Passwort

“Ändere-Dein-Passwort-Tag” — Und jährlich grüßt das Murmeltier. Dann doch lieber 2FA

von Sascha Kuhrau
1. Februar 2022
2 Kommentare

Alle Jahre wieder, so auch heute zum 01.02.2022 hallt es aus diversen Nachrichtenkanälen “Leute, ändert regelmäßig euer Passwort. Beispielsweise heute, am sog. Ändere-Dein-Passwort-Tag.” Nun, kann man machen, ist aber nicht unbedingt sinnvoll. In Blogbeiträgen 2016 (aktualisiert 2018: “Über Bord mit veralteten starren Passwort-Richtlinien”), 2017 (“Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels”) und 2018 (Update 2020: “„Ich bereue den Passwort-Wahnsinn“ – weg mit den Passwort Mythen”) haben wir uns mit dieser Forderung zum regelmäßigen Passwortwechsel auseinandergesetzt und sind dabei — wie seit 2017 die NIST (National Institute of Standards and Technology) als eigentlicher Verursacher dieser “Angewohnheit” — zu einem anderen Schluss gekommen: Finger weg vom regelmäßigen Passwortwechsel. Lieber Zwei-Faktor-Authentifizierung (2FA) einrichten. Warum und wieso? Lesen Sie hier.

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zweifel verlangt es auch noch die Passwort-Richtlinie des einen oder anderen Unternehmens oder auch der Behörde. Doch sind das wirklich gute und belastbare Gründe für einen Passwortwechsel? Möglichst noch in Intervallen von 30–90 Tagen? Und für jedes Login noch ein anderes Passwort? Ende vom Lied: Passwörter werden alphabetisch oder numerisch hochgezählt oder schlimmstenfalls aufgeschrieben, abgelegt unter dem Schreibtischschoner. Das ist natürlich richtig sicher 🙂

Doch es gibt in der Tat wirklich 3 gute Gründe, das Passwort zu ändern:

Das Passwort wurde ausgespäht, zumindest besteht der Verdacht.
Das Passwort wurde unnötigerweise einer Kollegin oder einem Kollegen bekanntgegeben, obwohl dazu technisch normalerweise gar kein Grund besteht.
Es handelt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigentliche Passwort ersetzt werden muss.

Und Ende der Aufzählung.

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

Es ist keine allzu neue Erkenntnis, dass die Absicherung von Logins ausschließlich mit Benutzername und Passwort in den meisten Anwendungsfällen keinen ausreichenden Schutz bietet. Aus diesem Grund ist es mittlerweile üblich, wo es nur geht und vorgesehen ist, einen zusätzlichen Schutzfaktor einzubauen bzw. zu nutzen. Ein bewährtes Mittel ist die sog. Zwei-Faktor-Authentifizierung, kurz 2FA.

Die Zwei-Faktor-Authentisierung (2FA), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und Transaktionsnummer (TAN) beim Online-Banking. Die Zwei-Faktor-Authentisierung ist ein Spezialfall der Multi-Faktor-Authentisierung.

Für kritische Anwendungsbereiche wird die Zwei-Faktor-Authentisierung empfohlen, so beispielsweise vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz- Katalogen. Im Bankwesen wurde mit der EU-Zahlungsdienste-Richtlinie die Zwei-Faktor- Authentisierung für den Europäischen Wirtschaftsraum 2018 sogar verpflichtend eingeführt. Mittlerweile gibt es sehr viele Anbieter, die für Ihre Webseiten / Login-Bereiche, aber auch andere Anmelde-Vorgänge eine 2FA nicht nur anbieten, sondern verbindlich machen.

Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn beide festgelegten Faktoren zusammen eingesetzt werden und korrekt sind. Fehlt eine Komponente oder wird sie falsch verwendet, lässt sich die Zugriffsberechtigung nicht zweifelsfrei feststellen und der Zugriff wird verweigert. Jetzt könnte man ja sagen, Benutzername und Passwort sind doch schon zwei Komponenten. Das ist so aber nicht ganz richtig. Denn aufgrund der meist vorgegebenen Benutzernamen wie die eigene Email-Adresse oder Vorname.Nachname ist dieser erste Faktor „verbrannt“. Es muss daher neben dem Passwort ein weiterer sicherer Faktor her. Korrekterweise würde man die Kombination Benutzername + Passwort + weiterer Faktor als Multifaktor- Authentifizierung bezeichnen. In der Praxis ist es dann doch nur eine 2FA aus dem zuvor genannten Grund.

