paranoid.is

Digitale Selbstverteidigung im Zeitalter von Google, Meta & Amazon

Die sichere Passwort Strategie

Methoden für den richtigen Umgang mit Benutzername und Passwort

Die Schwierigkeiten

Durch die unzähligen Dienste und Produkte die von uns ein Passwort verlangen ist es schwierig den Überblick zu wahren. Die einfachste Methode, überall das gleiche Passwort zu benutzen, scheitert an den verschiedenen Passwortvorgaben. Die meisten starten mit einem simplen Passwort wie das eigene Haustier Wuschel und landen dann bei Passwörtern wie Wu$chel1234. So entsteht die Kombination eines schwachen Grundpassworts, mit der Schwierigkeit sich die verschiedenen Variationen zu merken.

Beliebte Passwörter
Ein paar der beliebtesten Passwörter der Deutschen.

Was macht ein gutes Passwort aus?

Ein Benutzerkonto wird verschieden angegriffen:

  • Brute-Force-Methode – Das Ausprobieren von verschiedenen Passwortkombinationen
  • Wörterbuchangriff (engl. dictionary attack) – Das Ausprobieren von Passwörtern aus einer Liste. Bestehend zum Beispiel aus den beliebtesten Passwörtern, Namen, Geburtstage, Substitutionen (etwa $ statt S) und Wörter aus einem Standard Wörterbuch.
  • Social Engineering – Der Angreifer manipuliert den Passwortinhaber, um an dessen Daten zu gelangen. Ein Angreifer kann sich als Techniker ausgeben, viele kennen den Anruf eines falschen Microsoft Mitarbeiters, auch Phishing und das gezielte Spear-Phishing gehört zum Social Engineering.
  • Datenleck – wenn bei mehreren Diensten das gleiche Login benutzt wird, besteht die Gefahr, dass wenn ein Login in die falschen Hände gelangt, auch die anderen Accounts frei zugänglich sind. Der Angreifer testet oft die neu erlangten Zugangsdaten von einer kleinen unsicheren Webseite bei Anbietern mit vielen Benutzern wie Google, Amazon und Microsoft.

Wahl des Passwortes

  • Mehr als 11 Zeichen
  • Mischung aus Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole
  • Keine bekannten Wörter, Namen, Daten, etc.
  • Keine bekannten Ersetzungen wie $ anstatt S oder 0 anstatt O
  • Keine Tastaturmuster wie qwertz oder asdf1234
  • Nichts Persönliches wie Haustier, Geburtsdatum oder Hobby
  • Keine Wiederholung des Passwortes

Einschätzung der Passwortstärke auf grc.com

Diese Regeln sind nicht in Stein gemeißelt. Ein Passwort aus 12 üblichen englischen kleingeschriebenen Wörtern zum Beispiel ist aufgrund der Länge und der möglichen Wörter Kombinationen sehr sicher, ohne sich an alle Punkte zu halten.

Die Lösung: Der Passwortmanager

Die sichersten Passwörter sind die, die man nicht kennt. Möglich macht dies ein Passwortmanager. Das einzige Passwort, dass man sich merken muss, ist der Zugang in den Passwortmanager. Einmal drin verfügen der Nutzer über den Zugriff auf alle Passwörter und können diese nach Belieben kopieren und einfügen oder je nach Software auch automatisch einfüllen lassen. Die Passwörter können durch den im Passwortmanager meist integrierten Passwortgenerator erstellt werden. Wenn dieser zum Beispiel auf 26 Symbole gestellt wird, kommt etwas raus wie $/-u+U,S@b$W8#^$9ZTRFXsW!@.

Schutz vor unbefugtem Zugriff

Jeder Passwortmanager sollte eine Zwei-Faktor-Authentifikation haben und diese sollte unbedingt eingeschaltet sein. Passwortmanager sollten sich nach einer kurzen Zeit selbst abmelden und zum wieder anmelden das volle Passwort verlangen. Weiter hilft die Präfix Strategie den Passwortmanager sicherer zu machen.

Schutz vor Datenverlust

Da Nutzer eines Passwortmanagers die meisten Passwörter nicht mehr auswendig wissen, ist ein Backup nötig. Es empfiehlt sich einerseits ein integriertes verschlüsseltes Backup des Passwortmanagers zu nutzen und dazu regelmäßig ein Export und Import in einen zweiten Passwortmanager zu vollziehen. So besteht eine Unabhängigkeit dem Passwortmanager gegenüber.

