Passwort

Verschlüsselung – eine kurze Geschichte

Verschlüsselung ist ein spannendes und in der Informationssicherheit grundlegendes Thema. Die Notwendigkeit, unberechtigten Personen Informationen und Güter vorzuenthalten und gleichzeitig die positive Berechtigung über ein (über)tragbares, erlernbares Medium zu definieren, ist so alt wie die Erfindung der Schurkerei selbst.

κρυπτός, nein hier handelt es sich nicht um ein Beispiel für Verschlüsselung, sondern nur um Griechisch :). Kryptos bezeichnet das Geheime. Falls Sie bei diesem Begriff einen negativen Beigeschmack haben sollten, liegt das wahrscheinlich daran, dass Inhabern von Geheimnissen tendenziell negative Absichten zugesprochen werden. Grund dazu gibt es allerdings nicht. Denn die Gewinnung von – insbesondere personenbezogenen – Informationen wird zunehmend zur wertvollsten und lukrativsten Ressource. Und die gilt es mit einer angemessenen Sorgfalt zu wahren. Was mit einmal offengelegten oder kompromittierten Informationen geschieht, ist dann meist nur noch eine Frage der Nachsorge. Eine sichere Verschlüsselung ist somit zu einem der wichtigsten Wegbegleiter unserer beruflichen und privaten Persönlichkeitsentfaltung geworden.

Anfänge der Verschlüsselung

Altes chinesisches Vorhängeschloss – Wikimedia Commons

Schlüssel sind die älteste Form der Berechtigungsvergabe. Bis heute werden sie zur physischen Zugangs- und Zutrittskontrolle eingesetzt. Häufig werden sie kombiniert mit digitalen Kodierungen, die über eine Drahtlosabfrage validiert werden. Auch Maschinen(-funktionen) wie in Kraftwerken und Schiffen werden mit physischen Schlüsseln freigeschaltet. Die Abbildung zeigt Schlüssel mit Schloss wie sie vor einigen tausend Jahren in China eingeführt wurden. Für die verbale Informationssicherheit – einschließlich der Überwindung großer Distanzen – wurden Dazu gehören Insider- und Geheimsprachen. Diese datieren mitunter bis zu 2000 Jahre zurück. Wie etwa Gelehrten-Dialekte und Kaufmannssprachen, bei denen einzelne Laute, Silben und Phrasen entweder nach System oder durch gruppenspezifische Gewohnheiten ersetzt wurden.

Kodierungen und Kryptographie

Rotor-Schlüsselmaschine

Mit zunehmender Bedeutung des geschriebenen Wortes stieg der Bedarf, diese Information zu schützen. Zeichen durch andere zu ersetzen nach einem spezifischen, für Eingeweihte nachvollziehbaren System, wurde in verschiedenen Formen kultiviert. Jedem bekannt in unserem digitalen Zeitalter, fanden Kodierungen insbesondere Ihre Anfänge in der strategischen Anwendung. Um dem Gegner keinen Einblick in die Planungen zu geben und über weite Strecken Entscheidungen mitzuteilen, wurden Codesysteme wie etwa die Cäsar-Chiffre im 1. Jahrhundert v. Chr. entwickelt. Chiffrierscheiben ab 1467 und Chiffriermaschinen wie die abgebildete aus dem 20. Jahrhundert ermöglichten die einfach nachvollziehbare mechanische Chiffrierung geschriebener Inhalte.

Tipp – In diesem Kontext sei eine nicht besonders bekannte und dennoch genial einfache Version der manuellen Verschlüsselungshilfe zu nennen. Die Passwortkarte. Diese Lässt sich mit wenigen Klicks selbst erstellen und auch online generieren. Anstelle der Zeichen des gewünschten Passworts als solche müssen Sie sich lediglich Startpunkt, ggf. beliebig viele Abzweigungen und Endpunkt merken. Wenn Sie eine individuelle Passwortkarte beispielsweise zweimal ausdrucken und ein Exemplar einem weit entfernten Gesprächspartner übermitteln, können Sie mit diesem sehr sichere Passwortabsprachen für gemeinsame Projekte absprechen und müssen dabei nur optische Orientierung erläutern.

