Passwörter - Theorie und Praxis
Mögliche Fallstricke
Im Folgenden werden einige Beispiele für mögliche Fallstricke aufgezählt, durch die man schnell wieder die Sicherheit eines eigentlich starken Passwortes gefährden kann. Die Aufzählung ist beispielhaft und erhebt keinen Anspruch auf Vollständigkeit.
Überall dasselbe Passwort
Verwendet man dasselbe Passwort mehrfach für unterschiedliche Dienste im Internet, so kann eine Angreifer, der dieses Passwort bei einem dieser Dienste erbeutet, sofort auch auf alle anderen zugreifen. Insbesondere hat man als Benutzer keinerlei Kontrolle darüber, ob ein Diensteanbieter mit den Passwörtern seiner Kunden auch tatsächlich verantwortlich umgeht und die Passwörter beispielsweise ausschließlich verschlüsselt speichert. In der Vergangenheit ist es leider recht häufig vorgekommen, dass Einbrecher in Computersysteme völlig unverschlüsselte Dateien oder Datenbanken mit den Passwörtern einer erschreckend großen Anzahl an Benutzern erbeutet haben. Aus Angst vor Reputationsverlust verschweigen Diensteanbieter solche Einbrüche oft über lange Zeit, so dass die Nutzer des Dienstes nicht einmal bemerken, dass ihr Passwort schon längst kompromittiert worden ist. Hinzu kommt, dass ein verantwortungsvoller und sicherheitsbewusster Umgang mit den Kundenpasswörtern oft sehr viel aufwendiger und kostenintensiver für den Diensteanbieter ist als eine einfache unverschlüsselte Speicherung. Daher sollte man unbedingt für alle Dienste im Internet unterschiedliche Passwörter verwenden. Zur effizienten Verwaltung der Passwörter kann man, wie oben beschrieben, ein Passwortspeicher-Programm einsetzten.Die Sicherheitsfrage kann schnell wieder alles kaputt machen
Bei vielen Diensten im Internet kann man beim Einrichten eine Antwort auf eine sogenannte Sicherheitsfrage angeben, mit deren Hilfe man später ein vergessenes Passwort wieder zurücksetzen kann. Als Sicherheitsfrage wird dann oft zum Beispiel nach dem Mädchenname der eigenen Mutter oder nach dem Namen des ersten Haustieres gefragt. Da solche Antworten aber relativ leicht zu erraten sind, wird die Sicherheit des eigentlichen Passwortes durch solche Sicherheitsfragen schnell ad absurdum geführt. Ein möglicher Ausweg ist es, als Antwort auf die Sicherheitsfrage einfach auch wieder eine starke Zufallspassphrase hinreichender Länge zu verwenden. Diese Sicherheits-Passphrase kann man dann getrennt von dem eigentlichen Passort wiederum in einem Passwortspeicher oder auch ausgedruckt an einem sicheren Ort verwahren.Testen von Passwörtern im Internet
Im Internet findet man oft kostenlose Seiten, auf denen man angeblich die Sicherheit von Passwörtern testen kann. Dazu soll man das Passwort auf der Seite eintippen, worauf dann meist eine Zeit berechnet wird, die angeben soll, wie lange Brute-Force-Angriff auf das Passwort dauern würde. Diese Zeit hängt dann oft lediglich von der Stellenzahl des eingegebenen Passwortes ab, so dass es völlig ausreichen würde, statt nach dem Passwort lediglich nach dessen Stellenzahl zu fragen. Da man als Nutzer keinerlei Kontrolle darüber hat, ob der Anbieter einer solchen Seiten nicht vielleicht doch die eingegebenen Passwörter speichert, um sie in Rainbowtables zu verwenden oder um sie weiterzuverkaufen, sollte man kritisch hinterfragen, ob es tatsächlich sinnvoll ist, seine Passwörter solchen Seiten anzuvertrauen. Insbesondere sollte man auch kritisch hinterfragen, wie der Seitenbetreiber sein Angebot wohl finanziert und warum er es kostenlos im Internet anbietet.Auswahl eines Passwortspeicher-Programms
Da in Passwortspeicher-Programmen besonders sensible Daten abgelegt werden, sollte man sorgfältig auswählen, welches Programm man dazu verwendet. Da bei proprietären Programmen der Quelltext in der Regel nicht veröffentlicht wird, ist hier das Kerckhoffs'sche Prinzip meist verletzt, sodass es keinerlei Möglichkeit gibt, die Vertrauenswürdigkeit solcher proprietärer Programme zu prüfen. Bei freier Software gibt es zwar eine solche Überprüfungsmöglichkeit. Allerdings ist dies alleine noch keine Garantie dafür, dass auch tatsächlich jemand diese Möglichkeit wahrgenommen und die Software ausgiebig getestet oder sogar vollständig auditiert hat. Eine gute Möglichkeit sich zu informieren, welche Programme in der IT-Security-Community als vertrauenswürdig gelten, bietet das Kuketz-IT-Security Blog.Internetbrowser bieten in der Regel auch die Möglichkeit, Passwörter verschlüsselt zu speichern. Allerdings sind Browser relativ komplexe und sehr vielseitige Programme, so dass sie im Vergleich zu einem auf Sicherheit optimierten Passwortspeicher-Programm auch fehleranfälliger sind. Hinzu kommt, dass Internet-Browser bei Angriffen aus dem Internet anders als externe Passwortspeicher auch oft das erste und damit einfachste Angriffsziel darstellen. Daher sollte man zumindest für wertvolle Passwörter tendenziell eher einen externen Passwortspeicher bevorzugen.