Welchen Passwortmanager?

Hier werden stellvertretend für die vielen Passwortmanager die es gibt drei der beliebtesten Arten vorgestellt.

LastPass – Closed Source und extern gehostet
LastPass Passwortmanager

Der bekannteste Passwortmanager ist wohl LastPass. Technisch sehr ausgetüftelt, mit regelmäßigen Audits und Tests von dritten Quellen. Die größten Negativpunkte sind der Closed Source Code und die große Angriffsfläche durch die vielen Features wie Cloud-Sync, Passwort teilen, Fingerabdruckzugang und Browser-Extension mit Autofill. Hinter LastPass steckt die Firma LogMeIn. In einem Businessumfeld können die zusätzlichen Funktionen einen Mehrwert erbringen. LastPass ist aufgrund des proprietären Quellcodes und einem schwierigen Export der Passwörter jedoch zu meiden. Ähnliche Passwortmanager: Dashlane, 1Password, Roboform, Keeper

Bitwarden – Open Source und extern oder selbst gehostet
Bitwarden Passwortmanager

Bitwarden ist ein Open Source Passwortmanager mit Sync in die Cloud oder auf den eigenen Server. Der kostenlose Standard Account bringt alles mit, was zur komfortablen Passwortorganisation benötigt wird. Bitwarden ist allen zu empfehlen, die auf einen Cloud-Sync und/oder eine Browsererweiterung nicht verzichten wollen.

KeePass – Open Source und Lokal
KeePass Passwortmanager

Mit den wenigsten Features und deshalb am leichtesten gegen Angriffe zu verteidigen ist KeePass. Open Source, ohne integrierten Cloud Service, offline. Da es sich bei einer KeePass Datenbank um eine einzelne Datei handelt, ist ein Backup und eine Synchronisation über etwa einen Cloud-Speicher kein Problem. Es gibt viele Plugins, Forks und auch Browserer-Addons die KeePass erweitern. Am besten wird auf diese verzichtet, da sie meist von dritten programmiert wurden und die Angriffsfläche unnötig vergrößern. KeePass ist für alle, die mit wenig Funktionen auskommen und für alle für die Sicherheit und Privatsphäre an erster Stelle stehen. Auch ganz praktisch als Backup – KeePass hat eine Importfunktion für die meisten Passwortmanager inklusive LastPass und Bitwarden. Es gibt verschiedene KeePass Forks oder mit KeePass Dateien kompatible Passwortmanager wie KeePassXC, KeePassDX und KeeWeb

Webbrowser
Firefox, Safari und Chromium Internet Browser

Die meisten Internetbrowser bieten ein Speichern und automatisches Ausfüllen von Nutzername und Kennwörtern an. Wer kurz danach sucht, findet zahlreiche News Artikel über Sicherheitslücken dieser Browser internen Passwortmanager. Während sie unumstritten praktisch sind, sind sie leider auch unsicher und sollten deshalb vermieden werden.

Spezialfälle

Auswendig gelernte Passwörter

Es gibt ein paar wenige Passwörter, die man sich trotz Passwortmanager immer noch merken muss. So zum Beispiel das Login des Computers, auf dem der Passwortmanager installiert ist. Möglicherweise hat jemand auf der Arbeit keinen Zugriff auf den Passwortmanager. Falls der Passwortmanager auf dem Smartphone ist, können die Passwörter im schlimmsten Fall abgeschrieben werden. Das ist aber sehr mühsam, wenn das Passwort $kJu7tF44Ad!4$1Jp0+jYYvbm?0 ist. Übrigens auch nicht sehr praktisch als WiFi Passwort, das dann dem Besuch vorgelesen wird. In diesem Fall wird ein Passwort gewählt, dass einfach zu merken ist, lange ist und nicht in einem Lexikon vorkommt - 1SchornsteinSalatBein! oder 4$KabeljauWesternKonzert. Sätze sind auch möglich - PeterMacht9ZimmerSauber!, 17WaleSingenSchräg? (Wobei der Umlaut nicht bei allen Passwortvorgaben erlaubt ist). Wer einen Schritt weitergehen möchte, kann zusätzlich die unten erwähnte Präfix Strategie benutzen, um auf einfache Weise ein paar Symbole und Zahlen mit einzumischen.

