Tipp - Passwortschutz für Internet-Dienste

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Das Jahr 2014 war das erste Jahr der großen Identitätsdiebstähle. Warnte doch das BSI im Januar und April noch vor einem „millionenfachen“ Diebstahl, waren es ein halbes Jahr später schon „Milliarden“.

Diese gestohlenen Daten sind meist Kombinationen aus Nutzerkennung (oft der E-Mail-Account) und Passwort bzw. deren Hash. Hacker haben nun zwei Möglichkeiten, an diese Daten zu kommen: entweder man versucht, durch Probieren im Login-Formular Passwörter zu erraten oder es wird gleich die ganze Datenbank mit den Nutzerkennungen kompromittiert. Der erste Fall ist aber eher unwahrscheinlich, da der Administrator schnell darauf aufmerksam werden sollte, wenn jemand im Sekundentakt eine Vielzahl von Passwörtern ausprobiert und dadurch auch die Serverbelastung erheblich wächst. Gut gesicherte Webdienste sperren zudem nach einer bestimmten Fehlerzahl den Account, informieren den Nutzer per Mail oder verlangen Captchas.

Wenn allerdings im zweiten Fall die Nutzerdatenbank dem Hacker lokal vorliegt, hat er alle Zeit der Welt, die Passwörter zu ermitteln. Deshalb sollten die Passwörter nur über eine Einwegfunktion als Hash und kombiniert mit weiteren Parametern (Salt, Pepper) gespeichert sein, keinesfalls als Klartext (wenn man beispielsweise eine Passwortrücksetzungsmail mit seinem Original-Passwort erhält, ist dies ein starkes Indiz hierfür). Deshalb liegt die Hauptsicherheitspflicht zunächst beim Webserverbetreiber.

Der Nutzer hat weniger Einflussmöglichkeiten, er kann mit einem möglichst langen Passwort arbeiten, was mathematisch beweisbar die effektivste Stellschraube gegen Brute-Force-Cracking ist. Allerdings kann über Wörterbuchangriffe der Prozess wesentlich abgekürzt werden, so dass einfache Wörter zu vermeiden sind. Auch vorhandene Rainbow-Tabellen können bei allgemein bekannten Standard-Parametern die Arbeit wesentlich vereinfachen. Der wichtigste Sicherheitshinweis ist jedoch, für jeden Dienst ein anderes Passwort zu verwenden. Ansonsten hat der Hacker beim Einbruch in einen möglicherweise schlecht gesicherten Internetdienst gleich auch alle anderen Konten in der Hand.

Mitte 2016 wurde eine Datenbank (https://haveibeenpwned.com/) ins Internet gestellt, bei der man die Betroffenheit eines Identitätsdiebstahls feststellen kann. Die Daten (ca. drei Milliarden Datensätze) stammen aus kleineren und größeren Einbrüchen (etwa bei Yahoo - 500 Mio. Datensätze, eBay - 145 Mio. Datensätze, LinkedIn - 177 Mio. Datensätze oder YouPorn - 1,3 Mio. Datensätze).

3 Tipps zur Passwortschutz

Bild: Schutzwirkung kurzer Passwörter

Zur Gestaltung von sicheren Passwörtern gibt es im Internet eine Vielzahl von Webseiten (u.a. die Seite des BSI für Bürger [1]). Im Endeffekt laufen alle Empfehlungen darauf hinaus, ein Passwort aus einem nicht-trivialen Mix von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammenzusetzen. Dies stellt sich aber schnell als schwierig heraus, da doch möglichst jeder Online-Dienst sein eigenes Passwort bekommen soll. Die 3 Grundtipps sind zunächst deshalb:

  • Zumindest der Mailaccount sollte grundsätzlich immer ein separates Passwort bekommen. Fast jeder Online-Dienst bietet ein Passwortrücksetzungsverfahren unter Beteiligung des Mail-Postfachs an. Wer also Zugriff auf das Postfach hat, kann leicht auch in alle anderen genutzten Dienste einbrechen.
  • Zur Komplexreduzierung könnten nach individuellem Schadenspotential für die weiteren Online-Dienste Kategorien (bewährt hat sich mindestens zwei – kritisch und wenig kritisch) gebildet werden. Kritische Dienste werden dann beispielsweise mit Passwörtern aus Ableitungsregeln eines Grund-Passworts geschützt. Hier sind allerdings nicht nur finanzielle Schäden zu betrachten (man denke nur an einen ungewollter Facebook-Eintrag über eine geänderte sexuelle Orientierung).
  • Man sollte so oft wie möglich anonyme bzw. anonymisierbare Dienste nutzen. Twitter ist danach Facebook vorzuziehen.