Moderne Verschlüsselungen

Im Zuge der flächendeckenden Weiterentwicklung der digitalen Kommunikation wurde der erwartungsgemäßen Nachfrage der Verschlüsselung im behördlichen und corporate Bereich Rechnung getragen. IBM gründete Ende der 1960er Jahre eine Arbeitsgruppe, die sich erfolgreich mit der Entwicklung einer standardisierten Verschlüsselungslogik befasste. Diese wurde in den DES weiterentwickelt, eine symmetrische Verschlüsselungsmethode und Vorläufer des heutigen AES. Diese Blockchiffre AES ist trotz einiger erfolgreich durchgeführter spezialisierter Angriffsversuche bis heute einer der maßgeblichen, technisch und behördlich anerkannten Verschlüsselungsstandards.

Der AES-Standard wird auf Grund von Sicherheitsniveau und Effizienz weltweit eingesetzt. Er gilt außer in Bezug auf voluminöse brute force Angriffe als praktisch unknackbar in Kombination mit einem entsprechend starken Passwort. Es wurden sowohl diverse auf dieses Prinzip aufbauende als auch unabhängige Verschlüsselungsalgorithmen entwickelt wie RSA, MD5, IDEA, TripleDES und Blowfish sowie zahlreiche inzwischen offiziell kompromittierte und unsichere Standards wie SHA.

Zwei zentrale Aspekte bilden bei der Wissenschaft der Verschlüsselung weitestgehend gemeinsame Spezifika: Die Zerstückelung der Information (wie zB. in Hashfunktionen), die dann einer separaten, segmentweisen wiederholten Chifrierung zugeführt werden kann. Und die Anreicherung mit Misinformation wie zB. bei Salts, um die Identifizierung der eigentlichen Information zu erschweren.

Tipp – Sie können auch mit einfachsten Mitteln AES-256 Verschlüsselung auf Ihre zu schützenden Daten anwenden. Hierzu gibt es einige software Lösungen wie das prominenteste Beispiel winrar, das privat im Rahmen einer kostenfreie Testversion genutzt werden kann und auch im Firmeneinsatz überschaubar lizenziert werden kann. Zusammen mit einem guten Passwortkönnen Sie sehr sichere Dateicontainer herstellen und diese dann per herkömmlichem = unsicherem mail Weg versenden. Das Passwort selbst natürlich auf einem separaten Weg mitteilen wie telefonisch etc.

Ausblick der künftigen Verschlüsselung

Mit der zu erwartenden Markterschließung durch den kommerziellen Quantencomputer, der vor gut einem Jahr offiziell präsentiert wurde, gewinnt die Informationsstreuung in Ausgabewerten bei der Informationssicherung insbesondere gegen brute force Angriffe eine essenzielle Rolle. Statt einfach die Ausgangsinformation mit Algorithmen zu chiffrieren muss auch die Ausgabelogik intensiv weiterentwickelt werden, die beispielsweise bei jedem einzelnen Angriffsversuch vermeintlich entschlüsselt und dabei fake Daten im exakt erwarteten Format liefert.

Auch Mehrfaktorauthentifizierungen und automatische Sperren werden weiter an Gewicht im behördlichen, corporate und privaten Bereich gewinnen und sollten selbstverständlich bereits heute nach technischen Möglichkeiten eingesetzt werden, was unseres Erachtens in der Praxis noch stattliches Ausbaupotenzial hat 🙂

„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die „NIST Special Publication 800-63. Appendix A“. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: „Ich bereue den Passwort-Wahnsinn“

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

  1. Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
  2. Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

„Ich bereue den Passwort-Wahnsinn“

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst „Über Bord mit veralteten starren Passwort-Richtlinien“.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

  • Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
  • Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
  • Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
  • Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage „Wie heißt ihr Haustier?“ aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

  • Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
  • Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
  • Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere – unabhängige – Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag „Über Bord mit veralteten starren Passwort-Richtlinien“.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4

Sichere und komfortable Passwort-Verwaltung mit Keepass

Passwörter – zu viele, zu komplex, kaum zu merken

Es gibt zahlreiche Mythen rund um die Themen Passwort und Sicherheit, die sich hartnäckig halten. Und das obwohl allen Akteuren eigentlich klar sein sollte, dass die Ideen dahinter aus dem Bereich Fantasy entstammen, jedoch nicht zur Passwort-Sicherheit beitragen. Anhänger der Theorien „Passwörter müssen immer Sonderzeichen und Zahlen enthalten“ und „Passwörter muss man regelmäßig wechseln“ lassen sich davon eh nicht abbringen. Die Vernünftigen der Zunft haben die Zeichen der Zeit erkannt und drangsalieren die Nutzer nicht mehr mit diesem Ballast, der konkret beleuchtet eher Unsicherheit statt Sicherheit bringt. Doch hier sollen keine Glaubenskriege ausgefochten werden. Wen es interessiert, hier haben wir weitere Details dazu zusammengetragen:

Fakt ist, unterschiedliche Logins / Accounts sollten auch unterschiedliche Passwörter nutzen. Damit ist sichergestellt, dass ein einzelner kompromittierter Zugang nicht zum Öffnen aller anderen Zugänge genutzt werden kann. Unabhängig von Passwortlänge und Komplexität kommen hier für einen Anwender im Laufe der digitalen Nutzung zig Login-Daten zusammen (PC Anmeldung, Programm Anmeldung, Cloud-Speicher Anmeldung, diverse Accounts bei Online-Shops, PINs und und und). Und alle Zugänge haben ein unterschiedliches Passwort. Wer soll sich das alles merken? Abhilfe schaffen sogenannte Passwort-Tresore wie Keepass.

Keepass – oder das letzte Passwort, dass Sie sich merken müssen

Wenn Sie die Suchmaschine Ihrer Wahl bemühen, werden Sie mit den Suchbegriffen „Passwort Tresor“ unzählige Treffer finden. Über die Sinnhaftigkeit vieler Angebote lässt sich trefflich streiten. Es bleibt immer zu hinterfragen, ob Sie Ihre Zugangsdaten einem fremden Dienst / Anbieter anvertrauen (möglicherweise noch aus den USA oder Russland) oder nicht doch lieber Herr über Ihre eigenen Passwörter bleiben wollen. Ein Tool hierzu ist Keepass. Keepass steht für eigentlich alle gängigen Plattformen wie Windows, Linux, MacOS, iOS, Android und andere zur Verfügung. Somit ist sichergestellt, den eigenen Passwort-Tresor auch plattformübergreifend nutzen zu können. Ein Tresor an einer zentralen Stelle erleichtert den Aktualisierungsaufwand enorm. Wir haben unsere Passwort-Tresore beispielsweise in einem Cloud-Speicher abgelegt. Bevor jetzt jemand den Kopf schüttelt, dieser Speicherplatz ist zusätzlich noch mal mit einem separaten und plattformunabhängigen Tool verschlüsselt 🙂

In einem mit einem guten Masterpasswort verschlüsselten Passwort-Tresor mit Keepass haben Sie ab sofort eine zentrale Zugriffsmöglichkeit auf  alle Ihre schützenswerten Informationen beginnend mit Login-Informationen (Benutzernamen und Passwörter), aber auch für PIN oder Lizenzschlüssel für gekaufte Software. Die Einsatzzwecke eines solchen Tresors mit Keepass sind sehr umfangreich. Was und wie erfahren Sie in in unserer PDF Anleitung.

Doch jetzt genug geschrieben. Am Ende dieses Beitrags finden Sie eine konkrete Anleitung zur Installation und Nutzung von Keepass sowohl für den geschäftlichen / dienstlichen als auch privaten Einsatz. Gerne dürfen Sie das Dokument intern und extern weitergeben. Wir würden uns freuen, wenn Sie die Hinweise auf unsere Urheberschaft nicht entfernen. Verhindern können und wollen wir das nicht. Was wir aber ungern sehen würden, wäre dieses Dokument im Rahmen von Bezahlangeboten online oder Print wiederzufinden. Fair play!

Kritische Stimme zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schatten. Auch Passwort-Tresore haben Schwächen. Einen sehr empfehlenswerten Beitrag gibt es von Ralph Dombach hier zu lesen:

https://www.security-insider.de/password-manager-nein-danke-a-689795/

Doch hier der Download „Anleitung und Einsatzmöglichenkeiten Keepass“

Sichere Passwortverwaltung mit Keepass
1882 Downloads

Passwort-Safes zu Unrecht wenig beliebt

Laut einer aktuellen Bitkom Studie nutzen lediglich 24% der befragten Internetnutzer Passwort-Safes für Computer und Online-Dienste. Das sind 5% Prozentpunkte mehr als im vergangenen Jahr, was seitens Bitkom auf ein gestiegenes Problembewußtsein seitens der Nutzer aufgrund der NSA Affäre zurückzuführen sei. Die Mehrheit bevorzugt jedoch nach wie vor einfache und mehrfach genutzte Passwörter. Letzters wird schnell zum Problem, wenn ein Account erfolgreich kompromittiert wurde.

