlichkeit resultieren. Besonders schützenswerte Konten sollten – sofern vom Anbieter unterstützt – durch eine Zwei-Faktor-Authentifizierung geschützt werden. Ein Passwortmanager nimmt uns die Last ab, ständig neue Passwörter ausdenken und merken zu müssen. Einen Passwortwechsel sollte man dann vorsehen, wenn es Hinweise oder Verdacht auf einen Hack gibt. Der Anwender ist jedoch nicht allein für die Sicherheit seiner Konten zuständig. Die größte Verantwortung liegt beim Anbieter. Was bringen mir die sichersten Passwörter, wenn die Benutzerdatenbank eines Dienstes gehackt wird und die Zugangsdaten der Nutzer veröffentlicht werden?
Fun Fact: Der 1. Februar ist der “Ändere-Dein-Passwort-Tag”
