Der Schlüssel zur sicheren Passwort-Strategie

Lesezeit: 6 Minuten -  Veröffentlicht am4. Januar 2014

Für dieses Jahr fasste ich einen öffentlich kommunizierbaren Vorsatz: ich will mich beim Verkehr im Internet besser schützen. Ich schreibe diesen Blogpost für mich, da ich eine hundsmiserable Passwort-Strategie habe. Ehrlich.

In meinem Real-Life habe ich vier Schlüssel dabei: Haustüre, Geschäft, Fahrrad, Fahrrad-Station. Im Internet habe ich gemäss meinem Passwort-Tool 700+ Logins und trotzdem nur etwa drei unterschiedliche Schlüssel. Sollte mir mal einer geklaut werden, hat man damit automatisch Zugriff zu fast all meinen Internet-Accounts. Das ist nicht nur sehr dumm von mir, sondern auch verantwortungslos. Warum habe ich das nicht besser im Griff? Hier meine 3 Passwörter, sinngemäss umgewurstelt:

  1. 1664bier (nutze ich seit ich schreiben kann, überall)
  2. silver83fish (hätte mal das Erste ersetzen sollen)
  3. Bertelsmann1664 (neustes PW, nach Hacks neu angewendet)

Sieht eure aktuelle Passwort-Strategie auch so sch****e aus? Wer mich kennt, der weiss, dass ich gerne Neues im Internet ausprobiere: alles was irgendwie Hände-, Füsse oder zumindest ein paar Ohren hat, wird sofort getestet. Da ich dies seit Jahren regelmässig tue, verlor ich längst den Überblick, wo und wann ich dies getan habe und mit jedem neuen Account wächst meine Angst, dass mir irgendwann mal die ganze Geschichte aus den Händen gleitet.  

Wenn’s Passwort nicht passt
Unglücklicherweise gibt es aber auch Dienste, die hartnäckig Mindestanforderungen an ein Passwort stellen und meiner lockeren Haltung einen Strich durch die Rechnung machen:

«Sorry, but your password must contain an uppercase letter, a number, a haiku, a gang sign, a hieroglyph, and the blood of a virgin.» @extragrumpycat​

Spätestens jetzt, wo man seine 1-Passwort-Strategie nicht mehr anwenden kann, hat man ein Problem. Schnell will man die mühselige Registration hinter sich bringen und verändert das Standard-Passwort so, dass die nervige Website es schluckt. Und hat es auch schon wieder vergessen.

Als kürzlich Adobes Server gehackt wurden und Daten von 150 Millionen Accounts (und Source-Code) in falsche Hände gerieten, war ich als Designer endlich mal so richtig betroffen und entschloss mich, im neuen Jahr eine hackersichere Passwort-Strategie aufzubauen. Und spätestens jetzt, wo zum Jahresbeginn Snapchat und Skype-Accounts geleakt wurden, seid auch ihr alle betroffen. Jahaaa. Ich will euch nun aufzeigen, wie eine hochsichere und gleichzeitig einfache Passwort-Strategie aussieht. Da ich Designer und kein Sicherheitsexperte bin, hab ich mir Gabriel Yoran, Gründer und Geschäftsführer von Steganos (Anbieter von Sicherheitssoftware) aus Berlin zur Hilfe geholt und werde aus seinen Antworten zitieren. Seid ihr bereit? Los geht’s mit etwas Mathe:

Entropie und Bits - WTF?
Um sichere Passwörter zu erstellen, müssen wir zuerst wissen, was denn mit «sicher» gemeint ist. Fachleute wie Gabriel sprechen hier von Entropie: «Je höher sie ist, desto mehr Varianten sind möglich. So hat ein Wort aus dem deutschen Standardwortschatz, der rund 75.000 Wörter umfasst, eine Entropie von 17 Bit: Anders gesagt braucht man maximal 75.000 Versuche, um es zu erraten – die 17 Bit sind nur eine knappere Darstellung ansonsten sehr grosser Zahlen.»

