Welt-Passwort-Tag

Passwörter sind überall. Sie schützen alle möglichen Aspekte unseres täglichen Lebens. Trotzdem denken wir viel zu wenig über sie nach. Wir wollen uns den World Password Day zum Anlass nehmen uns Passwörter, ihre Sicherheit und die Theorie dahinter etwas genauer anzuschauen.

Fangen wir mit einem Gedankenexperiment an um uns klar zu machen, wie wichtig Passwörter und der sichere Umgang mit ihnen ist. Stellen wir uns mal vor alle unsere Passwörter wären plötzlich nicht mehr geheim. Das Onlinebanking – ungeschützt. Social Media Accounts – in Sekunden übernommen. Jede geschriebene Nachricht, jedes geschickte Bild – plötzlich öffentlich. Und das ist erst die Spitze des Eisbergs. Mittlerweile gibt es kaum noch etwas, das sich nicht online verwalten lässt. Strom, Gas, Versicherungen, Arzttermine, Handyverträge, Fitness-Tracking – alles online und oft nur geschützt durch ein Passwort. Für die meisten von uns wäre es ein absolutes Desaster, wenn Unbekannte plötzlich Zugriff auf all das hätten.

Die erste Frage, die den meisten beim Thema Passwörter durch den Kopf geht, lautet daher meist „Sind meine Passwörter eigentlich sicher?“. Die Antwort darauf: „Kommt drauf an“. Das erste und wichtigste Kriterium für ein sicheres Passwort haben wir gerade gesehen: Es muss geheim sein. Ein Passwort kann noch so lang und komplex sein, wenn es nicht geheim bleibt, ist es unsicher. Doch was erst mal trivial klingt, wird erstaunlich oft zum Problem.

Und damit ist nicht der unscheinbare Klebezettel am Monitor als „Merkhilfe“ gemeint. Tatsächlich ist den meisten mittlerweile klar, dass sie Passwörter nicht rumerzählen oder so aufschreiben sollten, dass andere sie finden können. Doch ihr seid nicht die Einzigen die eure Passwörter kennen – die Seiten, bei denen ihr euch damit anmelden wollt, müssen sie ebenfalls kennen.Wenn diese Seiten nicht sorgsam mit euren Passwörtern umgehen, können sie schnell in die falschen Hände gelangen. Problematisch wird das ganze vor allem dann, wenn dasselbe Passwort auch für andere Dienste verwendet wurde. Bei sogenannten Credential Stuffing Angriffen probieren große Mengen von Zugangsdaten, die von gehackten Diensten geleakt wurden, auf anderen Plattformen aus. Und das oft mit Erfolg, denn das Wiederverwenden von Passwörtern ist leider eine verbreitete Praxis. Wenn ihr euch also nicht sicher seid, ob ein Dienst sicher mit euren Passwörtern hantiert – Spoiler: Sicher könnt ihr da nie sein – solltet ihr für jeden Dienst ein eigenes Passwort verwenden.

Doch wie sollte dieses Passwort aussehen? Wer in den letzten zehn Jahren nicht gerade unter einem Stein geschlafen hat, dürfte diese Regeln schon mal gehört haben: Ein Passwort muss auf jeden Fall lang sein. Und es soll Groß- und Kleinbuchstaben enthalten. Und Zahlen. Und am besten auch noch Sonderzeichen. Ein Passwort, welches nach diesen Regeln erstellt wurde, sollte von den meisten Webseiten akzeptiert werden. Aber ist es deswegen auch sicher? Tatsächlich sind diese etablierten Regeln für die Zusammensetzung sicherer Passwörter definitiv nicht über alle Zweifel erhaben. Nehmen wir mal das Passwort „Zwiebelkuchen1!“. Es dürfte mit 15 Zeichen definitiv zu den längeren Passwörtern zählen, enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, erfüllt also alle üblichen Kriterien. Aber ist „Zwiebelkuchen1!“ deswegen schon sicher?