Praktische Helfer

Bild: App PasswordCryptTrial

Leider gibt es kein Patentrezept, um Passwörter sicher zu verwalten. Man kann sich die Arbeit mit Tools allerdings erheblich vereinfachen:

  • Sofern man ein sicheres Smartphone besitzt, kann man dies als Passwortgenerator einsetzen. Gute Produkte erzeugen aus einem Grund-Passwort die immer wieder gleichen individuellen Dienste-Passwörter. Dabei muss nicht einmal etwas gespeichert werden, für den PC wird das Dienste-Passwort einfach abgetippt. Sicher sind natürlich nur ungerootete Smartphones; für iOS wird beispielsweise die App Master Password[2] empfohlen, für Windows Phone sei hier die App PasswordCryptTrial genannt. Dagegen sind Android-Geräte auf Grund der Malware-Gefährdungen nicht sonderlich geeignet (die App Master Password gibt es neuerdings auch für Android).
  • Auch der Einsatz von Passwort-Safe-Programmen kann sinnvoll sein. Hier werden alle Passworte einmalig erzeugt und dann verschlüsselt in einem Safe gespeichert; der Zugang ist dann nur mit dem Master-Passwort möglich. Allerdings sollte das Backup regelmäßig erfolgen und bei der Programmauswahl auf Interoperabilität (PC, Tablet, Smartphone) geachtet werden. In der Praxis findet man leider dann doch immer noch etwas, was nicht so wie gewünscht funktioniert.
  • Auch alle modernen Browser bieten eine Option, Passwörter zu speichern. Allerdings ist hier kein Passwortschutz vorhanden und es wird auch nicht stark genug verschlüsselt, so dass sich diese Art lediglich für unkritische Online-Dienste eignet.
Bild: Kryptonizer im Scheckkartenformat
  • Zum schnelleren Erlernen eines komplexen Grund-Passworts kann es hilfreich sein, dieses eine Zeitlang auch das Einlog-Passwort am PC zu verwenden. Stellt man dann noch den Bildschirmschoner auf eine möglichst kurze Zeitspanne, sollte sich ein rascher Lerneffekt einstellen.
  • Es ist auch möglich, ohne technische Hilfsmittel (also nur auf Papier) Passwörter sicher zu verwalten. Kein Hacker kann ja in das Portemonnaie eines Nutzers sehen. Wie man dann noch im Scheckkartenformat eine Vielzahl von Passwörtern verwaltet, zeigt ein Beitrag in der Zeitschrift c´t[3][4]. Weiterhin gibt es auch noch andere Hilfsmittel (siehe Bild).


Programmbeispiel

Für den versierteren Nutzer wird zum besseren Verständnis der Hash-Funktion (hier SHA1) nachfolgend ein JavaScript-Code-Beispiel - zum Abspeichern als lokale HTML-Datei - gegeben. Dies könnte, da JavaScript lokal im Browser auf allen Plattformen läuft, sogar auch als einfacher und interoperabler Passwortgenerator dienen. Allerdings wäre zur geforderten Passwort-Unterschiedlichkeit per Online-Dienst ein Teil des Dienste-Namens (z.B. facebook) im Klartext des Passwortes an beliebiger Stelle (also nicht am Anfang/Ende; da zwischenzeitlich diverse Knacktools auch einfache Erweiterungsvarianten wie beispielsweise Anfügen von Wörtern und Ziffern usw. beherrschen) unterzubringen. Ansonsten ist das über 40-stellige Passwort auch mit dem begrenzten Wertevorrat (nur Ziffern und Kleinbuchstaben) wohl kaum zu brechen. Vorteilhaft wäre hier zu nennen, dass das Dienste-Passwort schon beim Online-Dienst nur als Hash und nicht im Klartext vorliegt und dadurch eine Rückberechnung des Grund-Passworts ausgeschlossen erscheint. Bei Ebay und Amazon klappte diese Variante auf Anhieb.

Bild: SHA1-Hash-Beispiel
<html>
<body>
<form action="#" method="post">
Enter a text:<br/>
<input type="text" name="strex" id="strex" size="20" /> 
<button id="cryptstr">Encrypt</button><br/> SHA1 hash string:<br/>
<input type="text" name="strcrypt" id="strcrypt" size="50" />
</form>
<script type="text/javascript">
// Here add the code of the SHA1 function
/**
*  Secure Hash Algorithm (SHA1)
*  http://www.webtoolkit.info/javascript-sha1.html
**/...
// register onclick events for Encrypt button
document.getElementById('cryptstr').onclick = function() {
var txt_string = document.getElementById('strex').value;    // gets data from input text
// encrypts data and adds it in #strcrypt element
document.getElementById('strcrypt').value = SHA1(txt_string);
return false;
}
</script>
</body>
</html>


Einzelnachweise

  1. Webseite BSI für Bürger: Passwörter
  2. Beitrag in der c´t 18/2014 Eines für alle“
  3. Beitrag in der c´t 18/2014 „Passwort aus Papier“
  4. Papier-Vorlage in der c´t 18/2014 „Passwort aus Papier


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 14. Dezember 2016 um 08:43 Uhr von Oliver Wege geändert.

Anzeigen