Skip to content

Die Sache mit den Passwörtern...

"Ein gutes Passwort besteht aus mindestens 8 Zeichen, darunter mindestens eine Ziffer sowie Groß- und Kleinbuchstaben" - so oder so ähnlich lauten Regeln für ein gutes Passwort. Beispiele für schlechte Passwörter sind z.B. "123456" oder "password". Warum nehmen die Benutzer dann aber immer die schlechten Beispiele, statt sich selbst ein gutes Passwort auszudenken?

Beliebte Passwörter: 123456 und password

Am 12. Dezember bemerkte Gawker Media, der Betreiber von Blog wie Gawker und Gizmodo, einen Einbruch auf seinen Servern, bei dem auch die Zugangsdaten von ca. 1,3 Millionen Kommentatoren-Accounts kopiert wurden (FAQ dazu). Die Daten wurden als Torrent-Datei verbreitet, und Duo Security hat die Gelegenheit genutzt und diese Daten ausgewertet. Von den enthaltenen 748.559 DES-verschlüsselten Passwörtern konnten rund 400.000 entschlüsselt werden. Zur Erinnerung: DES wurde bereits 1997 als unsicher eingestuft, der Nachfolger AES wurde 2001 veröffentlicht - man sollte DES also wirklich nur noch für Daten verwenden, die man demnächst sowieso veröffentlichen möchte. Passwörter gehören da wohl eher nicht dazu.

Die 25 beliebtesten Passwörter der Kommentatoren:

2516 123456
2188 password
1205 12345678
 696 qwerty
 498 abc123
 459 12345
 441 monkey
 413 111111
 385 consumer
 376 letmein
 351 1234
 318 dragon
 307 trustno1
 303 baseball
 302 gizmodo
 300 whatever
 297 superman
 276 1234567
 266 sunshine
 266 iloveyou
 262 fuckyou
 256 starwars
 255 shadow
 241 princess
 234 cheese

Schlechte Idee: Schwache Passwörter

Diese Passwörter dürften bei einem Brute-Force-Angriff ziemlich schnell gefunden werden. Dass sie sich auch leicht entschlüsseln lassen, ist dabei schon zweitrangig, drin ist drin.

Nun kann es sein, dass es den meisten Benutzern ziemlich egal ist, wenn jemand ihren Gawker-Account knackt, so dass sie ein leicht zu merkendes Passwort einem sicheren vorgezogen haben, aber man kann durchaus auch ein sicheres und leicht zu merkendes Passwort bilden. Und wenn man von der schieren Anzahl der benötigten Passwörter überfordert ist, kann man Passwortmanager verwenden. Oder die Passwörter schlicht und ergreifend aufschreiben, wenn man sie nur selten braucht. Nur sollte man die Passwortliste dann nicht öffentlich auslegen, sondern unter Verschluss halten.

Schlechtere Idee: Passwörter recyceln

Außer der Kommentatoren-Datenbank, die laut FAQ sowieso über ein Jahr alt ist, erbeuteten die Angreifer u.a. auch die Zugangsdaten von Gawker-Gründer Nick Denton. Und das ist der Punkt, an dem ich an eine weitere wichtige Regel für Passwörter erinnern möchte: Niemals, unter keinen Umständen, darf man ein Passwort für mehrere Konten nutzen. Wird ein Konto kompromittiert und dabei das Passwort erbeutet, sind sonst auch alle anderen Konten gefährdet. Nick Denton scheint diese Regel nicht zu kennen oder zumindest bisher nicht viel Wert darauf gelegt zu haben. Denn er nutzte sein Gawker-Passwort auch für Google Apps, Twitter und Campfire. Das ist natürlich extrem ungeschickt, um es mal höflich auszudrücken.

Ganz schlechte Idee: Hacker reizen

Genau so ungeschickt wie Nick Dentons Passwort-Nutzung waren Gawkers Aktionen vor dem Angriff. Denn Gawker war daran alles andere als unschuldig: Ein Gruppe, die sich "Gnosis" nennt, hat Provokationen von Gawker gegenüber 4chan als Herausforderung aufgefasst und diese angenommen. Wer möglichen Hackern gegenüber mit einer unhackbaren Website prahlt, darf sich nicht wundern, wenn die versuchen, das Gegenteil zu beweisen. Generell ist es eine gute Idee, niemanden zu reizen, der einen Schaden könnte. Es gibt natürlich auch Fälle, in denen dieser Rat zwar formell richtig wäre, aus anderen Gründen aber ignoriert wird. Denn genau den gleichen Rat könnte man auch Julian Assange geben, er hätte sich ja nicht mit den USA anlegen müssen, dann hätte er jetzt keine oder zumindest weniger Probleme. Genauso wie die chinesischen Dissidenten und der Dalai Lama sich ja nicht mit der chinesischen Regierung hätten anlegen müssen, usw. usf.. Vermutlich ist die Formulierung "Reize niemanden unnötig, der Dir Schaden kann" ein guter Kompromiss. Die Gawker-Provokationen waren wohl ziemlich unnötig.

Einige Lektionen aus dem Vorfall

Lektion 1: "Verwende sichere Passwörter. Nutze einen Passwortsafe oder Notizen, wenn Du mehr Passwörter benötigst als Du dir merken kannst!"
Lektion 2: "Nutze nie das gleiche Passwort für mehrere Konten!"

Diese beiden Lektionen gelten für Benutzer ebenso wie für Betreiber von Websites. Für die gibt es zwei weitere Lektionen:

Lektion 3: "Sichere Deine Website ab und prüfe ihre Sicherheit!"
Das kann man, ggf. mit entsprechender Unterstützung, selbst machen oder machen lassen. Es gibt genug Anbieter, die entsprechende Dienstleistungen anbieten. Ich übrigens auch - was für ein Zufall.
Lektion 4: "Prüfe Deine Sicherheitsmaßnahmen!"
Die Passwörter zu verschlüsseln ist eine sehr gute Sicherheitsmaßnahme. Das mit dem veralteten DES zu tun, hebt den Schutz aber nahezu vollständig auf. Verschlüsselung ist generell nur ein Zeitschloss, und im Fall von DES hat das eine minimale Laufzeit. Es ist gut möglich, dass das Konzept für die Speicherung der Benutzerdaten zu einem Zeitpunkt entwickelt wurde, zu dem DES noch akzeptabel war. Aber die IT-Welt ändert sich laufend, und insbesondere Sicherheitsmaßnahmen müssen regelmäßig an neue Entwicklungen angepasst werden.

Wollen wir mal hoffen, dass der Angriff auf Gawker dazu führt, das mal wieder etwas mehr über Sicherheit gesprochen wird - und dass dem auch Taten folgen. Erst mal folgen aber Weihnachten und der Jahreswechsel.

Ich wünsche Ihnen allen ein frohes Weihnachtsfest und ein erfolgreiches Neues Jahr!

Der nächste "Standpunkt" erscheint am 3. Januar 2011.

Carsten Eilers

Trackbacks

Keine Trackbacks