Okay. Wir sprechen also von Bit wenn’s um die Knackbarkeit (richtig lesen!) von Passwörtern geht. Ab wieviel Bit ist aber denn ein Passwort sicher? Wie lange dauert es, ein 17 Bit Passwort zu knacken? «Wollte man ein Passwort mit einer Entropie von 17 Bit durch Ausprobieren knacken und hätte ein Programm, dass 1.000 verschiedene Passwörter in der Sekunde durchprobiert, dann wäre man in gut zwei Minuten durch. Bei einer Entropie von 19 Bit bräuchte man schon fast 9 Minuten. Bei 20 Bit schon über 17 Stunden.» Nun, die National Security Agency NSA bräuchte wohl dafür immer nur noch die Hälfte der Zeit.

Einfacher ist sicherer als kompliziert
Gemäss dem Comic-Strip von xkcd.com trainierte man uns 20 Jahre lang, Passwörter zu nutzen, die für uns Menschen nur schwer merkbar, aber für Computer einfach hackbar sind. In ein paar einfachen Bildchen klärt man auf, dass ein langes Passwort aus leicht merkbaren Wörtern correct horse battery staple um ein Vielfaches sicherer ist, als ein kurzes wie Tr0ub4dor&3. Stimmt das wirklich? Ich fragte Gabriel, was er zu dem Comic-Strip meint:

«Das Ergebnis ist ein scheinbar zufälliges Wort, aber eben nur scheinbar. Da sein Passwort aber auf einem existierenden englischen Wort basiert, beträgt seine Entropie nur ca. 28 Bit. Kein Wunder, dass das viel längere Passwort mit dem Pferd mit einer Entropie von ca. 44 Bit viel besser abschneidet. Würde man aber wirklich zufällig aus dem Fundus von Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen wählen, käme man bei einem ebenfalls 11-stelligen Passwort auf eine Entropie von deutlich höheren 68 Bit.» Kapiert? Man hat also den viel zitierten Comic etwas populistisch illustriert.

Faulheit und Passwort-Recycling
Weiter hat mich die Frage beschäftigt, wie heikel es denn wohl ist, wenn ich überall im Internet das gleiche Passwort verwende. Mein Passwort-Tool listet mir auf, dass ich 576 (!) Accounts mit dem gleichen Passwort nutze. Halleluja. Und ob man seine Passwörter denn in einem Tool in der Cloud speichern soll oder ob das der Holzweg ist. Dazu meint Gabriel:

«Gehen Sie im Geiste alle Dienste durch, bei denen Sie sich anmelden. Denken Sie an Dropbox, Facebook, Google Mail, Ihre Versicherungen, Amazon, iCloud, ggf. ein eigenes Blog, Reiseanbieter, PayPal, Clickandbuy, vielleicht Datingbörsen, Ihre Microsoft ID, Spotify, Skype, Xing – die Liste liesse sich beliebig fortsetzen. Im Falle von PayPal liessen sich jetzt mit Ihren credentials in Onlineshops Dinge bestellen, die PayPal als Zahlungsmittel akzeptieren. Es ist also wichtig, das gleiche Passwort nicht mehrmals zu verwenden. Auch wenn man einen Dienst als unbedeutend in Bezug auf die erhältlichen Daten einstuft, können wir nicht empfehlen, Passwörter mehrfach zu verwenden.»

Ganz schön fies also. Ich dachte mir natürlich, dass ich ja einschätzen kann, ob ich jetzt wirklich nur ein Login für einen simplen Online-Shop oder ein heikleres Tool wie iCloud einsetze. Wie aber zum Kuckuck soll man sich 500 Passwörter merken?

