Skip to content

Authentifizierung: Passwortregeln, Teil 2

Im ersten Teil dieses zweiteiligen Artikels über Sinn und Zweck von Passwortregeln ging es um das Aufschreiben von Passwörtern. Als nächstes geht es um das Wechseln der Passwörter:

Passwörter regelmäßig wechseln

Auch das folgende ist eine oft wiederholte Regel: Passwörter sollen regelmäßig gewechselt werden. Theoretisch ist das sicher richtig, aber praktisch... zumindest ist es unpraktisch, da man sich dann ständig neue Passwörter ausdenken und merken oder aufschreiben muss. Und ob das die Sicherheit erhöht, darüber kann man auch streiten. Daniel Wesemann vom Internet Storm Center hat diese Regel schon 2009 provokant so formuliert: 'Password rules: Change them every 25 years'.

25 Jahre sind nun schon ziemlich großzügig, aber es geht ja nur ums Prinzip: Wenn ein Angreifer sich das Passwort, egal wie, verschafft hat, wird er es meist sehr bald verwenden, um einer möglichen Änderung zuvor zu kommen. Je häufiger man sein Passwort ändert, desto kleiner ist der Zeitraum, in dem ein erfolgreicher Angreifer es nutzen kann. 90 Tage, 60 Tage, 30 Tage - das sind in der Hinsicht dann aber alles viel zu lange Zeiträume. Sicherheitshalber müsste man sein Passwort also sehr, sehr häufig wechseln. Wie wäre es mit stündlich? Auch das ist eine lange Zeit. Noch öfter?

Schon stündlich ist völlig unpraktikabel, und wenn man bedenkt, das ein einmal erfolgreicher Angreifer seinen Angriff ja jederzeit wiederholen könnte, bleibt eigentlich nur die Verwendung eines Tokens, das für jedes Login ein One-Time Password (OTP) erzeugt, wenn man wirklich sicher gehen will. Und einem Man-in-the-Middle stört nicht mal das. Außerdem geht es hier ja um normale Passwörter - ein Security-Token ist eine ganz andere Baustelle mit eigenen Regeln. Und eigenen Gefahren, siehe den Angriff auf RSA im März 2011, bei dem sämtliche SecurID-Token kompromittiert wurden.

Eine andere Lösung des Problems, dass Passwörter ausgespäht werden können, ist eine Zwei-Faktor-Authentifizierung, um die es in der nächsten Folge geht.

Aber um noch einmal auf Passwortwechsel zurück zu kommen: Ich würde diese Regel anders formulieren. Und zwar "Passwörter müssen gewechselt werden, wenn die Möglichkeit besteht, dass sie kompromittiert wurden!" So habe ich zum Beispiel nach dem Angriff auf Hetzner im Herbst 2011 sicherheitshalber alle dort verwendeten Passwörter ersetzt. Auch die, die eigentlich nicht betroffen waren (oder sein sollten).

Nichts aus dem Wörterbuch

Dass das Passwort in keinem Wörterbuch stehen darf, ist selbstverständlich. Ansonsten würde es einem Brute-Force-/Wörterbuch-Angriff sehr wahrscheinlich nicht lange widerstehen. Wobei man aber auch feststellen muss, dass es Aufgabe der jeweiligen Anwendung ist, Brute-Force-Angriffe zu verhindern. Aber die erste Regel zum Aufbau der Passwörter sorgt schon fast automatisch dafür, dass das Passwort in keinem Wörterbuch steht. Oder kennen Sie sehr viele Wörter, die aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen und in einem Wörterbuch stehen?

Jetzt könnte aber jemand auf die Idee kommen, zum Beispiel seine Initialen und sein Geburtsdatum zu einem Passwort zu kombinieren. Der am 1.1.1950 geborenen John Doe könnte also zum Beispiel JD1.1.50 als Passwort wählen. Oder jemand könnte die Vornamen seiner beiden Kinder durch ein "+" verbinden und als Passwort verwenden, zum Beispiel Donald+Daisy.
Ein Angreifer, der Informationen über sein Opfer besitzt, könnte aber auf die Idee kommen, auch solche Passwörter auszuprobieren. Und entsprechende Informationen verbreiten die meisten Menschen haufenweise in den Social Networks. Ich möchte diese Regel daher etwas erweitern zu "Das Passwort darf nicht leicht erratbar sein".

