Ein todsicheres Passwort – Gibt es das?

Ein Interview anlässlich des WorldPasswordDays 2017

Tatsache ist: Absolute Sicherheit gibt es nicht und allein mit der Vergabe eines vermeintlich sicheren Passwortes ist es heute längst nicht mehr getan. Jedoch können Sie verschiedene Vorkehrungen treffen, um Ihre persönliche E-Mail-Kommunikation sowie Ihre Daten bestmöglich zu schützen.

Darüber, was ein sicheres Passwort sein könnte und was Sie außerdem für die Sicherheit Ihrer Daten tun können, haben wir mit unserem Sicherheits- und Kryptographie-Experten Karsten Ness gesprochen.

Karsten, was sind die Anforderungen zur Passwortvergabe bei mailbox.org und was ist aus deiner Sicht ein gutes Passwort?

Für die Anlage eines mailbox.org-Accounts gibt es bei der Vergabe des Passwortes bereits einige gute Mindestanforderungen. So muss dieses mindestens sechs Zeichen lang sein, darf nicht in einem Wörterbuch stehen und soll Groß- und Kleinbuchstaben sowie Zahlen enthalten. Dies prüfen die Systeme hinter mailbox.org bei der Vergabe eines neuen Passwortes ab. Das sind aber – wie schon erwähnt – „nur“ die Mindestanforderungen an ein halbwegs gutes Passwort. Ich würde jedem Nutzer die Verwendung von mindestens 12 Zeichen empfehlen und zusätzlich zu den bereits erwähnten Zeichen auch Sonderzeichen in das Passwort einbauen. Wenn man das berücksichtigt, hat man zumindest schon mal eine Basis für ein gutes Passwort und macht es potentiellen Angreifern deutlich schwerer, das gewählte Passwort herauszufinden.

An der Stelle sei noch erwähnt, dass es auch kritische Stimmen zu Vorgaben für Passwörter gibt. Einzelne Untersuchungen legen nahe, dass durch zu viele Vorgaben am Ende schlechtere Passwörter gewählt werden, als wenn die Nutzer freie Hand behalten würden. Jedoch sind wir aufgrund unserer Erfahrung mit der breiten Masse normaler Alltagsanwender zu dem Schluss gekommen, dass unsere Vorgaben bei mailbox.org die Sicherheit erhöhen und nicht etwa senken.

Glaubt man den Quellen im Internet, verwendet jeder User im Durchschnitt bis zu neun verschiedene Passwörter. Wie soll sich ein Einzelner so viele verschiedene und vor allem sichere Passwörter merken?

Sicherheitsexperten sind sich darüber einig, dass man auf keinen Fall das gleiche Passwort für mehrere Accounts verwenden sollte. Uneinigkeit besteht aber darüber, wie man mehrere, komplexe Passwörter sinnvoll verwaltet. Nachfolgend daher zwei Vorschläge:

Verwendung eines Passwortschemas
Einige Sicherheitsexperten empfehlen, ein leicht merkbares Passwortschema zu verwenden. Dabei besteht das Passwort aus einem leicht merkbaren, festen Teil, welcher für alle Accounts identisch ist sowie einem variablen Teil, den man sich individuell für jeden Account einfach herleiten kann.

Zur Erläuterung ein einfaches Beispiel:
Der feste Teil des Passwort sei „DPkimlm.“ („Das-Passwort-kann-ich-mir-leicht-merken.“)
Für den variablen Teil könnte man einfach die ersten vier Buchstaben des Dienstes in eckige Klammern setzen. Damit würden sich dann beispielsweise die folgenden Passwörter ergeben:

  • DPkimlm.[MAIL]  (für mailbox.org)
  • Dpkimlm.[FACE]  (für Facebook)
  • Dpkimlm.[HEIS]  (für Heise.de, ein IT-Portal)

Dieses System hat den Vorteil, dass man Passwörter nicht zwingend speichern muss.

