Passwort Strategie

Üder die Wahl eines sicheren Passwortes, die richtige Nutzung eines Passwortmanagers und weiterführende Themen wie 2FA sowie die Catch-All und Präfix Strategien.

Einleitung - Die Schwierigkeiten

Durch die unzähligen Dienste und Produkte die von uns ein Passwort verlangen ist es schwierig den Überblick zu wahren. Die einfachste Methode, überall das gleiche Passwort zu benutzen, scheitert an den verschiedenen Passwortvorgaben. Die meisten starten mit einem simplen Passwort wie das eigene Haustier Wuschel und landen dann bei Passwörtern wie Wu$chel1234. So entsteht die Kombination eines schwachen Grundpassworts mit der Schwierigkeit sich die verschiedenen Variationen zu merken.

Lesezeit: 8 Minuten

Was macht ein gutes Passwort aus?

Ein Benutzerkonto wird verschieden angegriffen:

  • Brute-Force-Methode - Das Ausprobieren von verschiedenen Passwortkombinationen
  • Wörterbuchangriff (engl. dictionary attack) - Das Ausprobieren von Passwörtern aus einer Liste. Bestehend zum Beispiel aus den beliebtesten Passwörtern, Namen, Geburtstage, Substitutionen (z. B. $ statt S) und Wörter aus einem Standard Wörterbuch.
  • Social Engineering - Der Angreifer manipuliert den Passwortinhaber, um an dessen Daten zu gelangen. Ein Angreifer kann sich als Techniker ausgeben, viele kennen den Anruf eines falschen Microsoft Mitarbeiters, auch Phishing und das gezielte Spear-Phishing gehört zum Social Engineering.
  • Datenleck - wenn bei mehreren Diensten das gleiche Login benutzt wird, besteht die Gefahr, dass wenn ein Login in die falschen Hände gelangt auch die anderen Accounts frei zugänglich sind. Der Angreifer testet oft die neu erlangten Zugangsdaten von einer kleinen unsicheren Webseite bei Anbietern mit vielen Benutzern wie Google, Amazon und Microsoft.

Wahl des Passwortes

  • mehr als 11 Zeichen
  • Mischung aus Kleinbuchstaben, Großbuchstaben, Zahlen und Symbole
  • keine bekannten Wörter, Namen, Daten, etc.
  • keine bekannten Ersetzungen wie $ anstatt S oder 0 anstatt O
  • keine Tastaturmuster wie qwertz oder asdf1234
  • nichts Persönliches wie Haustier, Geburtsdatum oder Hobby
  • keine Wiederholung des Passwortes

Ein paar der beliebtesten Passwörter der Deutschen: 123456, hallo123, ficken, passwort, master.

Einschätzung der Passwortstärke

Die Lösung: Der Passwortmanager

Die sichersten Passwörter sind die, die man nicht kennt. Möglich macht dies ein Passwortmanager. Das einzige Passwort, dass man sich merken muss, ist der Zugang in den Passwortmanager. Einmal drin verfügen wir über den Zugriff auf alle Passwörter und können diese nach Belieben kopieren und einfügen oder je nach Software auch automatisch einfüllen lassen. Die Passwörter können durch den im Passwortmanager meist integrierten Passwortgenerator erstellt werden. Wenn wir diesen zum Beispiel auf 26 Symbole stellen erhalten wir etwas wie $/-u+U,S@b'W8#^&9ZTRFXsW!.

Schutz vor unbefugtem Zugriff

Jeder Passwortmanager sollte eine Zwei-Faktor-Authentifikation haben und diese sollte unbedingt eingeschaltet sein (mehr zur Zwei-Faktor-Authentifikation weiter unten). Passwortmanager sollten sich nach einer kurzen Zeit selbst abmelden und zum wieder anmelden das volle Passwort verlangen. Weiter hilft die Präfix-Strategie (unten erwähnt) den Passwortmanager sicherer zu machen.

