Grundregeln der Passwortsicherheit

Never Store Passwords Again

Für jeden Dienst ein anderes Passwort verwenden!

Die Verwendung eines Passwortes für mehrere Dienste birgt einige Gefahren.

Wenn das Passwort wird bekannt:

Wird dieses Passwort doch einmal bekannt, ob nun einer der Anbieter gehackt wird, jemand Ihnen bei der Eingabe über die Schulter schaut oder Sie es aus versehen in ein falsches Eingabefenster schreiben, ist nicht nur der betroffene Dienst in Gefahr sondern auch weitere Accounts. Vor allem, wenn Sie ein Passwort bei jedem Account nutzen und keinen Überblick über Ihre Accountvielfalt haben, wissen Sie nicht, bei welchen Accounts Sie das Passwort ändern müssen, sollte das Passwort bekannt werden.

Auch das Ändern des Passwortes ist aufwendig:

Möchten Sie dieses Passwort ändern, weil es beispielsweise einige Jahre alt ist, müssen Sie die Passwörter aller Accounts anpassen. Vergessen Sie einen Account, stehen Sie nach einiger Zeit vor dem Rätsel, welcher Account welches Passwort besitzt, obwohl Sie nur 5 Passwörter in den letzten 10 Jahren verwendet haben.

Empfehlung für Passwortwahl

Am sichersten ist es, ein Passwort mit mindestens 14 Zeichen, besser 20 Zeichen aus kleinen und großen Buchstaben und Zahlen zu wählen:

  • Großbuchstaben [A-Z]
  • Kleinbuchstaben [a-z]
  • Zahlen [0-9]

Die Auswahl sollte, wenn möglich zufällig sein, die Verwendung eines Passwortgenerators ist zu empfehlen. Maschineller Zufall ist ebenfalls nicht immer ganz zufällig, sodass nicht jede Software guten Zufall liefert.

  • Zufall per Software meist besser als der Mensch

Menschen generieren Zufall nach Denkmustern, weshalb der Zufall kein echter Zufall ist. Dennoch sind sehr sichere Passwörter möglich.

Vorteil mit NeSPA:

NeSPA nutzt generell 20 Zeichen aus kleinen und großen Buchstaben und Zahlen. Obwohl die Passwörter nicht zufällig sind, sonst wäre es jedes mal ein anderes Passwort, sehen zufällig aus und sind ununterscheidbar zu echt zufälligen Passwörtern. Die von NeSPA gewählten Passwörter sind sehr sicher.

Sicherheitslevel einzelner Passwörter

Das Passwort „passwort“ ist eines der Top 10.000 der meist verwendeten Passwörter. Sein Sicherheitslevel beträgt 1 aus 10.000. Dies entspricht der Sicherheit einer vierstelligen Pin, z.B. „6709“ oder eines Zufallspasswortes der Länge 3 z.B. „eQ5“. Ein Computer benötigt für dieses Passwort weniger als eine Sekunde zum Testen aller Top 10.000 Passwörter.

Warum ist die Pin der Girocard oder der Visacard dann aus nur vierstelligen Zahlen sicher?

Hier schützt die begrenzte Anzahl an Eingaben der Passwörter bei Zugriff. Der Angreifer hat 3 Versuche bei 10.000 Möglichheiten. Hat der Angreifer 10.000 Visacards und testet 3 verschiedene Pins bei allen Karten, könnte er auf diese Weise 3 Karten entsperrt bekommen, die zufällig eine dieser Pins hatten. In der Praxis könnte er keine gültige Karte finden oder auch mehr als 100 Karten, je nachdem, wie zufällig die Auswahl der 10.000 Karten und der zugehörigen Pins verteilt ist.

Je Dienst je ein Passwort

Nutzen Sie für jeden Dienst ein anderes Passwort. So sind nach bekannt werden eines Passwortes alle anderen Dienste weiterhin geschützt.