Passwörter sollen lang sein und nicht wie Wörter aussehen

Kommen wir zu den wichtigsten Anforderungen: Passwortlänge und Zeichenvorrat. Diese Anforderungen dienen im wesentlichen nur noch dem Schutz vor Brute-Force-/Wörterbuch-Angriffen, denn vor Phishing, Keyloggern oder dem Ausspähen der Zugangsdaten während der Übertragung oder auf dem Server schützen sie nicht, ebensowenig wie die anderen Anforderungen.

Allerdings haben sie einen praktischen Nebeneffekt: Falls Zugangsdaten auf einem Server ausgespäht wurden, sind die Passwörter hoffentlich nur in Form gesalzener Hashwerte und nicht als Klartext gespeichert worden. Leider wurden die Passwörter in der Vergangenheit aber zu oft als ungesalzener Hashwert gespeichert, so dass sie sich unter Umständen berechnen ließen. Lange und wild aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zusammengewürfelte Passwörter erschweren die Berechnung zumindest ein bisschen.

Passwort-Regeln, neu formuliert

Warum sollte man sich also an diese Regeln halten? Weil einige davon durchaus immer noch ihre Berechtigung haben, wenn auch aus einem anderen als dem ursprünglichen Grund. Fangen wir wieder von hinten an: Das "Nicht aufschreiben" kann man getrost vergessen, sofern man dafür sorgt, dass das aufgeschriebene Passwort nicht ausgespäht wird.

Auch bei der regelmäßigen Änderung muss man es nicht übertreiben. Wenn man auch nur den geringsten Verdacht hat, ein Passwort könnte ausgespäht worden sein, muss man es natürlich ersetzen. Und wenn es womöglich über eine Spyware auf dem eigenen Rechner ausgespäht wurden, muss mann auch alle anderen auf diesem Rechner eingegebenen Passwörter ändern (natürlich auf einem Spyware-freien Rechner) - Sicher ist sicher. Aber ansonsten wird man dadurch nur wenig zusätzliche Sicherheit gewinnen.

Kein erratbares Passwort zu verwenden, ist durchaus zweckmäßig. Und das aus zwei Gründen: Zum einen könnte ein Angreifer, der es auf einen bestimmten Benutzer abgesehen hat, alle verfügbaren Informationen über sein Opfer sammeln und dann einen Brute-Force-Angriff mit einer Reihe wahrscheinlicher Passwörter beginnen. Zum anderen kommt es wie schon erwähnt immer wieder vor, dass die Hashwerte von Passwörtern ausgespäht werden. Sind die nicht gesalzen, lassen sich die Passwörter berechnen. Und das dauert bei den "zufälligen" Passwörtern hoffentlich etwas länger als bei denen, die in einem Wörterbuch stehen. Dabei kommt dann das Sankt-Florian-Prinzip zum Zuge: Hoffentlich sind genug andere Passwörter vor dem eigenen geknackt worden, so dass die Angreifer mit dem Knacken aufhören und das eigene Passwort nicht gebrochen wird.

Aus diesem Grund sind auch die Anforderungen an Passwortlänge und verwendete Zeichen durchaus berechtigt, denn die sorgen dafür, dass das Passwort sehr wahrscheinlich nicht in einem Wörterbuch enthalten ist.

Ein sicher gebildetes Passwort, dass man sich, wenn man es sich nicht merken kann, auf einem sicher verwahrten Zettel aufschreibt, sollte einem die Sicherheit der damit geschützten Zugänge schon wert sein. Und denken Sie daran: Jedes Passwort nur für eine Website etc. - Passwortrecycling ist ganz und gar nicht gut!

In der nächsten Folge geht es um eine weitere Möglichkeit zur Absicherung der Authentifizierung: Den Einsatz eines zweiten Faktors.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Authentifizierung: Sichere Passwörter
Authentifizierung: Passwortregeln, Teil 1
Authentifizierung: Passwortregeln, Teil 2
Authentifizierung: Ein Faktor reicht nicht (mehr)
Zwei-Faktor-Authentifizierung per SMS
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 1
Zwei-Faktor-Authentifizierung mit spezieller Hardware, Teil 2
Zwei-Faktor-Authentifizierung mit der Smartphone-App

Trackbacks

Keine Trackbacks