Passwörter - Theorie und Praxis
Mögliche Fallstricke
Im Folgenden werden einige Beispiele für mögliche Fallstricke aufgezählt, durch die man schnell wieder die Sicherheit eines eigentlich starken Passwortes gefährden kann. Die Aufzählung ist beispielhaft und erhebt keinen Anspruch auf Vollständigkeit.
Überall dasselbe Passwort:
Verwendet man dasselbe Passwort mehrfach für unterschiedliche Dienste im Internet, so kann eine Angreifer, der dieses Passwort bei einem dieser Dienste erbeutet, sofort auch auf alle anderen zugreifen. Insbesondere hat man als Benutzer keinerlei Kontrolle darüber, ob ein Diensteanbieter mit den Passwörtern seiner Kunden auch tatsächlich verantwortlich umgeht und die Passwörter beispielsweise ausschließlich verschlüsselt speichert. In der Vergangenheit ist es leider recht häufig vorgekommen, dass Einbrecher in Computersysteme völlig unverschlüsselte Dateien oder Datenbanken mit den Passwörtern einer erschreckend großen Anzahl an Benutzern erbeutet haben. Aus Angst vor Reputationsverlust verschweigen Diensteanbieter solche Einbrüche oft über lange Zeit, so dass die Nutzer des Dienstes nicht einmal bemerken, dass ihr Passwort schon längst kompromittiert worden ist. Hinzu kommt, dass ein verantwortungsvoller und sicherheitsbewusster Umgang mit den Kundenpasswörtern oft sehr viel aufwendiger und kostenintensiver für den Diensteanbieter ist als eine einfache unverschlüsselte Speicherung. Daher sollte man unbedingt für alle Dienste im Internet unterschiedliche Passwörter verwenden. Zur effizienten Verwaltung der Passwörter kann man wie oben beschrieben ein Passwortspeicher-Programm einsetzten.Die Sicherheitsfrage kann schnell wieder alles kaputt machen:
Bei vielen Diensten im Internet kann man beim Einrichten eine Antwort auf eine so genannte Sicherheitsfrage angeben, mit deren Hilfe man später ein vergessenes Passwort wieder zurücksetzen kann. Als Sicherheitsfrage wird dann oft zum Beispiel nach dem Mädchenname der eigenen Mutter oder nach dem Namen des ersten Haustieres gefragt. Da solche Antworten aber relativ leicht zu erraten sind, wird die Sicherheit des eigentlichen Passwortes durch solche Sicherheitsfragen schnell ad absurdum geführt. Ein möglicher Ausweg ist es, als Antwort auf die Sicherheitsfrage einfach auch wieder eine starke Zufallspassphrase hinreichender Länge zu verwenden. Diese Sicherheits-Passphrase kann man dann getrennt von dem eigentlichen Passort wiederum in einem Passwortspeicher oder auch ausgedruckt an einem sicheren Ort verwahren.Testen von Passwörtern im Internet:
Im Internet findet man oft kostenlose Seiten, auf denen man angeblich die Sicherheit von Passwörtern testen kann. Dazu soll man dass Passwort auf der Seite eintippen, worauf dann meist eine Zeit berechnet wird, die angeben soll, wie lange Brute-Force-Angriff auf das Passwort dauern würde. Diese Zeit hängt dann oft lediglich von der Stellenzahl des eingegebenen Passwortes ab, so dass es völlig ausreichen würde, statt nach dem Passwort lediglich nach dessen Stellenzahl zu fragen. Da man als Nutzer keinerlei Kontrolle darüber hat, ob der Anbieter einer solchen Seiten nicht vielleicht doch die eingegebenen Passwörter speichert, um sie in Rainbowtables zu verwenden oder um sie weiterzuverkaufen, sollte man kritisch hinterfragen, ob es tatsächlich sinnvoll ist, seine Passwörter solchen Seiten anzuvertrauen. Insbesondere sollte man auch kritisch hinterfragen, wie der Seitenbetreiber sein Angebot wohl finanziert und warum er es kostenlos im Internet anbietet.Auswahl eines Passwortspeicher-Programms:
Da in Passwortspeicher-Programmen besonders sensible Daten abgelegt werden, sollte man sorgfältig auswählen, welches Programm man verwendet. Da bei proprietären Programmen der Quelltext in der Regel nicht veröffentlicht wird, ist hier das Kerckhoffsche Prinzip meist verletzt, sodass es gibt keinerlei Möglichkeit gibt, die Vertrauenswürdigkeit solcher proprietärer Programme zu prüfen. Daher sollte man unbedingt darauf achten, bei sensiblen Programmen wie Passwortspeichern ausschließlich freie Software zu verwenden. Dies ist alleine natürlich noch keine Garantie für die Vertrauenswürdigkeit der Software, aber es ist eine notwendige Voraussetzung dafür, diese überhaupt erst einmal überprüfen zu können. Internetbrowser bieten in der Regel auch die Möglichkeit, Passwörter verschlüsselt zu speichern. Allerdings sind Browser relativ komplexe und sehr vielseitige Programme, so dass sie im Vergleich zu einem auf Sicherheit optimierten Passwortspeicher-Programm auch fehleranfälliger sind. Hinzu kommt, dass Internet-Browser bei Angriffen aus dem Internet anders als externe Passwortspeicher auch oft das erste und damit einfachste Angriffsziel darstellen. Daher sollte man zumindest für wertvolle Passwörter tendenziell eher einen externen Passwortspeicher bevorzugen.IOT (Internet of Things):
Ebenso wie Internet sollte man auch zu Hause für verschiedene Dienste und Geräte stets unterschiedliche Passwörter verwenden. Besonders gefährdet für Angriffe sind billig hergestellte IOT-Geräte, da die Hersteller aus Kostengründen nach dem Verkauf teilweise nur mit großer zeitlicher Verzögerung oder sogar überhaupt keine Updatemöglichkeiten bei auftretenden Sicherheitslücken anbieten.Fingerabdruck-Scanner:
Auch durch die Verwendung eines Fingerabdruckscanners als alternative Authentifizierungsmöglichkeit kann man leicht die Sicherheit eines starken Passwortes wieder gefährden. Denn im Gegensatz zu Passwörtern lassen sich Fingerabdrücke kaum geheim halten und ein Wechseln eines Fingerabdrucks bei Verdacht auf Missbrauch ist sogar überhaupt nicht möglich. Hinzu kommt, dass gerade die zu schützenden Geräte meist übersät sind von Fingerabdrücken, die eine potentieller Angreifer nutzen kann, um sich unbefugten Zugang zu verschaffen. Es sind Fälle bekannt, bei denen es Angreifern gelungen ist, Fingerabdruckscanner zu kompromittieren, indem sie einfach einen auf Folie ausgedruckten Fingerabdruck oder einen 3D-Druck eines Fingerabdrucks verwendet haben.Online-Banking:
Um zusätzliche Sicherheit zu gewinnen, werden beim Online-Banking so genannte TANs (Transaction Numbers) verwendet. Dabei werden verschiedene Verfahren unterschieden.
PIN-TAN-Verfahren:
Der Benutzer erhält eine Papierliste mit TANs, die er bei Bedarf eingeben kann. Da bei diesem Verfahren sowohl PIN (Personal Identification Number) als auch TAN in den Browser eingegeben werden, ist bei einem Man-in-the-Browser-Angriff gleich auch das PIN-TAN-Verfahren mit betroffen. Das PIN-TAN-Verfahren gilt daher allgemein als relativ unsicher, so dass es viele Banken heute nicht mehr verwenden.
Mobile-TAN-Verfahren:
Die Benutzerin erhält bei Bedarf eine TAN auf ihr Mobiltelefon gesendet. Diese TAN tippt sie dann in den Browser mit ihrer Online-Banking-Sitzung ein. Hierbei sollte man darauf achten, unterschiedliche Geräte für das Online-Banking und den TAN-Empfang zu verwenden, da man ansonsten schnell die zunächst gewonnene zusätzliche Sicherheit wieder gefährdet, da ein Angreifer dann doch wieder nur ein Gerät kompromittieren müsste. Auch ist zu bedenken, dass sich ein Mobiltelefon nur schwer so einrichten lässt, dass es hohen Sicherheitsanforderungen genügt.
Chip-TAN-Verfahren:
Die TAN wird mit einem externen Gerätes, dem so genannten TAN-Generator erzeugt, in das man die EC-Karte einsteckt. Die Überweisungsdaten werden mittels eines so genannten Flickercodes über den Bildschirm auf den TAN-Generator übertragen. Die generierte TAN ist dann ausschließlich für die eingegebenen IBAN und den eingegebenen Betrag gültig. Zur Sicherheit werden IBAN und Betrag noch einmal auf dem externen Gerät angezeigt und sollten von dort (und nicht von der Anzeige des Browsers!) noch einmal kontrolliert werden.
Dieses Verfahren gilt allgemein als relativ sicher, da der externe TAN-Generator keine Verbindung zum Internet aufbaut, so dass sich ein potentieller Angreifer sich physikalischen Zugang zu dem Gerät und zu der EC-Karte verschaffen müsste.