Um diese Fragen zu beantworten lohnt es sich, einen Blick darauf zu werfen, wie Angreifer vorgehen, um Passwörter zu knacken. Haben wir uns die Regel der Geheimhaltung zu Herzen genommen, für jeden Dienst ein eigenes Passwort verwendet und dieses geheim gehalten, bleibt einem Angreifer nichts anderes übrig, als zu raten. Die einfachste Methode ist dabei alle möglichen Passwörter auszuprobieren – der sogenannte Brute Force Angriff. Und genau hier kommen unsere etablierten Kriterien ins Spiel. Die Kriterien zielen darauf ab, die Menge der möglichen Passwörter möglichst groß zu machen, damit der Angreifer möglichst lang braucht, um sie durchzuprobieren. Nehmen wir als Beispiel mal ein Zahlenschloss. Ein einfaches Zahlenschloss hat drei Ziffern mit jeweils 10 möglichen Zeichen (die Zahlen von 0 bis 9) und damit 10 * 10 * 10 = 1.000 mögliche Kombinationen. Braucht ein Angreifer pro Kombination nur eine Sekunde, kann er in nicht mal 17 Minuten alle möglichen Kombinationen durchprobieren und das Schloss öffnen.
Nehmen wir stattdessen nun ein Zahlenschloss mit vier Ziffern, gibt es 10 * 10 * 10 * 10 = 10.000 verschiedene Möglichkeiten und der Angreifer braucht schon fast drei Stunden. Die Länge des Passworts spielt also eine wichtige Rolle. Noch wichtiger als die Länge ist allerdings die Zusammensetzung. Hätte das Schloss statt drei Ziffern nämlich drei Buchstaben ergeben sich bei einem Alphabet von 26 Zeichen bereits 26 * 26 * 26 = 17.576 mögliche Kombinationen. Nehmen wir Zahlen, Groß- und Kleinschreibung, sowie die üblichsten Sonderzeichen dazu erhalten wir ein Alphabet von 94 möglichen Zeichen und damit 94 * 94 * 94 = 830.584 mögliche Kombinationen. Dafür bräuchte unser Angreifer schon über neun Tage. Unser Passwort „Zwiebelkuchen1!“ ist sogar 15 Zeichen lang. Um alle Passwörter mit 15 Zeichen bestehend aus Buchstaben, Zahlen und Sonderzeichen durchzuprobieren bräuchte ein Angreifer, selbst wenn er 1.000.000 Passwörter in der Sekunde ausprobieren kann, immer n hoch 12.534.620.711.557.642 Jahre. Das Passwort ist also sicher – oder?

Was den Brute Force Angriff angeht ist so ein Passwort definitiv als sicher anzusehen. Leider weiß auch unser Angreifer, dass er mit einfachem Durchprobieren wenig Erfolg haben wird. Oft ist das aber auch gar nicht nötig, denn viele Passwörter sind alles andere als zufällig gewählt. Schaut man sich die Liste der häufigsten Passwörter an, stellt man fest dass es sich oft um normale Wörter handelt. Ein häufiges Vorgehen ist daher das Durchprobieren von Wörtern aus dem Wörterbuch oder von Listen häufiger Passwörter. Ist „Zwiebelkuchen1!“ also sicher weil es nicht im Wörterbuch vorkommt? Nicht wirklich. Zwar unterscheidet es sich in Zahlen und Sonderzeichen von einem Wort aus dem Wörterbuch, doch diese sind nicht zufällig gewählt. Stellen wir uns mal vor jemand hat sein Lieblingspasswort „Zwiebelkuchen“ in eine Passwortmaske eingegeben und die Maske lehnt das Passwort ab, weil es weder Zahlen noch Sonderzeichen enthält. Was ist nun wahrscheinlicher: Dass die Person ein komplett neues Passwort erstellt, oder dass sie so lange Zeichen anhängt, bis die Passwortmaske zufrieden ist? Tatsächlich ist das Anhängen kurzer Zahlen-Sonderzeichen Kombinationen an einfache Wörter ein häufiges Vorgehen. Und das macht es auch für den Angreifer berechenbar. Denn alle Wörter aus dem Wörterbuch mit einer beliebigen Kombination aus einer Zahl und einem Sonderzeichen angehängt durchzuprobieren ist immer noch um ein Vielfaches schneller als ein Brute Force Angriff. Und mit einem solchen Angriff dürfe „Zwiebelkuchen1!“ leider schnell gefunden sein.

