Navigation überspringen

Mitteilung

Passwort in Gefahr

Die Zahl der in Deutschland Beschäftigten, die bei ihrer Arbeit regelmäßig einen Computer verwenden, steigt seit Jahren. Nach Erhebungen der europäischen Statistikbehörde Eurostat nutzten zuletzt 61 Prozent aller Beschäftigten dieses inzwischen wohl wichtigste Arbeitsmittel. Mit den in Unternehmen und Behörden oft bereits vorgegebenen Benutzernamen und einem individuellen Passwort authentifizieren sich die Nutzer und erhalten Zugriff auf informationsverarbeitende Systeme und die auf ihnen gespeicherten Daten. Deshalb ist die Wahl eines sicheren Passwortes so wichtig. Dieser Beitrag zeigt Ihnen, wo Gefahren drohen und wie Sie sichere und dennoch einprägsame Kennwörter erstellen.

Passwörter dienen der eindeutigen Authentifizierung des Nutzers und haben ihren Ursprung in der militärischen Parole. Für die Anmeldung am Computer und die Verschlüsselung von Daten werden in der Regel Kennwörter verwendet, die aus Buchstaben, Zahlen und Sonderzeichen bestehen. Persönliche Identifikationsnummern (PIN) werden ausschließlich aus Zahlen gebildet. Sie kommen zum Beispiel als Zugangsschutz bei der EC-Karte und dem neuen Personalausweis zum Einsatz. Ein höheres Schutzniveau bieten Einmalkennwörter wie die Transaktionsnummern (TAN) beim Online-Banking. Letztere werden entweder anlassbezogen generiert oder vorab auf Listen beim Nutzer hinterlegt.

Natürlich sind Passwörter nur so lange sicher, wie sie kein Unberechtigter kennt. Potenzielle Gefahren drohen gleich von mehreren Seiten: Sowohl das Vertrauen und die Hilfsbereitschaft als auch der Respekt vor Autorität werden als menschliche Eigenschaften immer wieder ausgenutzt, um Nutzer - zum Beispiel per Telefon oder E-Mail - zur Preisgabe ihrer Passwörter zu veranlassen. Diese Methode wird als „Social Engineering" bezeichnet und kann auch auf einen späteren Erkenntnisgewinn ausgerichtet sein. Außerdem ist die Vielzahl von Passwörtern für viele nur schwer zu merken. Daher werden sie notiert und an den unmöglichsten Stellen aufbewahrt. Auch können organisatorische Mängel bei Stellvertreterregelungen zur Weitergabe dieser sensiblen Information führen.

Faktoren, auf die der Nutzer keinen Einfluss hat, spielen gleichfalls eine gewichtige Rolle: Konfigurationsfehler in komplexen IT-Infrastrukturen zählen ebenso dazu wie Implementierungsfehler bei der Anwendungsprogrammierung oder inzwischen überwundene Verschlüsselungsalgorithmen. Getreu dem Mooreschen Gesetz, nach dem sich die Prozessorleistung etwa alle 18 bis 24 Monate verdoppelt, ist die aktuelle Rechnergeneration leistungsfähig genug, um aus Milliarden von Passwortkombinationen in immer kürzer werden den Zeiträumen durch einfaches Durchprobieren das gültige Passwort zu errechnen. Dabei werden, in der Regel nach Vorgabe des erwarteten Zeichenvorrats sowie der maximal erwarteten Kennwortlänge, nacheinander die Hashwerte[1] aller möglichen Passwörter berechnet und mit denen des Angriffsziels verglichen. Leistungsfähige Software ermöglicht bei dieser als „Brute-Force-Methode" bezeichneten Herangehensweise die Parallelisierung von Angriffen durch Verteilung auf mehrere Prozessoren. Insbesondere die Einbindung der hohen Rechenleistung aktueller Grafikkarten kann diese Berechnungen zusätzlich bis zum Faktor 50 beschleunigen. Die enorme Rechenleistung, die vor einer Dekade ausschließlich Supercomputern vorbehalten war, bringt heute jeder Spielecomputer mit. Unter bestimmten Umständen, bei herkömmlichen Hashwerten, ist eine nochmalige Beschleunigung des Brute-Forcen durch die Verwendung von in Teilen bereits vorberechneten Hashwerttabellen möglich. Letztere können mehrere Gigabyte umfassen und werden als „Rainbow Tables" bezeichnet. Ein achtstelliges, aus Zahlen, Sonderzeichen sowie Klein- und Großbuchstaben gebildetes Passwort ist mit dieser Technik in durchschnittlich 15 Minuten Geschichte. Die mit sehr hohem Zeitaufwand einmalig zu berechnende „Rainbow Table" wäre in diesem Fall rund 600 GB groß und kann selbstverständlich immer wieder verwendet werden.

