Passwort, P4ssw0rt, k1Gv3rJ8 - oder ist alles Käse?
Wie ein gutes Passwort gebildet wird, weiß wohl jeder: Mindestens 8 Zeichen, Groß- und Kleinbuchstaben und Zahlen gemischt, gerne auch ein Sonderzeichen, ... Regeln gibt es viele, wie man so ein "zufälliges" aber doch gut merkbares Passwort bilden kann hatte ich mal in einem Standpunkt Sicherheit beschrieben, übliche Regeln zum Umgang mit Passwörtern in einem anderen kommentiert. Das war 2008 bzw. 2009. Und jetzt?
Sehr Witzig! Oder traurig?
Jetzt gibt es auf xkcd einen Cartoon, den Johannes Ullrich im Handler's Diary des ISC unter dem sehr passenden Titel "Theoretical and Practical Password Entropy" kommentiert hat. Der "Untertitel" des Cartoons sagt eigentlich alles über das "Passwortdilemma", in dem wir stecken:
"Through 20 years of effort, we've successfully trained everyone to use passwords that are hard for humans to remember, but esay for computers to guess"
Johannes Ullrichs Text sollten Sie sich jetzt vielleicht durchlesen, bevor Sie hier weiterlesen. Wenn Sie dazu keine Lust haben, hier eine vereinfachte Kurzfassung: "Eine Passphrase aus mehreren Wörtern ist theoretisch ein guter Ansatz, aber praktisch genau so (un)sicher wie ein herkömmliches Passwort, wenn der Angreifer erst mal weiß, dass Sie eine verwenden."
Ähnlich dürfte es bei (Pseudo-)"leeten" Passwörtern aussehen. Wenn der Angreifer vermutet, dass das Opfer normale Wörter mit Zahlen "abgesichert" hat, muss er nur ein passendes Wörterbuch verwenden. Und das enthält dann nicht nur Passwort und Password, sondern auch z.B. P4sswort und Pa55word. Das bläht zwar das Wörterbuch auf, aber für den Anfang kann man es ja mit den üblichen Verdächtigen versuchen, und dann stört das auch nicht weiter.
Tausche Schokoriegel gegen Passwort
Johannes Ullrichs Vorschlag "In order to solve this, we need to
figure out what passwords people really use. How about asking them for
their password and offering them a candy bar in return 
." wurde
bereits erfolgreich
getestet
(und ich vermute mal, sein Smilie spielt auf diesen oder einen ähnlichen
Versuch an).
Wozu sichere Passwörter?
Da stellt sich doch erst mal die Frage, wozu man überhaupt sichere Passwörter braucht, wenn die Benutzer die sowieso gegen Schokoriegel oder ähnliches eintauschen und ansonsten liebend gerne dem angeblichen Support-Mitarbeiter am Telefon verraten oder auf einer Phishing-Seite eingeben. Da hilft eigentlich nur noch eine Biometrische Lösung, z.B. ein Fingerabdruck. Wobei ich bei manchen Zeitgenossen nicht mal sicher wäre, ob die ihren Finger nicht auch gegen einen Schokoriegel eintauschen würden. Oder gegen einen Kasten Bier, weil das Abhacken ja doch etwas weh tut.
Ach so: Je nachdem, was durch das Passwort geschützt werden soll, ist jeder noch so große Aufwand u.U. völlig zwecklos, z.B. wenn bei einer Webanwendung ein eingeschleuster Password Stealer als "Man in the Browser" die Kommunikation zwischen Client und Server belauscht und die abgefangenen Daten in Echtzeit an den Angreifer schickt.
Alternativen? Wohl eher alte Naive!
Verzeihen Sie mir das ebenso alte wie dämliche Wortspiel, aber wie sieht es denn mit Alternativen aus? Eine Zwei-Faktor-Authentifizierung wäre sicher. Theoretisch. Praktisch ist das so eine Sache. Erst mal kostet die Geld, und zwar dass des Benutzers. Egal wie man es dreht oder wendet - entweder er zahlt direkt etwas, oder die Kosten werden umgelegt und er zahlt indirekt. Will er das? Wieso sollte er das wollen, wenn doch aus seiner Sicht ein Passwort viel praktischer ist als der zusätzliche zweite Faktor?
Kostenlos ist die Zwei-Faktor-Authentifizierung nicht zu bekommen, dafür ist sie aber in vielen Fällen umsonst. Welche Möglichkeiten gibt es denn? Erst mal fällt einem wohl die typische Lösung mit den Token zur Erzeugung von Einmal-Passwörtern ein. Die hat RSA je gerade grandios verbockt, und ob andere Anbieter wirklich besser sind, wäre erst noch zu beweisen. Und ob jemand nach dem RSA-Debakel Lust hat, im großen Maßstab in so ein System zu investieren, wage ich auch zu bezweifeln.
Dann gibt es noch den Ansatz, das Einmalpasswort per SMSs an eine angegebene Mobiltelefon-Nummer zu schicken. Das System braucht man aber gar nicht erst einzuführen, denn Zeus ist schon da. Und weitere Schädlinge werden nicht lange auf sich warten lassen, wenn z.B. große Social Networks oder andere reizvolle Ziele auf so ein System setzen.
Man könnte es mit einer biometrischen Lösung versuchen, aber wie viele Benutzer haben denn z.B. Fingerabdruck-Sensoren, und wie sicher sind die? Die Idee, einen Fingerabdruck abzugeben, bevor man z.B. ein Social Network benutzen kann, wird sicher Freunde finden, vor allem unter den Innenministern etc., Benutzer aber wohl kaum.
Aber wird haben in Deutschland doch DIE Lösung: Den neuen Personalausweis! Dummerweise ist da die Anwendung auch nicht so sicher wie gedacht, zumindest wenn man den Basisleser verwendet. Und genau den haben die meisten Benutzer ja geschenkt bekommen. In diesem Fall trifft der alte Spruch "Das ist geschenkt noch zu teuer" wirklich zu. Außerdem gibt es kaum Anwendungen dafür, und vor allem wird den kaum jemand außerhalb Deutschlands als Authentifizierungssystem verwenden wollen. Für wen auch?
Zurück zum Anfang
Also heißt es "Zurück zum Anfang", wir werden auf absehbare Zeit mit Passwörtern auskommen müssen. Meine Tipps zum Bilden sicherer Passwörter gelten nach wie vor, ebenso die Hinweise zu den Passwortregeln.
Trackbacks