Schutz vor Datenverlust

Da wir die meisten unserer Passwörter nicht mehr auswendig wissen ist ein Backup nötig. Wir empfehlen einerseits ein integriertes verschlüsseltes Backup des Passwortmanagers zu nutzen und dazu regelmäßig ein Export und Import in einen zweiten Passwortmanager zu vollziehen. So besteht eine Unabhängigkeit dem Passwortmanager gegenüber.

Welchen Passwortmanager?

LastPass

Der bekannteste Passwortmanager ist wohl LastPass. Technisch sehr ausgetüftelt mit regelmäßigen Audits und Tests von dritten Quellen. Die größten Negativpunkte sind der Closed Source Code und die große Angriffsfläche durch die vielen Features wie Cloudsync, Passwortsharing, Fingerabdruckzugang und Browserextensions mit Autofill. Hinter LastPass steckt die Firma LogMeIn. In einem Businessumfeld können die zusätzlichen Funktionen einem Mehrwert dienen. Wir empfehlen LastPass aufgrund des proprietären Quellcodes jedoch zu meiden.

Bitwarden

Bitwarden ist ein Open Source Passwortmanager mit Sync in die Cloud oder auf den eigenen Server. Der kostenlose Standard Account bringt alles mit, was zur komfortablen Passwortorganisation benötigt wird. Wir empfehlen Bitwarden allen die auf einen Cloudsync und/oder eine Browsererweiterung nicht verzichten wollen.

KeePass

Mit den wenigsten Features und deshalb am leichtesten gegen Angriffe zu verteidigen ist KeePass. Open Source ohne integrierten Cloud Service, offline. Da es sich bei einer KeePass Datenbank um eine einzelne Datei handelt, ist eine Synchronisation über etwa einen Cloud Speicher kein Problem. Auch gibt es viele Plugins, Forks und auch Browsereraddons die KeePass erweitern. Wir empfehlen auf diese zu verzichten da sie meist von dritten programmiert wurden und die Angriffsfläche unnötig vergrößern. KeePass ist für jeden der mit wenig Funktionen auskommt und für jeden für den Sicherheit und Privatsphäre an erster Stelle stehen. Auch ganz praktisch als Backup - KeePass hat eine Importfunktion für die meisten Passwortmanager inklusive LastPass und Bitwarden.

LastPass Bitwarden KeePass
Erscheinungsjahr 2008 2016 2003
Lizenz Proprietär Open Source Open Source
Speicherort Cloud Cloud / Selbst Lokal
Browsererweiterung Ja Ja Nein (inoffiziell)
Externer Audit Ja Ja Ja
Standard Gratis Gratis Gratis
Premium pro Jahr 36 $ 10 $ Spendelink

Spezialfälle

Auswendig gelernte Passwörter

Es gibt ein paar wenige Passwörter, die man sich trotz Passwortmanager immer noch merken muss. So zum Beispiel das Login des Computers, auf dem der Passwortmanager installiert ist. Möglicherweise hat jemand auf der Arbeit keinen Zugriff auf den Passwortmanager. Falls der Passwortmanager auf dem Smartphone besteht können die Passwörter im schlimmsten Fall abgeschrieben werden. Das ist aber sehr mühsam, wenn das Passwort $kJu7tF44Ad!4$1Jp0+jYYvbm?0 ist. Übrigens auch nicht sehr praktisch als W-LAN Passwort das dann dem Besuch vorgelesen wird.

Wir wählen in diesem Fall ein Passwort, dass wir uns merken können, lange ist und nicht in einem Lexikon vorkommt - 1SchornsteinSalatBein! oder KabeljauSchwimmWeste. Sätze sind auch möglich - PeterMachtSauber!, 19WaleSingenSchräg? (Wobei der Umlaut nicht bei allen Passwortvorgaben erlaubt ist). Wer einen Schritt weitergehen möchte, kann zusätzlich das unten erwähnte Präfix benutzen um auf einfache Weise ein paar Symbole und Zahlen mit einzumischen.