In der Praxis greift man oft auf diese Kombination zurück:

Benutzername
Passwort
Authenticator / Authentificator (z.B. App auf dem Handy oder Programm auf dem Desktop)

Das Bundesamt für Sicherheit in der Informationstechnik hat das Thema in seiner Reihe “BSI für Bürger” das Thema anschaulich und mit einem kurzen Video aufbereitet, wer es noch mal genauer und anschaulicher wissen will (externer Link zum Beitrag des BSI).

2FA ist keine Raketenwissenschaft

Gelegentlich könnte man meinen, 2FA ist “rocket science” bzw. Raketenwissenschaft. Und da noch nicht ausreichend erforscht und mangels Erfahrungen damit, sollte man doch eher Abstand davon nehmen. Zumindest trifft man solche Tendenzen durchaus immer wieder bei IT-Verantwortlichen und / oder Anwendern. Fragt man jedoch genauer nach, resultiert die Abneigung doch eher daher, sich (als Mensch) oder etwas (die Technik) ändern bzw. den Erfordernissen der Zeit anpassen zu müssen. Und wir wissen bekanntlich alle, der Mensch ist ein Gewohnheitstier. Das wissen auch Angreifer und machen sich diese Schwachstelle gerne zunutze.

Vor vielen Jahren war 2FA nicht weit verbreitet, das ist wahr. Mittlerweile ist dem aber nicht mehr so. Die meisten täglich bzw. regelmäßig genutzten Logins lassen sich mittels 2FA zusätzlich absichern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, sondern empfiehlt die Nutzung von 2FA mittlerweile als Basistipp zur IT-Sicherheit. Gut, auch das hat viele Jahre gedauert, aber das BSI hat seine frühere nicht optimale Haltung zum Thema Passwortwechsel korrigiert und den BSI IT-Grundschutz ebenfalls dahingehend angepasst.

Es gibt daher keinen Grund, sich nicht mit dem Thema 2FA zu befassen und diese, sofern vorhanden, für die eigenen Logins zu aktivieren, wo möglich. Es schläft sich wirklich ruhiger. Das kann der Autor aus eigener Erfahrung berichten 🙂

“Ja, aber ..”

“Dann muss ich ja immer mein Smartphone mit mir rumtragen?” — “Ja und? Machen Sie doch eh!” 🙂
“Wenn ich das privat gar nicht nutze und kein Diensthandy habe, dann muss ich die 2FA-App dennoch auf meinem Privatgerät installieren!” — “Ja, und? Die Abnutzung dadurch hält sich in Grenzen und es wird niemand bei Sinn und Verstand auf die Idee kommen, das nun als BYOD (bring your own device) einzustufen und zu regeln. Und Sie haben doppelten Nutzen: Ein mal installiert, können Sie nun auch gleich ihre privaten Logins damit absichern!”
“Unsere IT will das nicht!” — “Salopp: https://de.wikipedia.org/wiki/Einlauf_(Medizin)” oder “Verweisen Sie auf gängige Standards für Informationssicherheit sowie das BSI. Diese erklären und fordern 2FA. Es muss schon sehr triftige Gründe geben, davon Abstand zu nehmen. Diese müssen dokumentiert sein, wieso und durch wen es zu der Ablehnung gekommen ist. Für den Fall, dass dann doch etwas passiert, weiß man ja, wen man ansprechen muss :-)”
“Isch abe gar kein Handy!” — “Ja, und? Es gibt die Software-Lösungen auch für den Desktop der gängigen Betriebssysteme. Unpraktischer, wenn das Gerät gerade nicht an ist, aber besser als nichts.”
Bitte ergänzen Sie die Aufzählung mit zahlreichen weiteren Argumenten, warum 2FA nicht genutzt werden kann und verwerfen Sie diese augenblicklich wieder 🙂

2FA: Backup-Codes nicht vergessen

Selbst gestandene IT-Koryphäen tun sich mit 2FA gelegentlich schwer. Die Installation und Einrichtung geht noch locker von der Hand, aber dann wird eins schnell vergessen: Das Abspeichern der oder des sog. Backup-Codes. Diese sind notwendig, wenn man den Zugriff auf das Gerät verliert, auf dem der Generator (Authenticator) für 2FA installiert ist z.B. bei Defekt oder Verlust des Smartphones oder Ausfall der Festplatte (bei Desktop-Installationen). Denn ohne gültigen 2FA-Code kommt man nicht an / in den Account. Sprich man kann dann auch kein neues Gerät für die 2FA hinterlegen. Das ist vergleichbar mit das Haus verlassen, Tür hinter sich zuziehen und dann merken, der Haustürschlüssel liegt noch drinnen auf der Kommode. Der Prozess, um jetzt den Account wieder zugänglich zu machen ist aufwendig und zeitraubend z.B. durch Identitätsnachweise etc. Und das liegt in der Natur der Dinge. Sollte sich 2FA nämlich durch eine einfache Email oder einen Anruf beim Support deaktivieren lassen, wäre der Schutzwert von 2FA verloren. Es könnte sich ja jeder als Sie ausgeben und den Schutzmechanismus deaktivieren.