Verwendung eines Passwortmanagers
Man kann einen Passwortmanager nutzen. Der Vorteil hierbei ist, dass man ein einziges Master-Passwort für ein Tool vergibt, in welchem alle anderen verwendeten Kennwörter und Geheimzahlen verschlüsselt gespeichert und darüber hinaus auch verwaltet werden können.

Moderne Browser wie Firefox oder Chrome und E-Mail-Clients wie Thunderbird enthalten bereits eine solche Möglichkeit der Passwortverwaltung. Standardmäßig werden die Passwörter unverschlüsselt in einer Datenbank auf dem lokalen Rechner gespeichert. Erst wenn man ein Master-Passwort für den Zugriff auf Passwörter in den Einstellungen aktiviert, werden diese Daten verschlüsselt gespeichert.

Ich halte es für sehr wichtig, das Master-Passwort zu aktivieren, da seit 2012 immer wieder Viren nachgewiesen werden, die speziell darauf abzielen, die Passwortdatenbanken der Browser zu stehlen.

 

Kannst du uneingeschränkt alle Tools zum Verwalten von Passwörtern empfehlen?

Das kann ich leider nicht. Programme wie zum Beispiel der Instant-Messaging Client Pidgin bieten zwar eine Passwortverwaltung an, aber keine Möglichkeit, die Passwörter mit einem Master-Passwort zu sichern und verschlüsselt zu speichern. Von der Nutzung von Passwortmanagern, die Passwörter unverschlüsselt speichern, rate ich daher dringend ab. Als Alternative kann man für diese Passwörter einen Stand-alone-Passwortmanager wie zum Beispiel KeePass (Windows) beziehungsweise KeePassX (Linux) nutzen.

Was kannst du außerdem empfehlen, damit persönliche Daten besser geschützt sind?

Ein wesentlicher Risikofaktor ist das eigene Verhalten bei der Nutzung des Passwortes. Es hilft nichts, wenn man auf der einen Seite eine gute Passphrase gewählt hat und sich dann damit an einem potentiell unsicheren Computer wie zum Beispiel in einem Internet-Cafe in seinen Account einloggt. Die Software auf solchen Geräten ist in der Regel nicht auf dem neuesten Stand und man sollte davon ausgehen, dass der PC mit Viren infiziert sein könnte.

Außerdem sind Phishing-Attacken nach wie vor eine sehr beliebte Angriffsvariante. Die inzwischen täuschend perfekt gestalteten Fake-E-Mails sowie  echt aussehenden Fake-Webseiten machen es zunehmend schwerer zu erkennen, ob man eine Fälschung vor sich hat oder nicht. Fortwährendes Misstrauen ist hier erste Bürgerpflicht!

Hast du ein paar ganz konkrete Tipps parat?

Ich empfehle die regelmäßige und idealerweise konsequente Beachtung von einigen Verhaltensweisen, womit man den Schutz der eigenen Daten bereits deutlich verbessern kann:

  • Verwenden Sie Username/Passwort Kombinationen NIE an potentiell unsicheren Computern!
    Tipp: Sollte das einmal unvermeidlich sein, greifen Sie in so einem Fall besser auf die 2-Faktor-Authentifizierung zurück. Dazu später mehr.
  • Speichern Sie Passwörter NIE irgendwo unverschlüsselt und schreiben Sie Passwörter NIE auf irgendwelche Zettel.
    Tipp: Nutzen Sie Passwortmanager mit verschlüsselter Speicherung oder ein gut merkbares Passwortsystem.
  • Klicken Sie nicht auf Links oder Buttons in irgendwelchen E-Mails, die Sie zu einem Login in Ihrem Account überreden wollen (Phishing-Gefahr!).
    Tipp: Rufen Sie die Login Seiten für alle Ihre Accounts am besten immer über ein von Ihnen gesetztes Lesezeichen im Browser auf oder geben Sie die URL vollständig und per Hand in der Adresszeile ein.
  • Achten Sie immer auf eine sichere SSL-Verschlüsselung beim Aufruf von allen Webseiten, in die Sie sich einloggen wollen.
    Tipp: Eine sichere Verbindung erkennen Sie daran, dass nach Eingabe der Internetadresse ein grünes Schloss angezeigt wird und die Internetverbindung über „https“ läuft.
  • Seien Sie außerdem aufmerksam bei der Konfiguration der Funktion „Passwort Reset“. Ein super sicheres Passwort hilft Ihnen nichts, wenn Sie als Passwort Reset Funktion die „Beantwortung einer Sicherheitsfrage“ ausgewählt haben, deren Antwort man leicht mit Suchmaschinen findet.
    Tipp: Besser ist, Sie hinterlegen eine alternative E-Mail-Adresse, eine Telefonnummer oder eine Postanschrift.