Geheimfragen

Geheimfragen werden von manchen Anbietern genutzt, um Benutzer zu identifizieren die ihr Passwort vergessen haben. Meistens sind es drei persönliche Fragen, die jeder Kindheitsfreund für einem beantworten könnte. Geheimfragen abzusichern ist einfach - Man lügt, was das Zeug hält. Was ist Ihre Lieblingsfarbe? die HamsterUmlaufTaxe, In welcher Stadt sind sie geboren? eineWinzige Sahnetorte ohne Essiggurken. Die Fragen plus Antworten werden nicht etwa auswendig gelernt und wieder verwendet, sondern im Passwortmanager abgespeichert. Es ist besser etwas Aussprechbares zu wählen, falls man tatsächlich eine Person am Apparat hat bei der Passwort Rücksetzung.

Wer jetzt denkt, warum speichere ich den Weg das vergessene Passwort zurückzusetzen mit dem eigentlichen Passwort ab? Weil wir die Sicherheitsfragen nicht brauchen, da wir eben einen Passwortmanager nutzen, aber die Fragen aufgezwungen bekommen (etwa bei einem Microsoft Account). Wer auf Nummer sicher gehen möchte, kann seine Fragen und Antworten an einem anderen verschlüsselten Ort lagern als das Passwort.

Zwei-Faktor-Authentifikation

Viele Anbieter bieten mittlerweile eine Identifizierung durch zwei Stufen an (engl. Two Factor Authentication, kurz 2FA). Die zweite Authentifikation erfolgt meist durch ein Gerät, ein SMS Code oder eine App. Im Idealfall handelt es sich um ein TOTP (Time-based One-time Password) Code den man mit einer beliebigen Open Source 2FA App einrichten kann.

Der entsprechende Anbieter des TOTP bietet einem in der Regel einen QR-Code an. Wir empfehlen einen Screenshot von dem QR-Code und den oft verwendeten Recovery Keys zu machen und diese sicher in einem Passwortmanager oder verschlüsseltem Archiv abzuspeichern die vom normalen Passwortmanager getrennt sind. Zum Beispiel eine KeePass Datei die alleine für 2FA Codes erstellt wurde. Wenn alles sicher verstaut ist, kann der QR-Code mit der 2FA App gescannt werden. Nun wird beim nächsten Login der sich nach kurzer Zeit ändernde Code abgefragt und das Login besteht nun aus einem weiteren Faktor. Etwas das wir wissen, das Passwort und etwas das wir haben, unser Smartphone. Ein dritter Faktor wäre etwas das wir sind - Fingerabdruck und Gesichtserkennung gehören dazu. Diese Art der Identifizierung sollte nicht als einziger Faktor benutzt werden, da sie oft ausgetrickst werden kann und der Benutzer einfach gezwungen werden kann etwa sein Smartphone per Fingerabdruck zu öffnen.

Im F-Droid Store gibt es verschiedene Open Source Apps für 2FA wie zum Beispiel Aegis.

Eine Liste von Diensten die Zwei-Faktor-Authentifikation unterstützen.

Erhöhte Sicherheit

Catch-All

Eine Catch-All ist im E-Mail-Jargon eine Adresse, die alle E-Mails abfängt die an eine nicht existierende Adresse einer Domain gehen. Also wenn wir eine Domain haben rhesusaeffchen.de haben wir uns einmal info@rhesusaeffchen.de eingerichtet und einmal eine Catch-All all@rhesusaeffchen.de (wird verschieden dargestellt). Wenn uns jemand an die info Adresse schreibt, landet die Nachricht auch dort, allesandere@rhesusaeffchen.de aber landet in der Catch-All Adresse. Damit können wir bei jedem Login eine eigene Adresse wählen. Zum Beispiel also landet paypal@rhesusaeffchen.de im genau gleichen Postfach wie horstswurstwaren@rhesusaeffchen.de. Wir empfehlen der Durchschaubarkeit halber nicht servicename@rhesusaeffchen.de zu wählen, sondern etwas Zufälliges wie uh7hnas54@rhesusaeffchen.de und diesen Benutzernamen dann im Passwortmanager unter dem Account abzuspeichern.