Von daher die Bitte: Immer nach Einrichtung eines 2FA für einen Login den angebotenen Backup-Code kopieren / herunterladen und sicher verwahren. Dazu eignen sich bestens sog. Passwort-Tresore (siehe Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der für die Empfehlung Passwörter regelmäßig zu wechseln verantwortliche Mitarbeiter der NIST nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Das NIST hat im Sommer 2017 diese damals 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit eigentlich gestoppt. Der “Ändere-Dein-Passwort-Tag” ist leider nicht totzukriegen.

Abschließender Tipp: Passwort-Tresore nutzen

Bei der Vielzahl an Passwörtern, die sich im Laufe eines aktiven Nutzerlebens so ansammeln, darf man ruhig auf Helferlein zurückgreifen, die das Leben etwas leichter machen. Dazu gehören u.a. die sog. Passwort-Tresore. Hierbei sollte man jedoch nicht unbedingt auf Anbieter aus der Cloud (“Bei uns sind Ihre Passwörter zentral gespeichert und sicher”) setzen. Wer mal etwas nach Sicherheitsvorfällen bei den einschlägig bekannten Online-Anbietern solcher Lösungen sucht, wird schnell fündig. Es gibt kostenfreie Alternativen, die auch für weniger technisch versierte Nutzer leicht zu installieren und zu bedienen sind. Und der Tresor mit den eigenen wichtigen Passwörtern verbleibt bei einem selbst. Eine Lösung dafür ist beispielsweise Keepass. Mehr zu diesem Tool inkl. einer bebilderten Anleitung zur Einrichtung und Nutzung finden Sie in unserem Blogbeitrag “Sichere und komfortable Passwort-Verwaltung mit Keepass”.

Verschlüsselung — eine kurze Geschichte

von Sascha Kuhrau
20. März 20209. Dezember 2020

Verschlüsselung ist ein spannendes und in der Informationssicherheit grundlegendes Thema. Die Notwendigkeit, unberechtigten Personen Informationen und Güter vorzuenthalten und gleichzeitig die positive Berechtigung über ein (über)tragbares, erlernbares Medium zu definieren, ist so alt wie die Erfindung der Schurkerei selbst.

κρυπτός, nein hier handelt es sich nicht um ein Beispiel für Verschlüsselung, sondern nur um Griechisch :). Kryptos bezeichnet das Geheime. Falls Sie bei diesem Begriff einen negativen Beigeschmack haben sollten, liegt das wahrscheinlich daran, dass Inhabern von Geheimnissen tendenziell negative Absichten zugesprochen werden. Grund dazu gibt es allerdings nicht. Denn die Gewinnung von — insbesondere personenbezogenen — Informationen wird zunehmend zur wertvollsten und lukrativsten Ressource. Und die gilt es mit einer angemessenen Sorgfalt zu wahren. Was mit einmal offengelegten oder kompromittierten Informationen geschieht, ist dann meist nur noch eine Frage der Nachsorge. Eine sichere Verschlüsselung ist somit zu einem der wichtigsten Wegbegleiter unserer beruflichen und privaten Persönlichkeitsentfaltung geworden.

Anfänge der Verschlüsselung

Altes chinesisches Vorhängeschloss — Wikimedia Commons

Schlüssel sind die älteste Form der Berechtigungsvergabe. Bis heute werden sie zur physischen Zugangs- und Zutrittskontrolle eingesetzt. Häufig werden sie kombiniert mit digitalen Kodierungen, die über eine Drahtlosabfrage validiert werden. Auch Maschinen(-funktionen) wie in Kraftwerken und Schiffen werden mit physischen Schlüsseln freigeschaltet. Die Abbildung zeigt Schlüssel mit Schloss wie sie vor einigen tausend Jahren in China eingeführt wurden. Für die verbale Informationssicherheit — einschließlich der Überwindung großer Distanzen — wurden Dazu gehören Insider- und Geheimsprachen. Diese datieren mitunter bis zu 2000 Jahre zurück. Wie etwa Gelehrten-Dialekte und Kaufmannssprachen, bei denen einzelne Laute, Silben und Phrasen entweder nach System oder durch gruppenspezifische Gewohnheiten ersetzt wurden.