Geheimfragen

Geheimfragen werden von manchen Anbietern genutzt, um Benutzer zu identifizieren, die ihr Passwort vergessen haben. Meistens sind es drei persönliche Fragen, die jeder Kindheitsfreund für einen beantworten könnte. Geheimfragen abzusichern ist einfach – Man lügt, was das Zeug hält.

  1. Was ist Ihre Lieblingsfarbe? – 33Hamster8Umlauf!Taxe?
  2. In welcher Stadt sind sie geboren? – Eine winzige Sahnetorte ohne Essiggurken
  3. Was war Ihr Spitzname als Kind? – Das allwissende Zweihorn aus dem Zauberwald!

Die Fragen plus Antworten werden nicht etwa auswendig gelernt und wieder verwendet, sondern im Passwortmanager abgespeichert. Es ist besser etwas Aussprechbares zu wählen, falls man tatsächlich eine Person am Apparat hat bei der Passwort Rücksetzung. Berechtigterweise fragt sich jetzt der eine oder andere weshalb er den Weg das vergessene Passwort zurückzusetzen, mit dem eigentlichen Passwort abspeichern soll. Dies kann gemacht werden, da die Sicherheitsfragen gar nicht benötigt werden, das Passwort ist sicher und mit Backup im Passwortmanager. Die Geheimfragen werden einem jedoch aufgezwungen (etwa bei einem Microsoft Account) und falls die Antworten dazu doch mal gebraucht werden sind sie im Haupt Passwortmanager leicht aufzufinden. Wer auf Nummer sicher gehen möchte, kann seine Fragen und Antworten an einem anderen verschlüsselten Ort lagern als das Passwort. Zum Beispiel in einer eigenen KeePass Datei.

Zwei-Faktor-Authentifikation

Viele Anbieter bieten mittlerweile eine Identifizierung durch zwei Stufen an (engl. Two Factor Authentication, kurz 2FA). Die zweite Authentifikation erfolgt meist durch ein Gerät, ein SMS Code oder eine App. Im Idealfall handelt es sich um ein TOTP (Time-based One-time Password) Code den man mit einer beliebigen Open Source 2FA App einrichten kann. Der entsprechende Anbieter des TOTP bietet einem in der Regel einen QR-Code an. Am besten wird ein Screenshot von dem QR-Code gemacht und den oft verwendeten Recovery Keys und diese dann sicher in einem Passwortmanager oder verschlüsseltem Archiv abzuspeichern, die vom normalen Passwortmanager getrennt sind. Zum Beispiel eine KeePass Datei, die alleine für 2FA Codes und Geheimfragen erstellt wurde. Wenn alles sicher verstaut ist, kann der QR-Code mit der 2FA App gescannt werden. Nun wird beim nächsten Login der sich nach kurzer Zeit ändernde Code abgefragt und das Login besteht nun aus zwei Faktoren. Etwas das die Person weiß, das Passwort und etwas was sie hat, das Smartphone. Ein dritter Faktor wäre etwas was die Person ist – Fingerabdruck und Gesichtserkennung gehören dazu. Diese Art der Identifizierung sollte nicht als einziger Faktor benutzt werden, da sie oft ausgetrickst werden kann und die Benutzerin oder der Benutzer einfach gezwungen werden kann etwa das Smartphone per Fingerabdruck zu öffnen. Für Android gibt es im F-Droid Store verschiedene Open Source Apps wie Aegis für 2FA. Einige der Dienste die Zwei-Faktor-Authentifikation unterstützen.