Du erwähntest die „2-Faktor-Authentifizierung“. Was versteht man darunter?

Wie der Name schon sagt, reicht bei der 2-Faktor-Authentifizierung (abgekürzt auch 2FA genannt) ein einfaches Passwort nicht aus. Man muss die Identität mit zwei sogenannten „Faktoren“ nachweisen. Das Verfahren ist aus der Verwendung von Bank- oder Kreditkarten sicher jedem Nutzer bekannt. Dabei benötigt man eine 4-stellige PIN (Erster Faktor: „Wissen“) und eine kleine Checkkarte (Zweiter Faktor: „Besitz“), um sich zum Beispiel am Bankautomaten für den Zugriff auf ein Konto zu authentifizieren und um letztendlich Bargeld abheben zu können.

Wir bieten die Möglichkeit der 2FA für den Login auf der Webseite von mailbox.org mit sogenannten One-Time-Passwörtern (OTP) an. One-Time-Passwörter sind einmalig verwendbare Passwörter, bestehend aus Zahlen, Sonderzeichen und Buchstaben. Ähnlich wie bei  Bank- oder Kreditkarten müssen Sie zum einen mit einer PIN ein „Wissen“ nachweisen, dass nur Ihnen bekannt sein sollte und zum anderen den „Besitz“ eines kleines Generators, der ein One-Time-Passwort erstellt. Diese beiden Faktoren ersetzen zusammen das Passwort für den Login in Ihren Account.

Und diese Vorgehensweise ist vor externen Angriffen geschützt?

Im Prinzip schon. Denn wenn ein Angreifer die Kombination aus Ihrer PIN und dem One-Time-Passwort abfängt – zum Beispiel mit einem Keylogger in einem Internet-Cafe – dann ist es für den Angreifer wertlos. Ohne den „Besitz“ des  Generators kann er keine neuen One-Time-Passwörter generieren.

 

Wie sieht so ein Generator aus?

In der Regel handelt es sich hierbei um USB-Sticks, auf denen ein Sicherheitsschlüssel – der Token – hinterlegt ist, weshalb diese Generatoren für die Erstellung von One-Time-Passwörtern im Zusammenhang mit der 2FA auch als „Tokengeneratoren“ oder „USB-Token“ bezeichnet werden.  Aufgrund der enorm hohen Sicherheit durch ein externes Zusatzgerät nennen wir diese Form in Fachkreisen auch „Hartes OTP“

YubiKey 4 der Firma YUBICO
YubiKey 4 der Firma YUBICO
YubiKey 4 der Firma YUBICO
YubiKey 4 der Firma YUBICO

Wo bekommt man einen USB-Token und kannst du einen bestimmten empfehlen?

Anbieter für solche Hardware wie den USB-Token gibt es verschiedene auf dem Markt. Wir bei mailbox.org empfehlen die Verwendung des Yubikeys oder die Sticks von Nitrokey.

Übrigens: Ausführlich beschreiben wir die Nutzung und Anwendung der Zwei-Faktor-Authentifizierung bei mailbox.org in unserer Wissensdatenbank.

 

Und wenn man nicht permanent ein Zusatzgerät mit sich herumschleppen will?