Kodierungen und Kryptographie

Mit zunehmender Bedeutung des geschriebenen Wortes stieg der Bedarf, diese Information zu schützen. Zeichen durch andere zu ersetzen nach einem spezifischen, für Eingeweihte nachvollziehbaren System, wurde in verschiedenen Formen kultiviert. Jedem bekannt in unserem digitalen Zeitalter, fanden Kodierungen insbesondere Ihre Anfänge in der strategischen Anwendung. Um dem Gegner keinen Einblick in die Planungen zu geben und über weite Strecken Entscheidungen mitzuteilen, wurden Codesysteme wie etwa die Cäsar-Chiffre im 1. Jahrhundert v. Chr. entwickelt. Chiffrierscheiben ab 1467 und Chiffriermaschinen wie die abgebildete aus dem 20. Jahrhundert ermöglichten die einfach nachvollziehbare mechanische Chiffrierung geschriebener Inhalte.

Passwortkarte — online Generator der Universität Duisburg Essen

Tipp - In diesem Kontext sei eine nicht besonders bekannte und dennoch genial einfache Version der manuellen Verschlüsselungshilfe zu nennen. Die Passwortkarte. Diese Lässt sich mit wenigen Klicks selbst erstellen und auch online generieren. Anstelle der Zeichen des gewünschten Passworts als solche müssen Sie sich lediglich Startpunkt, ggf. beliebig viele Abzweigungen und Endpunkt merken. Wenn Sie eine individuelle Passwortkarte beispielsweise zweimal ausdrucken und ein Exemplar einem weit entfernten Gesprächspartner übermitteln, können Sie mit diesem sehr sichere Passwortabsprachen für gemeinsame Projekte absprechen und müssen dabei nur optische Orientierung erläutern.

Moderne Verschlüsselungen

Im Zuge der flächendeckenden Weiterentwicklung der digitalen Kommunikation wurde der erwartungsgemäßen Nachfrage der Verschlüsselung im behördlichen und corporate Bereich Rechnung getragen. IBM gründete Ende der 1960er Jahre eine Arbeitsgruppe, die sich erfolgreich mit der Entwicklung einer standardisierten Verschlüsselungslogik befasste. Diese wurde in den DES weiterentwickelt, eine symmetrische Verschlüsselungsmethode und Vorläufer des heutigen AES. Diese Blockchiffre AES ist trotz einiger erfolgreich durchgeführter spezialisierter Angriffsversuche bis heute einer der maßgeblichen, technisch und behördlich anerkannten Verschlüsselungsstandards.

Der AES-Standard wird auf Grund von Sicherheitsniveau und Effizienz weltweit eingesetzt. Er gilt außer in Bezug auf voluminöse brute force Angriffe als praktisch unknackbar in Kombination mit einem entsprechend starken Passwort. Es wurden sowohl diverse auf dieses Prinzip aufbauende als auch unabhängige Verschlüsselungsalgorithmen entwickelt wie RSA, MD5, IDEA, TripleDES und Blowfish sowie zahlreiche inzwischen offiziell kompromittierte und unsichere Standards wie SHA.

Zwei zentrale Aspekte bilden bei der Wissenschaft der Verschlüsselung weitestgehend gemeinsame Spezifika: Die Zerstückelung der Information (wie zB. in Hashfunktionen), die dann einer separaten, segmentweisen wiederholten Chifrierung zugeführt werden kann. Und die Anreicherung mit Misinformation wie zB. bei Salts, um die Identifizierung der eigentlichen Information zu erschweren.

Tipp — Sie können auch mit einfachsten Mitteln AES-256 Verschlüsselung auf Ihre zu schützenden Daten anwenden. Hierzu gibt es einige software Lösungen wie das prominenteste Beispiel winrar, das privat im Rahmen einer kostenfreie Testversion genutzt werden kann und auch im Firmeneinsatz überschaubar lizenziert werden kann. Zusammen mit einem guten Passwortkönnen Sie sehr sichere Dateicontainer herstellen und diese dann per herkömmlichem = unsicherem mail Weg versenden. Das Passwort selbst natürlich auf einem separaten Weg mitteilen wie telefonisch etc.