Erhöhte Sicherheit

Catch-All Strategie

Eine Catch-All ist im E-Mail-Jargon eine Adresse, die alle E-Mails abfängt, die an eine nicht existierende Adresse einer Domain gehen. Also bei der Domain rhesusaeffchen.de wird einmal eingerichtet info@rhesusaeffchen.de und einmal eine Catch-All all@rhesusaeffchen.de (wird verschieden dargestellt). Wenn nun jemand an die info Adresse schreibt, landet die Nachricht auch dort, alles andere @rhesusaeffchen.de aber landet in der Catch-All Adresse. Damit kann bei jedem Login eine eigene Adresse gewählt werden. Zum Beispiel also landet paypal@rhesusaeffchen.de im genau gleichen Postfach wie horstswurstwaren@rhesusaeffchen.de. Der Durchschaubarkeit halber empfiehlt sich nicht servicename@rhesusaeffchen.de zu wählen, sondern etwas Zufälliges wie uh7hnas54@rhesusaeffchen.de und diesen Benutzernamen dann im Passwortmanager unter dem Account abzuspeichern. Wer keine eigene Domain hat, kann je nach Anbieter etwas Ähnliches umsetzen. Bei Gmail zum Beispiel kann ein Plus nach der eigentliche Adresse eingesetzt werden. Also aus kronkorken@gmail.com wird kronkorken+paypal@gmail.com oder kronkorken+einhorn@gmail.com und alles landet in der gleichen Inbox. Der Vorteil dieser einmaligen Adresse pro Service ist, dass ein Angreifer, der eine E-Mail-Adresse hat, diese nicht bei einem anderen Login ausprobieren kann. Weiter hat es den Nebeneffekt, dass die Nutzerin oder der Nutzer weiß wer seine Daten verkauft hat oder ein Datenleck hat, sobald Spam auf einer Adresse auftaucht. Infizierte Adressen können gesperrt werden, was weniger Spam in der Inbox bedeutet.

Präfix Strategie

Es wird eine Zeichenfolge definiert, die jedem Passwort vorangestellt wird und nie im Passwortmanager abspeichert wird, das Präfix. Das Passwort das bei der Registrierung eines Services eingeben wird ist der Präfix + generiertes Passwort. Als Beispiel, der konstante Präfix ist 13$tH. Bei einer Registrierung bei zwei Online-Accounts werden die Passwörter l0$Gb5Acy81PfRvHaYb7 und P5fVa$vy$q91JbyZ5%OlkNbG generiert. Die generierten Passwörter werden im Passwortmanager zusammen mit den einmaligen Benutzernamen gemäss der Catch-All Strategie abgespeichert. Die entsprechenden Passwörter werden bei der Registrierungsmaske eingefügt und zusätzlich das Präfix vorangestellt. Somit ergibt sich 13$tHl0$Gb5Acy81PfRvHaYb7 und 13$tHP5fVa$vy$q91JbyZ5%OlkNbG. Beim Einloggen wird die unbekannte Zeichenfolge vom Passwortmanager kopiert oder automatisch eingefügt und das dem Nutzer bekannte Präfix wird ebenfalls eingefügt. Somit schützt sich der Benutzer durch einen weiteren Faktor (etwas das er weiß) falls jemand Zugriff auf den Passwortmanager erlangen sollte. Ein erfolgreicher Angreifer hat unvollständige Passwörter und muss zuerst wissen, dass diese unübliche Strategie benutzt wird und dann mindestens zwei komplette Passwörter erhalten und diese vergleichen.

Zusammenfassung

Passwörter sind ein Übel und werden nicht ewig weiter bestehen. Wie eine technisch durchdachte und offene Alternative aussehen könnte, zeigt etwa SQRL von Steve Gibson. Bevor es eine massentaugliche Lösung gibt, muss jedoch ein Kompromiss aus Benutzerfreundlichkeit und Sicherheit her. Um Onlinekonten besser zu schützen, gilt es lange, komplexe und einmalige Passwörter zu wählen, wenn möglich die Zwei-Faktor-Authentifikation einzuschalten und als Bonus kann die oben erwähnte Catch-all Strategie umgesetzt werden. Ein Passwortmanager bildet ein plus an Benutzerfreundlichkeit und auch an Sicherheit, aber bietet einen Single Point of Failure – wenn jemand drin ist, hat er eine fein säuberliche Liste mit allen Accounts und Passwörtern. Um den Passwortmanager selbst zu schützen, benötigt es ein sehr starkes Passwort und Zwei-Faktor-Authentifikation. Weiter sollten von den Sicherheitseinstellungen im Passwortmanager Gebrauch gemacht werden, wie die automatische Abmeldung des Managers nach einer gewissen Zeit. Als Bonus kann die oben erwähnte Präfix Strategie eingesetzt werden.