Passwörter sind gefährlich

Fast wöchentlich wird von “gehackten” Password-Dateien im großen Stil (z.B. LinkedIn) berichtet. Bei jeder Anmeldung zu Plattformen werden mittlerweile Passwörter verlangt. Die Zeiten wo man überall nur ein bis zwei Standardpasswörter verwendet hat, sollten vorbei sein. Die Gefahr, dass diese in falsche Hände kommen ist viel zu groß. Die Kriminellen haben dann auf einen Schlag unter Umständen dutzende Accounts im Zugriff.

Wie eine Plattform unsere Passwörter speichert, können wir nicht kontrollieren. Das einzige worauf man achten kann ist, das eine “https://” Verbindung im Browser angezeigt wird. Im schlimmsten Fall, werden diese offen und am besten noch im Ordner “Kundenpasswörter” abgelegt. Normalerweise sollten Passwörter vom Account-Betreiber mit einer sogenannten “Hash-Funktion” verschlüsselt werden.

Jetzt wird klar, warum als eiserne Regel gilt:

Ein Account - ein Passwort!

Das Passwort: Lang, zufällig und vielfältig

Die Passwörter selbst sollten viele Stellen haben, je mehr, desto besser. Dies verdeutlicht ein einfaches Rechenbeispiel:

Am Bankautomaten geben wir eine vierstellige PIN (Personal Identification Number) ein. Jede Stelle hat 10 Möglichkeiten, nämlich 0-9 Ziffern. Mit wie vielen Versuchen die PIN durch systematisches Ausprobieren zu brechen (brute force Angriff) wäre ein Angreifer mit Sicherheit erfolgreich?

Da sich die Ziffern wiederholen dürfen: nach 10 * 10 * 10 * 10 = 10.000 Versuchen. Nehmen wir als Passwort nur das Alphabet ohne Umlaute und wählen ein 8stelliges Passwort, so müssen 26^8 Kombinationen durchgeprüft werden. Das sind 208.827.064.576 Möglichkeiten. Das klingt erstmal ganz gut, relativiert sich aber sehr bald. Ein Server der speziell für das Knacken von Passwörtern ausgelegt ist kostet etwa 20.000 $ und schafft 100.000.000.000 Passwörter in der Sekunde. Für das 8stellige Passwort aus 26 Buchstaben, braucht der Rechner gerade mal 2,088 Sekunden! Dies völlig unabhängig davon, ob ein sinnvolles Wort oder eine Zufallskombination gewählt wurde. Also Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zufällig mischen.

Das klingt kompliziert, ist es aber gar nicht. Solche Kombinationen kann man z.B. aus Gedichten erzeugen:

Fest gemauert in der Erden
Steht die Form, aus Lehm gebrannt.
Heute muß die Glocke werden.
Frisch Gesellen, seid zur Hand.

...

(F. Schiller, Die Glocke)

Dies wird bspw. zu: “FgMidE-SdF?aLg#”

So weit so gut. Mit der Rechteverwaltung beim beA werden unter Umständen dutzende neuer Passwörter generiert werden. Wie sollen die denn alle verwaltet werden?

Passwortmanager helfen

Hier helfen sogenannte Passwortmanager. Das ist eine Software (KeePass, LastPass, Secure Safe, etc.), die lokal auf einem Rechner oder im Netz Passwörter verwaltet. Hierzu wird der Benutzername, das Passwort und ggf. eine entsprechende URL gespeichert. Der Vorteil: Es muss nur noch ein Passwort gemerkt werden.

Auch hier gilt: Vorsicht ist die Mutter der Porzellankiste. Es wird am besten immer eine ganz normale Liste in Papier in den Tresor gelegt.

Wer ganz auf Nummer sicher gehen will, der installiert GPG, schreibt alle Accounts mit Benutzernamen, Passwort und URL in eine Datei und verschlüsselt diese mit AES 256.

Praxistipp: Signiersoftware nutzen!

Wer eine Signaturkarte besitzt und daneben noch eine Signiersoftware (bspw. Governikus Signer) hat es sehr leicht: Da Verschlüsselung und Signatur eng zusammenhängen, kann mit dem Signer auch verschlüsselt werden. Also: Einfach Benutzername, Passwort, Account, Bemerkungen eine Tabelle (Worddokument oder einfaches Textdokument), in der Signiersoftware “Verschlüsseln” auswählen und mit der Chipkarte verschlüsseln. Maximale Sicherheit mit geringem Aufwand.