Über die Länge und Komplexität von Passwörtern werden wahre Glaubenskriege geführt. Kann es der einen Partei nicht lang und komplex genug sein, zeichnet sich die Gegenseite durch eine teilweise naive Sichtweise auf das Thema aus. Die Lösung wird – wie so oft – dazwischen liegen. Fakt ist, zu kurze Passwörter eventuell noch ohne Komplexität sind ein gefundenes Fressen, sofern keine weiteren Hürden wie Login Sperren nach x Fehlversuchen aufgestellt sind. Fakt ist aber auch, ein zu langes Passwort ist aus der Praxis heraus unsicher, da es sich der Anwender nicht merken kann und irgendwo niederschreibt.

Einen Kompromiss stellen Passwort-Safes dar. Diese werden durch ein einmaliges komplexes sicheres Passwort geschützt und in der dahinterliegenden Datenbank werden alle anderen Zugangsdaten für Computer und Online-Dienste verschlüsselt abgelegt. So muss sich der Nutzer erst mal nur das Hauptpasswort merken, das gelegentlich auch geändert werden kann (und sollte). Alle weiteren zu schützenden Informationen sind sicher im Container des Passwort-Safes gespeichert. Mit weiteren Lösungen wie z.B. Boxcryptor kann die Datenbank dann sogar in Cloud-Diensten zusätzlich verschlüsselt abgelegt werden. Der Zugriff ist für die gängigsten Lösungen ist jederzeit vom PC oder auch mobilen Geräten mit Android und iOS möglich. Natürlich sollten mobile Endgeräte mit weiteren Schutzmaßnahmen versehen sein, damit der Passwort-Safe nicht frei zugänglich ist bei Verlust des Geräts.

Online Speicherdienste (zumeist von amerikanischen Anbietern) sollten sich mit etwas gesundem Menschenverstand von selbst verbieten.

Links

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

Amerikanische und nun auch deutsche Medien berichten vom wohl größten Datenklau in der Geschichte des Internets. Zumindest vom größten bekannten Datenklau kann man wohl getrost ausgehen.

Einer russischen Hackergruppe soll es gelungen sein, über 1,2 Milliarden Datensätze zu hacken. Betroffen seien Benutzernamen, Passwörter und auch Email-Adressen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik, kurz BSI warnt vor der optimistischen Einschätzung, deutsche Nutzer könnten eventuell nicht betroffen sein. Sobald man weitere Informationen aus den USA vorliegen habe, werde man sich um Hilfestellungen für deutsche Internetnutzer bemühen und diese veröffentlichen. Ursprünglich seien wohl sogar mehr als 4 Milliarden Datensätze betroffen gewesen, doch durch Ausschluß von Dopplungen sei es zu einer Reduktion auf 1,2 Mrd. gekommen.

Nun heißt es also wieder mal, breitflächig Passwörter ändern. Das diese gewiße Sicherheitsanforderungen genügen müssen, sollte sich mittlerweile rumgesprochen haben. Auch die Nutzung von einem Passwort für mehrere Dienste ist geeignet, es Hackern und Dieben leichter zu machen – von daher keine gute Idee. Da man sich diese nicht alle merken kann, bietet sich die Nutzung eines Passwort-Tresors wie Keepass an. Cloud basierte Passwortmanager ohne Verschlüsselugn oder gar von amerikanischen Anbietern sollten sich von selbst verbieten.

Wohl dem, der in seinen Online Profilen nicht alle Komfort-Merkmale nutzt. Es ist zwar praktisch, wenn der Online Shop die Kreditkartendaten für eine schnellere Abwicklung schon gespeichert hat und man diese nicht mehr eingeben muss. Sicher ist dabei aber im Zweifel nur eins: wird Ihr Account gehackt – und wenn auch über Umwege -, dann hat der Hacker auch gleich noch Ihre Zahlungsdaten. Wollen Sie das?

Wir halten Sie auf unserem Blog informiert, wenn seitens des BSI belastbare Informationen kommuniziert werden.