Wer keine eigene Domain hat, kann je nach Anbieter etwas Ähnliches umsetzen. Bei gmail zum Beispiel kann ein + vor die eigentliche Adresse eingesetzt werden. Also aus kronkorken@gmail.com wird paypal+kronkorken@gmail.com oder einhorn+kronkorken@gmail.com und alles landet in der gleichen Inbox.

Der Vorteil dieser einmaligen Adresse pro Service ist, dass ein Angreifer der ein Login hat, es nicht bei einem anderen Login ausprobieren kann. Weiter hat es den Nebeneffekt, dass wir wissen wer unsere Daten verkauft hat oder ein Datenleck hat, sobald wir Spam auf eine Adresse erhalten. Infizierte Adressen können gesperrt werden, was weniger Spam in der Inbox bedeutet.

Präfix

Wir definieren eine Zeichenfolge die wir jedem Passwort voranstellen und nie im Passwortmanager abspeichern, den Präfix. Das Passwort das wir bei der Registrierung eines Services eingeben ist Präfix + generiertes Passwort.

Als Beispiel, unser konstante Präfix ist 13$tH. Wir registrieren uns bei zwei Online-Accounts und generieren die Passwörter l0$Gb5Acy81PfRvHaYb7 und P5fVa&vy$q91JbyZ5%OlkNbG. Die generierten Passwörter werden im Passwortmanager zusammen mit den Benutzernamen abgespeichert. Wir fügen die entsprechenden Passwörter bei der Registrierungsmaske ein und fügen zusätzlich unser Präfix ein. Wir erhalten 13$tHl0$Gb5Acy81PfRvHaYb7 und 13$tHP5fVa&vy$q91JbyZ5%OlkNbG. Beim Einloggen füllen wir durch den Passwortmanager die uns unbekannte Zeichenfolge ein und fügen anschließend den uns bekannten Präfix ein.

Somit schützen wir uns durch einen weiteren Faktor (etwas das wir wissen) falls jemand Zugriff auf unseren Passwortmanager erlangen sollte, wenn wir uns zum Beispiel vergessen haben auszuloggen. Der Angreifer hat unvollständige Passwörter und muss zuerst wissen, dass wir diese unübliche Strategie nutzen und dann mindestens zwei komplette Passwörter erhalten und diese vergleichen.

Zusammenfassung

Wir hoffen auf eine passwortfreie Zukunft. Wie diese aussehen könnte, zeigt uns etwa SQRL. Bevor es eine massentaugliche Lösung gibt, muss jedoch ein Kompromiss aus Benutzerfreundlichkeit und Sicherheit her.

Um unsere Accounts besser zu schützen, gilt es lange, komplexe und einmalige Passwörter zu wählen, wenn möglich die Zwei-Faktor-Authentifikation einzuschalten und als Bonus kann die oben erwähnte Catch-All Strategie umgesetzt werden.

Ein Passwortmanager bildet ein plus an Benutzerfreundlichkeit und auch an Sicherheit, aber bietet einen Single Point of Failure - wenn jemand drin ist, hat er eine fein säuberliche Liste mit all unseren Accounts und Passwörtern. Um den Passwortmanager selbst zu schützen, benötigt es ein sehr starkes Passwort und Zwei-Faktor-Authentifikation. Weiter sollten von den Sicherheitseinstellungen im Passwortmanager Gebrauch gemacht werden wie die automatische Abmeldung des Managers nach einer gewissen Zeit. Als Bonus kann die oben erwähnte Präfix Strategie eingesetzt werden.

Originalartikel