Was muss ein Passwort also noch erfüllen, um sicher zu sein? Die Kryptographie liefert dazu folgende Antwort: Um sicher zu sein muss ein Passwort von echtem Zufall ununterscheidbar sein. Das Passwort „z$f6^Kj8“ ist mit acht Zeichen deutlich kürzer als „Zwiebelkuchen1!“, trotzdem ist es definitiv das sicherere Passwort. Der Grund ist, dass es für den Angreifer keine Möglichkeit gibt, schneller auf dieses Passwort zu kommen, als durch einfaches Ausprobieren. Und einfaches Ausprobieren ist, wenn die Kriterien für Länge und Zusammensetzung berücksichtigt wurden, extrem ineffizient. Das Passwort hat aber einen entscheidenden Nachteil: Es ist alles andere als leicht zu merken. Besonders wenn man für jeden Dienst ein eigenes Passwort vergibt, können echt zufällige Passwörter sehr anstrengend sein.

Für dieses Problem existieren verschiedene Lösungen, von denen die meisten aber wieder neue Probleme mit sich bringen. Ein Lösungsansatz nutzt aus, dass Menschen leichter in der Lage sind, sich Fantasieworte zu merken, wenn sie sie aussprechen können. Das Problem daran: In Passwörtern, die sich einfach aussprechen lassen, kommen Buchstaben und Buchstabenfolgen mit einer ähnlichen Häufigkeit vor, wie in der natürlichen Sprache. Diese Eigenschaft kann ein Angreifer nutzen, um alle Passwörter auszuschließen, die von dieser Häufigkeit abweichen. Das Resultat ist ein Angriff der auf leicht aussprechbaren Passwörtern deutlich effizienter ist als der einfache Brute Force. Eine andere häufige Empfehlung sind Passphrasen, also Passwörter, die aus mehreren echten Wörtern zusammengesetzt sind, welche sich einfach merken lassen. Diese Passwörter enthalten zwar keine Zahlen oder Sonderzeichen, gleichen das allerdings durch eine deutlich höhere Länge aus. Neben dem gleichen Problem wie bei leicht aussprechbaren Passwörtern können Angreifer hier einen weiteren Effekt nutzen. Man hat nämlich festgestellt, dass Menschen dazu neigen, bei Passphrasen grammatikalisch korrekte Sätze zu formen. Auch dadurch lassen sich wieder etliche Kombinationen ausschließen und ein Geschwindigkeitsvorteil gegenüber dem Brute Force erzielen. Zusammengefasst lässt sich sagen: Alles, was Passwörter weniger zufällig macht, macht sie angreifbarer.

Es bleibt also dabei: Das sicherste Passwort ist individuell pro Dienst, möglichst lang und komplex und echt zufällig – und damit leider schwer zu merken. Und genau das ist der Grund, warum immer wieder schwache Passwörter verwendet werden. Denn obwohl sich die meisten sehr wohl bewusst sind, wie man sichere Passwörter erstellt, ist es ihnen einfach zu anstrengend. Doch es gibt eine Lösung, die in den letzten Jahren immer mehr an Popularität gewinnt: Passwortmanager. Passwortmanager ermöglichen es, sich nur noch ein einziges Passwort merken zu müssen und damit ganz bequem und guten Gewissens allen Regeln für sicheres Passwortmanagement folgen zu können.
Wir haben bei synyx auch unsere Erfahrungen damit sammeln können und das Ergebnis ist klar – wer einmal auf einen Passwortmanager gewechselt ist, will nicht mehr davon weg.
Daher ist unsere Empfehlung zum World Password Day: Macht euch das Leben und Gewissen leichter und wechselt auf einen Passwortmanager!