Beispiel 1: E-Mail-Account

Sie haben zwei Passwörter für Ihren E-Mail-Account: Eines Nutzen Sie für Ihre Konfiguration, Vertragsdaten und Bezahlung und das andere Passwort für den Zugriff auf Ihre E-Mails. Das erste Passwort nutzen Sie nur auf Ihrem sicheren PC, hingegen wird das zweite Passwort auch auf Ihrem Smartphone, Tablet und Notebook verwendet. Wird nun ein mobiles Gerät gestohlen, kann der Angreifer E-Mails lesen, schreiben und löschen. Den Vertrag kündigen und wichtige Vertragsdaten lesen oder ändern sind ihm aber nicht möglich.
Beispiel: Die Telekom bietet ein extra Passwort für SMTP, IMAP und POP3, über welches nur die E-Mails verwaltet werden können.

Beispiel 2 a): Cloudspeicher mehrere API-Keys nutzen

Online-Dienste bieten häufig API-Keys an, d.h. jedes Gerät oder Anwendung erhält sein eigenes „Passwort“ zum Zugriff auf den Dienst. Diese API-Keys können nur für Funktionen genutzt werden, welche die Anwendungen unterstützen, d.h. zum Daten austauschen aber nicht um Vertragsdaten oder Zugangsdaten ändern. Der Dienst weiß, dass API-Keys nur von Software verwendet wird und niemals von einer Person direkt. Wenn jedes Gerät oder Anwendung seinen eigenen API-Key verwendet, kann diese Anwendung einfach gesperrt werden, ohne andere zu sperren. Auch auffälliges Verhalten erkannt werden, wenn beispielsweise ein Smartphone plötzlich mehrere Gigabyte Daten anfordert statt üblichen wenigen hundert Megabyte.

Beispiel 2 b): Cloudspeicher mehrere Accounts nutzen

Ein Schritt weiter zu vorherigen Nutzung von API-Keys ist die Verwendung mehrere Accounts. Am Beispiel Cloudspeicher: Als Student nutzen Sie Ihre Daten in der Uni. Aus Sicherheitsgründen verwenden Sie dort einen Uni-Cloud-Account. Stiehlt ein Kommilitone Ihr Passwort, stiehlt er Ihre Uni-Daten aber nicht Ihre privaten Clouddaten. Nutzen Sie dagegen einen Account, erhält er Zugang zu Ihren privaten Bildern und Daten. Somit die Empfehlung, wenn sinnvoll und möglich, getrennte Accounts nuzten.

Kein Account-Sharing

Wenn möglich, vermeiden Sie Account-Sharing, d.h. Sie und eine Dritte Person nutzen die identischen Zugangsdaten. Der erste Grund ist, dass Sie oder die zweite Person das Passwort nicht ohne Absprache ändern können, weshalb ein Passwortwechsel sehr unwahrscheinlichist. Der zweite Grund ist, dass nicht nachvollziehbar ist, wer was getan hat. Ist plötzlich etwas getan, weiß die entdeckende Person nicht, ob die andere Person dies mit Absicht getan hat, z.B. eine Bestellung ist beiden nicht bekannt, erweckt aber keinen Argwohn, da beide davon aus gehen, der andere hat dies gemacht. Wenn sich doch beide einig sind, es nicht getan zu haben, stellt sich die Frage, wie es passieren konnte und welcher der beiden ggf. das Passwort verloren hat.

Nicht immer ist dies möglich. Wenn der Anbieter aber API-Keys oder mehrer Zugänge gestattet, sollten diese genutzt werden und wenn es nur zwischen der Nutzung des Fernsehgerätes und des Computers unterscheidet.

Nicht alles immer überall zur Verfügung haben

Verzichten Sie, wenn möglich, darauf, immer und überall alles tun zu können, denn das birgt auch immer Gefahren. Wenn Sie an jedem Ihrem Gerät Online-Banking inklusive Tan-Verfahren durchführen können, kann ein Dieb, der ein Gerät stiehlt und knackt, Online-Banking in Ihrem Namen durchführen. Machen Sie dieses aber nur am Computer in Kombination mit Ihrem Smarphone oder Tan-Generator, benötigt er zumindest Zugriff auf Computer und Smartphone / Tan-Generator und nicht nur dem Smartphone. Meiden Sie somit Lösungen mit Online Bankung und Tan-Generierung auf einem einzelnen Gerät, weil diese „2-Fakor-Authenifizierung“ keine echte 2FA ist. Dies ist praktisch aber auch nicht wirklich sicher.