Ein weiteres Risiko sind sogenannte Trivialpasswörter. Sie lassen sich aus dem Umfeld des Nutzers ableiten oder finden sich in Wörterbüchern. Falls nicht ohnehin durch die Passwortrichtlinien der IT-Abteilung unterbunden, verbieten sich Passwörter wie „123456" oder „qwertz" ebenso wie Eigennamen und Geburtstage. Wenig Schwierigkeiten haben hybride Passwortcracker, die mehrere unterschiedliche Angriffsmethoden beherrschen, mit einfachen Kombinationen wie „BrotMauer" oder „Stuttgart2010". Letztere setzen sich lediglich aus Worten, Wortkombinationen oder Worten und Zahlen zusammen Bei einem Sprachumfang von 135.000 Wörtern und der Eingrenzbarkeit von Jahrgängen sind die Kombinationsmöglichkeiten schnell getestet[2]. Angriffe wie das Brute-Forcen setzen in der Regel den unmittelbaren Zugriff auf den Hash oder die verschlüsselte Datei voraus, um administrative und technische Gegenmaßnahmen wie die Begrenzung der ungültigen Anmeldungen zu umgehen. Durch die Ausnutzung von Softwarefehlern oder durch physischen Zugriff sind kompetente Angreifer in der Lage, Sicherheitsmechanismen des Betriebssystems auszuhebeln. Spätestens beim Vorliegen einer mittels Kennwort geschützten Datei - beispielsweise PDF oder Word - liegt zwischen dem vertraulichen Inhalt und dem Angreifer nur noch das Passwort. Des Weiteren werden noch viel zu häufig die gleichen Passwörter für verschiedene Authentifizierungen benutzt. Erlangt ein Angreifer - wie auch immer - das Passwort eines Dienstes, sollte sichergestellt sein, dass damit keine anderen Dienste kompromittiert werden können.

Sichere und gleichzeitig einprägsame Passwörter werden am einfachsten über Passwortformeln generiert. Aus der Praxis empfehlen sich zweiteilige Lösungen, die aus einem immer gleichen und komplexen Basisteil sowie einem veränderlichen dienstebezogenen Zusatzteil bestehen. So sind Passwörter wie „mobil2Mrnua,suzr." ebenso sicher wie leicht zu merken. Denn hier wurde mobil2 (Dienstteil) mit den Anfangsbuchstaben und Satzzeichen des Goethe-Zitates „Man reist nicht um anzukommen, sondern um zu reisen." (Basisteil) verbunden. Der E-Mail-Account lässt sich unter Beibehaltung des Basisteils und dem Dienstteil mail2 mit dem Passwort „mail2Mrnua,suzr." absichern. Diese Beispiele sind aufgrund ihrer Länge und Komplexität nicht mit vertretbarem Aufwand durch Brute-Force-Methoden zu überwinden. Nutzer-Passwörter sind folglich weniger gefährdet, wenn sie möglichst komplex und mindestens acht, besser doppelt so viele Zeichen lang sind. Idealerweise werden in jedem Fall kleine und große Buchstaben, Zahlen und Sonderzeichen verwendet. Diese Passwörter sollten für andere keinen Sinn ergeben, sich in keinem Wörterbuch finden lassen und natürlich auch keinerlei persönlichen Bezug wie etwa den Eigennamen oder den Geburtstag enthalten. Durch den regelmäßigen Wechsel von Passwörtern und den sorgsamen Umgang mit ihnen lässt sich die Gefährdung noch weiter verringern.

[1] Hashwerte sind Prüfsummen fester Länge, bei der mittels mathematischer Algorithmen Inhalte variabler Länge verschlüsselt werden. Aus einem Hashwert lässt sich der Inhalt nicht rekonstruieren. Zu jedem Inhalt gibt es unter Verwendung eines Algorithmus nur einen möglichen Hashwert.

[2] „BrotMauer": 1350002 = 1 aus 18225 Millionen Kombinationsmöglichkeiten. „Stuttgart2010": 135000x (2010-1910) = 1 aus 13.5 Millionen Kombinationsmöglichkeiten.