Ausblick der künftigen Verschlüsselung

Mit der zu erwartenden Markterschließung durch den kommerziellen Quantencomputer, der vor gut einem Jahr offiziell präsentiert wurde, gewinnt die Informationsstreuung in Ausgabewerten bei der Informationssicherung insbesondere gegen brute force Angriffe eine essenzielle Rolle. Statt einfach die Ausgangsinformation mit Algorithmen zu chiffrieren muss auch die Ausgabelogik intensiv weiterentwickelt werden, die beispielsweise bei jedem einzelnen Angriffsversuch vermeintlich entschlüsselt und dabei fake Daten im exakt erwarteten Format liefert.

Auch Mehrfaktorauthentifizierungen und automatische Sperren werden weiter an Gewicht im behördlichen, corporate und privaten Bereich gewinnen und sollten selbstverständlich bereits heute nach technischen Möglichkeiten eingesetzt werden, was unseres Erachtens in der Praxis noch stattliches Ausbaupotenzial hat 🙂

“Ich bereue den Passwort-Wahnsinn” — weg mit den Passwort Mythen

von Sascha Kuhrau
1. Februar 2020
5 Kommentare

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die “NIST Special Publication 800–63. Appendix A”. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf. Nach seiner Pensionierung fand Burr offene Worte für seine damalige Empfehlung ein sicheres Passwort: “Ich bereue den Passwort-Wahnsinn”

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

“Ich bereue den Passwort-Wahnsinn”

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. “Die Wahrheit ist: Ich war auf dem falschen Dampfer.” Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst “Über Bord mit veralteten starren Passwort-Richtlinien”.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett überarbeitet. Und diesen Wahnsinn damit hoffentlich gestoppt. Bis sich das in der Literatur und erst recht in der Praxis durchsetzt, wird es jedoch einige Zeit brauchen. Im Final Draft zum Baustein ORP4 des BSIFinal Draft zum Baustein ORP4 des BSI (IT-Grundschutz) heißt es im Oktober 2019:

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

In den aktuell (Stand 02/2020) veröffentlichten Baustein OPR4Baustein OPR4 hat dies leider noch keinen Einzug gefunden. Aber die Richtung stimmt.

Eine sichere Passwort-Richtlinie

Die aktualisierten Passwortempfehlungen lauten (zusammengefasst):

Keine Sonderzeichen mehr: Eine Auswahl an Groß- und Kleinbuchstaben zusammen mit Zahlen ist ausreichend. Besser ..
Längere Passwörter: Ein um nur einen Buchstaben verlängertes Passwort vergrößert den Suchraum für Passwortknacker mehr als ein Sonderzeichen. 12 Stellen sind Minimum, besser 20, Optimum 64. Dabei dürfen durchaus ganze Sätze zum Einsatz kommen. Solange es sich dabei nicht um bekannte Zitate oder Redewendungen handelt (Risiko Wörterbuchattacke!).
Keine regelmäßigen Änderungen mehr: Es erhöht sich lediglich die Gefahr des Vergessens oder Aufschreibens von Passwörtern. Das schafft keine Sicherheit, im Gegenteil!
Keine Sicherheitsfragen zur Freischaltung: Wo liegt die Sicherheit, wenn sich die Frage “Wie heißt ihr Haustier?” aus dem öffentlichen Facebook Profil eines Nutzers beantworten lässt?

Wir empfehlen zusätzlich eine Bedrohungsanalyse für die zu schützenden Logins. Greifen weitere Sicherheitsmaßnahmen wie automatische Sperre nach x Fehlversuchen , können auch kürzere Passwörter durchaus Sinn machen. Beantworten Sie sich doch einfach mal die Frage, wieso Banken eine EC-Karte mit einer PIN aus 4 Ziffern schützen? Weil Sie keine Ahnung von Sicherheit und Risiken haben? Oder weil die Karte nach 3 Fehlversuchen einfach gesperrt wird?

Natürlich kann es zwingende Gründe geben, ein Passwort doch mal zu ändern:

Es hat jemand bei der Eingabe des Passworts zugesehen (Shoulder Surfing)
Sie haben Ihr Passwort weitergegeben, statt einen Stellvertreterzugriff einzurichten
Ihre Zugangsdaten werden bei „Have I been pawned“„Have I been pawned“ oder auch dem Identity Leak CheckerIdentity Leak Checker des HPI (umfangreicher als HIBP) als kompromittiert gemeldet

Aber nur weil jedes Jahr der sog. „Change your Password“-Day ausgerufen ist, brauchen Sie nicht aktiv zu werden.