IOT (Internet of Things)
Ebenso wie im Internet sollte man auch zu Hause für verschiedene Dienste und Geräte stets unterschiedliche Passwörter verwenden. Besonders gefährdet für Angriffe sind billig hergestellte IOT-Geräte, da die Hersteller aus Kostengründen nach dem Verkauf teilweise nur mit großer zeitlicher Verzögerung oder sogar überhaupt keine Updatemöglichkeiten bei auftretenden Sicherheitslücken anbieten.Fingerabdruck-Scanner
Auch durch die Verwendung eines Fingerabdruckscanners als alternative Authentifizierungsmöglichkeit kann man leicht die Sicherheit eines starken Passwortes wieder gefährden. Denn im Gegensatz zu Passwörtern lassen sich Fingerabdrücke kaum geheim halten und das Wechseln eines Fingerabdrucks bei Verdacht auf Missbrauch ist sogar überhaupt nicht möglich. Hinzu kommt, dass gerade die zu schützenden Geräte meist übersät sind von Fingerabdrücken, die eine potentieller Angreifer nutzen kann, um sich unbefugten Zugang zu verschaffen. Es sind Fälle bekannt, bei denen es Angreifern gelungen ist, Fingerabdruckscanner zu kompromittieren, indem sie einfach einen auf Folie ausgedruckten Fingerabdruck oder einen 3D-Druck eines Fingerabdrucks verwendet haben.Online-Banking
Um zusätzliche Sicherheit zu gewinnen, werden beim Online-Banking sogenannte TANs (Transaction Numbers) verwendet. Dabei werden verschiedene Verfahren unterschieden.
PIN-TAN-Verfahren
Der Benutzer erhält eine Papierliste mit TANs, die er bei Bedarf eingeben kann. Da bei diesem Verfahren sowohl PIN (Personal Identification Number) als auch TAN in den Browser eingegeben werden, ist bei einem Man-in-the-Browser-Angriff gleich auch das PIN-TAN-Verfahren mit betroffen. Das PIN-TAN-Verfahren gilt daher allgemein als relativ unsicher, so dass es viele Banken heute nicht mehr verwenden.
Mobile-TAN-Verfahren:
Die Benutzerin erhält bei Bedarf eine TAN auf ihr Mobiltelefon gesendet. Diese TAN tippt sie dann in den Browser mit ihrer Online-Banking-Sitzung ein. Hierbei sollte man darauf achten, unterschiedliche Geräte für das Online-Banking und den TAN-Empfang zu verwenden, da man ansonsten schnell die zunächst gewonnene zusätzliche Sicherheit wieder gefährdet, da ein Angreifer dann doch wieder nur ein Gerät kompromittieren müsste. Auch ist zu bedenken, dass sich ein Mobiltelefon nur schwer so einrichten lässt, dass es hohen Sicherheitsanforderungen genügt.
Chip-TAN-Verfahren
Die TAN wird mit einem externen Gerät, dem sogenannten TAN-Generator, erzeugt, in das man die EC-Karte einsteckt. Die Überweisungsdaten werden mittels eines sogenannten Flickercodes über den Bildschirm auf den TAN-Generator übertragen. Die generierte TAN ist dann ausschließlich für die eingegebenen IBAN und den eingegebenen Betrag gültig. Zur Sicherheit werden IBAN und Betrag noch einmal auf dem externen Gerät angezeigt und sollten von dort (und nicht von der Anzeige des Browsers!) noch einmal kontrolliert werden.
Dieses Verfahren gilt allgemein als relativ sicher, da der externe TAN-Generator keine Verbindung zum Internet aufbaut, so dass sich ein potentieller Angreifer physikalischen Zugang zu dem Gerät und zu der EC-Karte verschaffen müsste.