Die Sache mit den Passwörtern...
"Ein gutes Passwort besteht aus mindestens 8 Zeichen, darunter mindestens eine Ziffer sowie Groß- und Kleinbuchstaben" - so oder so ähnlich lauten Regeln für ein gutes Passwort. Beispiele für schlechte Passwörter sind z.B. "123456" oder "password". Warum nehmen die Benutzer dann aber immer die schlechten Beispiele, statt sich selbst ein gutes Passwort auszudenken?
Beliebte Passwörter: 123456 und password
Am 12. Dezember bemerkte Gawker Media, der Betreiber von Blog wie Gawker und Gizmodo, einen Einbruch auf seinen Servern, bei dem auch die Zugangsdaten von ca. 1,3 Millionen Kommentatoren-Accounts kopiert wurden (FAQ dazu). Die Daten wurden als Torrent-Datei verbreitet, und Duo Security hat die Gelegenheit genutzt und diese Daten ausgewertet. Von den enthaltenen 748.559 DES-verschlüsselten Passwörtern konnten rund 400.000 entschlüsselt werden. Zur Erinnerung: DES wurde bereits 1997 als unsicher eingestuft, der Nachfolger AES wurde 2001 veröffentlicht - man sollte DES also wirklich nur noch für Daten verwenden, die man demnächst sowieso veröffentlichen möchte. Passwörter gehören da wohl eher nicht dazu.
Die 25 beliebtesten Passwörter der Kommentatoren:
2516 123456 2188 password 1205 12345678 696 qwerty 498 abc123 459 12345 441 monkey 413 111111 385 consumer 376 letmein 351 1234 318 dragon 307 trustno1 303 baseball 302 gizmodo 300 whatever 297 superman 276 1234567 266 sunshine 266 iloveyou 262 fuckyou 256 starwars 255 shadow 241 princess 234 cheese
Schlechte Idee: Schwache Passwörter
Diese Passwörter dürften bei einem Brute-Force-Angriff ziemlich schnell gefunden werden. Dass sie sich auch leicht entschlüsseln lassen, ist dabei schon zweitrangig, drin ist drin.
Nun kann es sein, dass es den meisten Benutzern ziemlich egal ist, wenn jemand ihren Gawker-Account knackt, so dass sie ein leicht zu merkendes Passwort einem sicheren vorgezogen haben, aber man kann durchaus auch ein sicheres und leicht zu merkendes Passwort bilden. Und wenn man von der schieren Anzahl der benötigten Passwörter überfordert ist, kann man Passwortmanager verwenden. Oder die Passwörter schlicht und ergreifend aufschreiben, wenn man sie nur selten braucht. Nur sollte man die Passwortliste dann nicht öffentlich auslegen, sondern unter Verschluss halten.
Schlechtere Idee: Passwörter recyceln
Außer der Kommentatoren-Datenbank, die laut FAQ sowieso über ein Jahr alt ist, erbeuteten die Angreifer u.a. auch die Zugangsdaten von Gawker-Gründer Nick Denton. Und das ist der Punkt, an dem ich an eine weitere wichtige Regel für Passwörter erinnern möchte: Niemals, unter keinen Umständen, darf man ein Passwort für mehrere Konten nutzen. Wird ein Konto kompromittiert und dabei das Passwort erbeutet, sind sonst auch alle anderen Konten gefährdet. Nick Denton scheint diese Regel nicht zu kennen oder zumindest bisher nicht viel Wert darauf gelegt zu haben. Denn er nutzte sein Gawker-Passwort auch für Google Apps, Twitter und Campfire. Das ist natürlich extrem ungeschickt, um es mal höflich auszudrücken.
Ganz schlechte Idee: Hacker reizen
Genau so ungeschickt wie Nick Dentons Passwort-Nutzung waren Gawkers Aktionen vor dem Angriff. Denn Gawker war daran alles andere als unschuldig: Ein Gruppe, die sich "Gnosis" nennt, hat Provokationen von Gawker gegenüber 4chan als Herausforderung aufgefasst und diese angenommen. Wer möglichen Hackern gegenüber mit einer unhackbaren Website prahlt, darf sich nicht wundern, wenn die versuchen, das Gegenteil zu beweisen. Generell ist es eine gute Idee, niemanden zu reizen, der einen Schaden könnte. Es gibt natürlich auch Fälle, in denen dieser Rat zwar formell richtig wäre, aus anderen Gründen aber ignoriert wird. Denn genau den gleichen Rat könnte man auch Julian Assange geben, er hätte sich ja nicht mit den USA anlegen müssen, dann hätte er jetzt keine oder zumindest weniger Probleme. Genauso wie die chinesischen Dissidenten und der Dalai Lama sich ja nicht mit der chinesischen Regierung hätten anlegen müssen, usw. usf.. Vermutlich ist die Formulierung "Reize niemanden unnötig, der Dir Schaden kann" ein guter Kompromiss. Die Gawker-Provokationen waren wohl ziemlich unnötig.
Einige Lektionen aus dem Vorfall
Lektion 1: "Verwende sichere Passwörter. Nutze einen Passwortsafe
oder Notizen, wenn Du mehr Passwörter benötigst als Du dir merken
kannst!"
Lektion 2: "Nutze nie das gleiche Passwort für mehrere
Konten!"
Diese beiden Lektionen gelten für Benutzer ebenso wie für Betreiber von Websites. Für die gibt es zwei weitere Lektionen:
Lektion 3: "Sichere Deine Website ab und prüfe ihre
Sicherheit!"
Das kann man, ggf. mit entsprechender Unterstützung, selbst machen
oder machen lassen. Es gibt genug Anbieter, die entsprechende
Dienstleistungen anbieten. Ich übrigens auch - was für ein
Zufall.
Lektion 4: "Prüfe Deine Sicherheitsmaßnahmen!"
Die Passwörter zu verschlüsseln ist eine sehr gute
Sicherheitsmaßnahme. Das mit dem veralteten DES zu tun, hebt den
Schutz aber nahezu vollständig auf. Verschlüsselung ist generell
nur ein Zeitschloss, und im Fall von DES hat das eine minimale Laufzeit. Es
ist gut möglich, dass das Konzept für die Speicherung der
Benutzerdaten zu einem Zeitpunkt entwickelt wurde, zu dem DES noch
akzeptabel war. Aber die IT-Welt ändert sich laufend, und insbesondere
Sicherheitsmaßnahmen müssen regelmäßig an neue
Entwicklungen angepasst werden.
Wollen wir mal hoffen, dass der Angriff auf Gawker dazu führt, das mal wieder etwas mehr über Sicherheit gesprochen wird - und dass dem auch Taten folgen. Erst mal folgen aber Weihnachten und der Jahreswechsel.
Ich wünsche Ihnen allen ein frohes Weihnachtsfest und ein erfolgreiches Neues Jahr!
Der nächste "Standpunkt" erscheint am 3. Januar 2011.
Trackbacks