Passwörter
Kürzlich erreichte mich in einem Newsletter der Verweis auf diesen IT-SICHERHEIT Artikel. Also echt, “123456” als Passwort? Oder “passwort”? Ein bisschen zweidimensionaler sollte es doch schon sein: “1q2w3e4r” oder “4rfv5tgb” (wie komme ich auf solche Zeichenketten? guck mal deine Tastatur an…). Nein, wirklich gut sind die auch nicht. Auch “klaus123” ist sicher in der Liste, die Angreifer über eine erbeutete Hash-Liste laufen lassen.
Es gibt Stimmen, die sagen, das klassische “Login und Passwort” Schema muss komplett abgeschafft werden. Es gibt doch two-factor, Biometrie usw. Das sehe ich nicht so. Es kommt immer auf den Anwendungsfall an. Ein Web-Forum, wo man sich zu einem Spezialgebiet austauscht, muss diesen Aufwand nicht treiben - und dafür will auch ich als User den Aufwand nicht treiben. Das tolle am Internet ist ja, dass jeder darin nicht nur konsumieren kann, sondern auch Inhalte und Webanwendungen bereitstellen kann. Und zwar auch unabhängig, auf einem eigenen gemieteten Server mit frei ausgewählter Software. Für andere Lösungen als Login und Passwort müsste ich mir eine Lösung einkaufen und würde auch einschränken, wer die Anwendung benutzen kann, weil er ein bestimmtes Gerät oder eine App auf einem Smartphone oder sonst etwas braucht.
Am niederschwelligsten, und sicherheitsmäßig eigentlich ganz gut, sind Clientzertifikate. Davon ist aber nicht so viel die Rede, dabei wäre der Support schon in allen gängigen Browsern enthalten. Eine CA kann man komplett mit Freeware aufsetzen, aber man bindet den User damit an ein oder mehrere Geräte, wo er das Clientzertifikat installiert. Näher an der Person wäre es auf einer Smartcard, aber da wirds schon wieder fummelig.
Also, Passwörter sind die Realität heute und werden es auch erstmal bleiben. Ich finde, verantwortungsvoller Umgang mit Passwörtern schafft schon ein hohes Maß an Sicherheit. Was bedeutet das konkret?
- sichere Passwörter wählen. Am besten eine zufällige Sequenz von Buchstaben, Zahlen und ein oder zwei eingestreuten Sonderzeichen. Es gibt Passwort-Generatoren die einem solche Passwörter vorschlagen. Die unten genannten Passwortsafes enthalten so eine Funktion bereits, auch Firefox schlägt inzwischen bei Passwortfeldern generierte Passwörter vor.
- ganz wichtig: unterschiedliche Passwörter für unterschiedliche Dienste. Vielleicht reicht ein gemeinsames Passwort für unwichtige, harmlose Sachen, wie Webforen, aber dieses bitte für nichts wichtiges.
- Der Mail-Account ist extrem wichtig, bitte da auf jeden Fall ein eigenes nur dort! Viele Dienste haben eine “Passwort vergessen” Hilfsfunktion, die über Mail ein Entsperren erlaubt. Wer den Mailaccount hat, sieht, auf welchen Diensten ich unterwegs bin, und kann dann dort das Passwort resetten lassen. Was die Frage aufwirft: traue ich meinem Mailprovider? Wenn nicht, sollte ich ihn wechseln. Wenn er two-factor anbietet, dort sollte ich mir als erstes die Mühe machen, es zu aktivieren.
- viele kryptische Passwörter, wie soll ich mir die alle merken? Auf keinen Fall in einer Textdatei auf dem Computer! Ein Zettel in der Geldbörse ist durchaus okay. Es gibt eine Vielzahl von Passwort-Managern, die über ein Master-Passwort entsperrt werden und dann die Passwörter mehr oder weniger übersichtlich verwalten. Z.B. mit einem Doppelklick kann das Passwort in die Zwischenablage kopiert und dann mit Paste ins jeweilige Passwortfeld eingefügt werden, ich muss es also nicht abtippen, ich sehe es nicht einmal und wenn mir jemand über die Schulter schaut, der auch nicht. Mein persönlicher Favorit ist seit Jahrzehnten pwsafe. Die Linux-Version war anfangs noch richtig buggy, aber seit einigen Jahren ist sie zuverlässig. Die Passwort-Datenbank wird verschlüsselt nur lokal abgespeichert. Man sollte sie hin und wieder auf einen USB-Stick kopieren, denn diese zu verlieren wäre echt schmerzhaft. Ich mag das so, andere werden ein Produkt bevorzugen, das die verschlüsselte Datenbank auch “in der Cloud” speichert, so dass man von mehreren Geräten auf den gleichen Stand zugreifen kann. (Wer speichert? Was tue ich, wenn der pleite geht, oder den Dienst einstellt?)
- wenn ich einen Passwortmanager habe, der über die Zwischenablage arbeitet: habe ich womöglich ein Hilfsprogramm installiert, einen Clipboard Manager, das sich die Inhalte der Zwischenablage merkt und in einer Liste anzeigen oder wieder abrufen kann? Womöglich sogar in der Registry oder auf Festplatte abspeichert? Der Passwortsafe sorgt normalerweise dafür, dass die Zwischenablage nach einer kurzen Zeit wieder geleert wird, hat aber auf solche Dienste keinen Einfluss. Kann ich in dem Utility den Passwortsafe vom Tracking ausnehmen? Sonst sollte ich das Ding deinstallieren oder wechseln. Oder im Passwortsafe die Zwischenablage nicht nutzen, sondern das Passwort anzeigen und abtippen - aber das macht echt keinen Spaß.