In vielen Fällen kann als weitere — unabhängige — Schutzmaßnahme auch eine Zwei-Faktor-Authentifizierung (2FA) zum Einsatz kommen und sehr nützlich sein. Neben dem Login mit Benutzername und Passwort wird über eine weitere unabhängige Komponente (Faktor) ein mehrstelliger Code zeitabhängig generiert, der zusätzlich angegeben werden muss. Diese Komponente kann ein Hardware-Token, eine Keycard oder auch ein Smartphone sein. Es gibt zahlreiche weitere Möglichkeiten für eine 2FA (Beitrag auf Wikipedia mit Erklärungen). Durch die Kombination dieser beiden voneinander unabhängigen notwendigen Angaben für den Login entsteht ein sehr hoher Schutz. Vorausgesetzt, auf den zweiten Faktor wird gut aufgepasst (Schutz des Smartphones mit Code-Sperre bei Inaktivität, Absicherung der 2FA App auf dem Smartphone mit weiterem Code oder Fingerprint).

Suchen Sie Argumente, die hausinterne Passwortrichtlinie zeitgemäß und sicher umzugestalten? Orientieren Sie sich an der neuen NIST Policy. Fakten zu den Mythen und Irrtümern als Argumentationshilfe finden Sie in unserem Blogbeitrag “Über Bord mit veralteten starren Passwort-Richtlinien”.

Sinnvoll ist es sicherlich, Admin-Kennwörter strengeren Schutzregelungen zu unterwerfen. Serverdienste sollte nicht nicht als Hauptadmin laufen, sondern einen eigenen Dienste-Admin erhalten. Administratoren verfügen über zwei Nutzeraccounts: Den personenbezogenen Administrationsaccount und einen Standardnutzer. Keine Admin-Aufgabe zu erledigen, dann wird auch nur im Standardnutzer gearbeitet. Und eigentlich selbsterklärend: Administrations-Accounts haben per Gruppenrichtlinie keinen Zugriff auf das Internet (leider immer noch nicht weit verbreitet).

Auch am Privat-PC gilt: Ein Admin-Account für Installation und Konfiguration, ein normaler Nutzer mit eingeschränkten Rechten für das tägliche Surfen, Mailen und Daddeln. Kostet wenig Zeit für das Umloggen bei Bedarf, erhöht aber das Schutzlevel um einiges.

Und nutzen Sie für die Flut an Passwörtern doch einfach einen Passwort-Tresor (keine Cloud-Anbieter) wie Keepass. Eine praktische Anleitung und Hilfe finden Sie hier im Blog.Eine praktische Anleitung und Hilfe finden Sie hier im Blog.

Weitere Beiträge zum Thema Passwort

Ihr Datenschutzbeauftragter oder Informationssicherheitsbeauftragter unterstützt Sie gerne bei diesem Thema. Sie haben keinen? Sprechen Sie uns an.

Update 01.02.2020:
Ergänzen von Gründen für Passwort-Wechsel, Hinweise auf Umgang mit Admin-Accounts, Verweis auf BSI Draft Baustein ORP.4

Sichere und komfortable Passwort-Verwaltung mit Keepass

von Sascha Kuhrau
30. Mai 20197. Juli 2021
4 Kommentare

Passwörter — zu viele, zu komplex, kaum zu merken

Es gibt zahlreiche Mythen rund um die Themen Passwort und Sicherheit, die sich hartnäckig halten. Und das obwohl allen Akteuren eigentlich klar sein sollte, dass die Ideen dahinter aus dem Bereich Fantasy entstammen, jedoch nicht zur Passwort-Sicherheit beitragen. Anhänger der Theorien “Passwörter müssen immer Sonderzeichen und Zahlen enthalten” und “Passwörter muss man regelmäßig wechseln” lassen sich davon eh nicht abbringen. Die Vernünftigen der Zunft haben die Zeichen der Zeit erkannt und drangsalieren die Nutzer nicht mehr mit diesem Ballast, der konkret beleuchtet eher Unsicherheit statt Sicherheit bringt. Doch hier sollen keine Glaubenskriege ausgefochten werden. Wen es interessiert, hier haben wir weitere Details dazu zusammengetragen:

Fakt ist, unterschiedliche Logins / Accounts sollten auch unterschiedliche Passwörter nutzen. Damit ist sichergestellt, dass ein einzelner kompromittierter Zugang nicht zum Öffnen aller anderen Zugänge genutzt werden kann. Unabhängig von Passwortlänge und Komplexität kommen hier für einen Anwender im Laufe der digitalen Nutzung zig Login-Daten zusammen (PC Anmeldung, Programm Anmeldung, Cloud-Speicher Anmeldung, diverse Accounts bei Online-Shops, PINs und und und). Und alle Zugänge haben ein unterschiedliches Passwort. Wer soll sich das alles merken? Abhilfe schaffen sogenannte Passwort-Tresore wie Keepass.