In dem Fall kann man alternativ auch eine Software / Applikation für One-Time-Passwörter auf dem Smartphone nutzen. Und auch wenn die Nutzung dieser Form der Zwei-Faktor-Authentifizierung mit einer Smartphone-App als die eher „weiche Variante“ gilt: Wenn das Endgerät die Möglichkeit bietet, sollte man diese auch verwenden!

Übrigens: Die Implementierung von dem kryptographischen Verfahren FIDO U2F (Universeller zweiter Faktor) als neues, moderneres Verfahren der 2-Faktor-Athentifizierung ist bei uns in Arbeit. Die Handhabung ist am Ende die Gleiche, jedoch gibt es dieses Verfahren erst einmal nur als Stick und nicht als Smartphone-App.

Was ist mit dem Faktor „Biometrische Daten“, wie zum Beispiel einem Fingerabdruck?

Bio-Merkmale wie zum Beispiel der Fingerabdruck, ein Iris-Scanner oder die menschliche Stimme werden von Security-Experten schon lange nicht mehr als Faktor für die Authentifizierung empfohlen, da diese nicht veränderbar sind, wenn sie durch einen Angreifer kompromittiert wurden.

Bei der Einführung dieses Sicherheitsaspektes ist man davon ausgegangen, dass es sich hierbei um Daten handelt, die nur die Person einsetzen kann, der diese Daten auch wirklich gehören. Inzwischen weiß man aber, dass sich ein Fingerabdruck oder die Iris des Auges nachbauen lassen und man sich so Zugang zu den vermeintlich sicher geschützten Daten verschaffen kann.

 

Kannst du uns abschließend noch einige Beispiele nennen, bei denen ein falscher Umgang mit Passwörtern fatale Auswirkungen hatte?

Gern. Spontan fallen mir da folgende Beispiele ein:

„Sarah-Palin-Hack“ aus dem Jahr 2008

Der private E-Mail Account von Sahra Palin bei Yahoo! wurde über die Passwort Reset Funktion kompromittiert, weil die nötigen Antworten für die Sicherheitsfragen einfach per Suchmaschine gefunden werden konnten. S. Palin war damals Kandidatin für das Amt des US-Vizepräsidenten.

„HBGary-Hack“ aus dem Jahr 2011

Die Computer der US-Sicherheitsfirma HBGary konnten unter anderem deshalb von Hackern übernommen werden, weil die Mitarbeiter die gleichen Passwörter für viele Accounts verwendeten. Nachdem durch Fehler in der Webseite der Firma einzelne Passwörter kompromittiert wurden, konnten die Hacker mit diesen Passwörtern die E-Mail Konten übernehmen und 600.000 E-Mails der Firma bei Wikileaks veröffentlichen.

„TV5Monde-Hack“ aus dem Jahr 2015

Ein Zettel mit dem  Passwort eines Mitarbeiters für den Zugang zu den Servern des französischen Senders TV5 Monde klebte am Computer und war während einer Sendung im Fernsehen zu sehen (ein leichtes Spiel für die Angreifer).

„John-Podesta-Leak“ aus dem Jahr 2016

John Podesta (Wahkampfleiter der Demokratischen Partei der USA) klickte im März 2016 zweimal auf einen Link in einer Phishing Mail. Damit wurde sein Gmail Account kompromittiert und seine E-Mails wurden von Wikileaks veröffentlicht und hatten erheblichen Einfluss auf den US-Wahlkampf.

Wie man sieht, können bereits kleine und vermeintlich nebensächliche Ursachen eine ganz fatale Auswirkung haben. Daher nehmen Sie sich Zeit bei der Wahl eines Passwortes und damit dem Schutz Ihrer persönlichen Daten. Es lohnt sich.

Herzlichen Dank an Karsten für deine Tipps!

PS: Sie möchten gern wissen, ob Ihr Passwort oder andere persönliche Daten schon einmal gehackt wurden?

Dann nutzen Sie den Leak-Checker des Hasso-Plattner-Institutes. Hier können Sie prüfen, ob sensible Daten im Zusammenhang mit ihrem E-Mail-Account abgegriffen wurden: https://sec.hpi.uni-potsdam.de/leak-checker/search?lang=de