- nur unwichtige Logins im Browser speichern. Ich würde dem eingebauten Passwortmanager eines Browsers weniger vertrauen als einem separaten Tool. Browser haben selber oft genug Sicherheitslücken, über die diese Daten zugänglich werden könnten.
- Der Schutzbedarf des gleichen Dienstes kann individuell verschieden sein. Ich bin auf Github nur unterwegs, um Bugs oder Feature Requests zu melden und zu kommentieren. Daher ist der Schutzbedarf für meinen Account dort gering. Würde ich dort ein bekanntes Projekt verantworten, wäre das etwas anderes, denn ein Angreifer könnte mit meiner Kennung darin Schadcode einschleusen und womöglich gleich in ein Release packen, das von vielen Leuten dann vertrauensvoll heruntergeladen und installiert wird.
- Wo gebe ich mein Passwort ein? Ich muss dem Gerät vertrauen, das ich dafür nutze. Beim eigenen Computer bedeutet das, habe ich ein Virenschutzprogramm installiert? Wichtiger noch, installiere ich zeitnah die Sicherheitsupdates für das Betriebssystem, den Browser und ggf. weitere Software? Verhält sich mein Browser merkwürdig, seit ich aus Versehen auf so ein Werbebanner oder einen Link in einer Mail geklickt habe? Wenn ich unterwegs bin und meinen eigenen Computer nicht dabei habe (bei mir selten der Fall), wirkt der Computer im Internetcafe, bei einem Freund vertrauenswürdig, und ist es jetzt so eilig, die Mails zu checken oder Onlinebanking zu machen, oder reicht das später in einer geschützteren Umgebung immer noch?
Wie lange ist ein Passwort sicher? Sollte ich es regelmäßig ändern? Da hat das BSI wohl in letzter Zeit seinen Standpunkt geändert. Grundsätzlich ist ein Passwort sicher, und braucht folglich nicht geändert werden, solange es nicht kompromittiert ist. Nur, woher weiß ich das? Für öffentliche Dienste, die ein Privatanwender wohl hauptsächlich nutzen wird, gibt https://haveibeenpwned.com/ Aufschluss über bekannte Sicherheitsvorfälle, und welche Emails und seit einiger Zeit auch Telefonnummern davon betroffen waren. Die Liste anzuschauen ist scary und lehrreich zugleich, und zeigt vor allem auch die Bedeutung des “für jeden Dienst ein anderes” Prinzips. Selbst wenn ein Dienst nach einem massiven Sicherheitsvorfall alle Accounts für ungültig erklärt und eine Prozedur zur Reaktivierung aufsetzt, ändert das nichts daran, dass Angreifer auch versuchen werden, ob diese Accounts nicht noch bei anderen gängigen Diensten funktionieren, besonders, wenn man damit Geld machen kann, also ebay oder amazon, wo man Waren dann an abweichende Adressen schicken kann oder Bestellungen bei einem selbst gemachten Händleraccount vornimmt, und die Zahlungen vereinnahmt ohne dass je Ware bewegt wird.
Daneben kann es mir auch selber passieren, dass ich ein Passwort kompromittiere, indem ich es versehentlich ins falsche Fenster oder ins falsche Eingabefeld eingebe. Grundsätzlich muss ich es dann als kompromittiert ansehen und sollte es ändern. Was auch mir im Unternehmensumfeld hin und wieder passiert, ist, dass ich ein Passwort aus Versehen ins Loginfeld eingebe. Gerade wenn in dem Unternehmen viele Dienste oder Vorgänge ein Login erfordern, und bei manchen nur das Passwort, bei anderen Login und Passwort eingegeben werden muss, da kann man schon mal durcheinanderkommen. Nun muss man wissen, dass aus Sicherheitsgründen Passworteingaben auch bei Authentisierungsfehlern nie geloggt werden (sollten), weil sie sich oft nur geringfügig von gültigen Passwörtern unterscheiden. Andererseits werden Logins eigentlich immer geloggt, weil man so verdächtige Muster eines möglichen Angriffs erkennt, oder die Fehlersuche erleichtert (bei Betriebssystemen in der Regel in einem besonders gesicherten “Security Log”, aber innerhalb einer Webanwendung - kommt drauf an). Und typischerweise folgt ja bald nach dem Vertipper das Login mit der richtigen Kennung, so dass im Log Passwort und User dicht nacheinandersteht. Oder worst case, wenn ich zwischen username und passwort den Tab nicht richtig gedrückt habe, und beides im Loginfeld gelandet ist, schon ganz praktisch direkt beieinander.
Das waren jetzt mal ein paar Gedanken von mir zum Thema.
Diese Seite empfehlen: per Mail
RSS abonnieren (preview)
RSS abonnieren (full text)
Tag-Wolke:
1-wire Aktien Albedo Analyse Android Basteln Bausünde Billiglösung Blogging Campaigning Cloud CodeIgniter Community Datenschutz ESP Energie Energieberatung Energiesparen Energiewende Erneuerbare Finanzen Firefox Fokus Förderung GUI Geldanlage Greenpeace IT-Security Jekyll Kommentare Kryptowährung Lärmschutz Maker Microcontroller Mplayer Multimedia Octopress OneCoin PV Passwörter Politik Privacy Redesign Rezept Sanierung Security Solarthermie Spenden Straßenbau Strommarkt Stromnetze Strukturvertrieb Sysadmin Thunderbird Tofu Ubuntu Vermittler Vernunft VirtualBox Wassersparen Weltretten Whatsapp Wärmebildkamera Wärmewende Ziele campact nebenan.de vegan Ärgernis