Keepass — oder das letzte Passwort, dass Sie sich merken müssen

Wenn Sie die Suchmaschine Ihrer Wahl bemühen, werden Sie mit den Suchbegriffen “Passwort Tresor” unzählige Treffer finden. Über die Sinnhaftigkeit vieler Angebote lässt sich trefflich streiten. Es bleibt immer zu hinterfragen, ob Sie Ihre Zugangsdaten einem fremden Dienst / Anbieter anvertrauen (möglicherweise noch aus den USA oder Russland) oder nicht doch lieber Herr über Ihre eigenen Passwörter bleiben wollen. Ein Tool hierzu ist Keepass. Keepass steht für eigentlich alle gängigen Plattformen wie Windows, Linux, MacOS, iOS, Android und andere zur Verfügung. Somit ist sichergestellt, den eigenen Passwort-Tresor auch plattformübergreifend nutzen zu können. Ein Tresor an einer zentralen Stelle erleichtert den Aktualisierungsaufwand enorm. Wir haben unsere Passwort-Tresore beispielsweise in einem Cloud-Speicher abgelegt. Bevor jetzt jemand den Kopf schüttelt, dieser Speicherplatz ist zusätzlich noch mal mit einem separaten und plattformunabhängigen Tool verschlüsselt 🙂

In einem mit einem guten Masterpasswort verschlüsselten Passwort-Tresor mit Keepass haben Sie ab sofort eine zentrale Zugriffsmöglichkeit auf alle Ihre schützenswerten Informationen beginnend mit Login-Informationen (Benutzernamen und Passwörter), aber auch für PIN oder Lizenzschlüssel für gekaufte Software. Die Einsatzzwecke eines solchen Tresors mit Keepass sind sehr umfangreich. Was und wie erfahren Sie in in unserer PDF Anleitung.

Doch jetzt genug geschrieben. Am Ende dieses Beitrags finden Sie eine konkrete Anleitung zur Installation und Nutzung von Keepass sowohl für den geschäftlichen / dienstlichen als auch privaten Einsatz. Gerne dürfen Sie das Dokument intern und extern weitergeben. Wir würden uns freuen, wenn Sie die Hinweise auf unsere Urheberschaft nicht entfernen. Verhindern können und wollen wir das nicht. Was wir aber ungern sehen würden, wäre dieses Dokument im Rahmen von Bezahlangeboten online oder Print wiederzufinden. Fair play!

Kritische Stimme zu Passwort-Tresoren

Alles was Licht hat, wirft auch Schatten. Auch Passwort-Tresore haben Schwächen. Einen sehr empfehlenswerten Beitrag gibt es von Ralph Dombach hier zu lesen:

https://www.security-insider.de/password-manager-nein-danke-a-689795/

Doch hier der Download “Anleitung und Einsatzmöglichenkeiten Keepass”

Sichere Passwortverwaltung mit Keepass

Jetzt herunterladen!

1882 Downloads

Passwort-Safes zu Unrecht wenig beliebt

von Sascha Kuhrau
27. Oktober 201415. Oktober 2023

Laut einer aktuellen Bitkom Studie nutzen lediglich 24% der befragten Internetnutzer Passwort-Safes für Computer und Online-Dienste. Das sind 5% Prozentpunkte mehr als im vergangenen Jahr, was seitens Bitkom auf ein gestiegenes Problembewußtsein seitens der Nutzer aufgrund der NSA Affäre zurückzuführen sei. Die Mehrheit bevorzugt jedoch nach wie vor einfache und mehrfach genutzte Passwörter. Letzters wird schnell zum Problem, wenn ein Account erfolgreich kompromittiert wurde.

Über die Länge und Komplexität von Passwörtern werden wahre Glaubenskriege geführt. Kann es der einen Partei nicht lang und komplex genug sein, zeichnet sich die Gegenseite durch eine teilweise naïve Sichtweise auf das Thema aus. Die Lösung wird — wie so oft — dazwischen liegen. Fakt ist, zu kurze Passwörter eventuell noch ohne Komplexität sind ein gefundenes Fressen, sofern keine weiteren Hürden wie Login Sperren nach x Fehlversuchen aufgestellt sind. Fakt ist aber auch, ein zu langes Passwort ist aus der Praxis heraus unsicher, da es sich der Anwender nicht merken kann und irgendwo niederschreibt.