Virtueller Schlüsselbund
Ich selbst nutze einen Passwort-Manager auf den Macs, iPad und iPhone. Ein solches Programm speichert alle Passwörter verschlüsselt ab und man muss sich nur noch ein Passwort merken: das Masterpasswort. Also sowas wie der Endboss. Ich selber nutze 1Password, Steganos bietet hier z.B. das Tool Privacy Suite (Affiliate-Link) dafür an. Ein solches Tool integriert sich auch in den Browser und füllt automatisch das richtige Passwort ein, wenn es verlangt wird. Diese Tools bieten auch die Möglichkeit, sichere Passwörter zu generieren und gleichzeitig ihre Stärke (Entropie) anzuzeigen. Da man seine wichtigsten Daten diesen Tools anvertraut, ist bei der Auswahl Vorsicht geboten. Gabriel Yoran meint dazu: «Seriöse Anbieter speichern Ihre Passwörter verschlüsselt auf Ihrem Computer und übertragen nur auf ausdrücklichen Nutzerwunsch diese Daten in einen Cloudspeicher – und dann natürlich auch nur verschlüsselt, so dass sie für den Cloud-Anbieter nicht einsehbar sind.»

Fazit und Strategie
Wir haben also gelernt, liebe Kinder, dass sichere Passwörter nicht unbedingt kompliziert sein müssen und dass man ohne Passwort-Manager nicht mehr auskommt. Wer die folgenden Schritte beachtet, sollte um einiges sicherer im Internet unterwegs sein und für neue Hacker-Meldungen im 2014 nur ein müdes Lächeln übrig haben:

  1. Kaufe und installiere dir ein Passwort-Manager: z.B. 1Password (30% SALE) oder die Steganos Privacy Suite (Affiliate-Link) und die dazugehörigen Plugins / Apps. Lasse besser die Finger von den Auto-Save-Möglichkeiten der Browser (Chrome z.B. speichert diese katastrophal unsicher).
  2. Denke dir ein langes, einfach merkbares und unlogisches Master-Passwort («beide wellensittiche kochen acht autos») für deinen PW-Manager aus. Verrate dies einer Vertrauensperson (z.B. deiner Frau/Mann/Mutter/Vater) für den Fall, solltest du ableben.
  3. Nutze die Speicherung der PW-Manager-Daten in der Cloud nur, wenn’s nicht anders geht. Mache häufig ein mehrfaches Backup deiner PW-Manager-Datei.
  4. Benutze nie mehrmals das gleiche Passwort (auch nicht bei auf den ersten Blick harmlosen Diensten). Nutze stattdessen den Passwort-Generator deines Tools und überlasse dem Tool das Merken.
  5. Ändere die Passwörter bei wichtigen Diensten wie E-Mail-Provider, Paypal, iCloud oder Dropbox spätestens alle 3 Monate. Mach dir am besten gleich einen sich wiederholenden Termin in den Kalender dafür (oder gleich diesen iCal-Termin laden).
  6. Melde dich nie auf einem öffentlichen Computer (Internet-Cafe, Apple-Store) mit einem Passwort bei einem deiner Accounts an.
  7. Aktiviere wo immer möglich die 2-Weg-Authentifikation (zB. bei Google und Evernote).
  8. Wichtigster Schritt: aufräumen. Nimm dir an einem kalten, langweiligen und grauen Wintersonntag Zeit und ändere bei allen Accounts die dir einfallen dein Standard-Passwort in ein generiertes Passwort um.
  9. Sobald du in Zukunft merkst, dass du irgendwo noch ein altes Passwort nutzt, notiere dir die Website auf einer Liste (z.B. in Evernote). Wenn die Liste fünf Einträge hat, änderst du auch diese Standard-Passwörter in generierte um.

So solltest du spätestens im Sommer 2014 mit einer komplett sanierten und hackersicheren Passwort-Strategie bei strahlendem Sonnenschein durchs Internet surfen können.

Erfolgsmeldungen wie «@dblo_om Done! Meine Passwörter sind jetzt bulletproof» via Twitter würden mich freuen!

Alle Antworten und Weiteres zur Passwort-Technik findest du in Gabriel Yorans Blogpost Was ist ein sicheres Passwort? Danke für deine Hilfe, Gabriel.

Veröffentlicht von: David Blum in Read
Schlagwörter: , , ,

David Blum
Die Kommentarfunktion ist ausgeschaltet.