Einen Kompromiss stellen Passwort-Safes dar. Diese werden durch ein einmaliges komplexes sicheres Passwort geschützt und in der dahinterliegenden Datenbank werden alle anderen Zugangsdaten für Computer und Online-Dienste verschlüsselt abgelegt. So muss sich der Nutzer erst mal nur das Hauptpasswort merken, das gelegentlich auch geändert werden kann (und sollte). Alle weiteren zu schützenden Informationen sind sicher im Container des Passwort-Safes gespeichert. Mit weiteren Lösungen wie z.B. Boxcryptor kann die Datenbank dann sogar in Cloud-Diensten zusätzlich verschlüsselt abgelegt werden. Der Zugriff ist für die gängigsten Lösungen ist jederzeit vom PC oder auch mobilen Geräten mit Android und iOS möglich. Natürlich sollten mobile Endgeräte mit weiteren Schutzmaßnahmen versehen sein, damit der Passwort-Safe nicht frei zugänglich ist bei Verlust des Geräts.

Online Speicherdienste (zumeist von amerikanischen Anbietern) sollten sich mit etwas gesundem Menschenverstand von selbst verbieten.

Links

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

von Sascha Kuhrau
6. August 2014
1 Kommentar

Amerikanische und nun auch deutsche Medien berichten vom wohl größten Datenklau in der Geschichte des Internets. Zumindest vom größten bekannten Datenklau kann man wohl getrost ausgehen.

Einer russischen Hackergruppe soll es gelungen sein, über 1,2 Milliarden Datensätze zu hacken. Betroffen seien Benutzernamen, Passwörter und auch Email-Adressen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik, kurz BSI warnt vor der optimistischen Einschätzung, deutsche Nutzer könnten eventuell nicht betroffen sein. Sobald man weitere Informationen aus den USA vorliegen habe, werde man sich um Hilfestellungen für deutsche Internetnutzer bemühen und diese veröffentlichen. Ursprünglich seien wohl sogar mehr als 4 Milliarden Datensätze betroffen gewesen, doch durch Ausschluß von Dopplungen sei es zu einer Reduktion auf 1,2 Mrd. gekommen.

Nun heißt es also wieder mal, breitflächig Passwörter ändern. Das diese gewiße Sicherheitsanforderungen genügen müssen, sollte sich mittlerweile rumgesprochen haben. Auch die Nutzung von einem Passwort für mehrere Dienste ist geeignet, es Hackern und Dieben leichter zu machen — von daher keine gute Idee. Da man sich diese nicht alle merken kann, bietet sich die Nutzung eines Passwort-Tresors wie Keepass an. Cloud basierte Passwortmanager ohne Verschlüsselugn oder gar von amerikanischen Anbietern sollten sich von selbst verbieten.

Wohl dem, der in seinen Online Profilen nicht alle Komfort-Merkmale nutzt. Es ist zwar praktisch, wenn der Online Shop die Kreditkartendaten für eine schnellere Abwicklung schon gespeichert hat und man diese nicht mehr eingeben muss. Sicher ist dabei aber im Zweifel nur eins: wird Ihr Account gehackt — und wenn auch über Umwege -, dann hat der Hacker auch gleich noch Ihre Zahlungsdaten. Wollen Sie das?

Wir halten Sie auf unserem Blog informiert, wenn seitens des BSI belastbare Informationen kommuniziert werden.

Evernote erfolgreich gehackt — Millionen Nutzerdaten und Passwörter abgegriffen

von Sascha Kuhrau
3. März 2013

Der cloudbasierte Notizservice Evernote wurde Opfer eines erfolgreichen Hackerangriff. Dies verlautbarte das Unternehmen gestern auf seinem Blog.

Lapidar wird über den Zugriff und das Auslesen von ca. 50 Millionen Nutzerprofilen samt Passwörtern berichtet. Letztere waren verschlüsselt und bei Evernote ist man sich ziemlich sicher, das eine Entschlüsselung nicht möglich sei. Dennoch hat das Unternehmen alle Passwörter zurückgesetzt. Sobald sich ein Nutzer einloggt, wird er zur Vergabe eines neuen Passworts aufgefordert. Eine weitere Aufklärung des Nutzers über das Warum und Wieso unterläßt Evernote an dieser Stelle. Die Gründe muss der Nutzer selbst im Web recherchieren.

Nach Angaben von Evernote seien keine Zahlungsdaten von Premium-Nutzern betroffen gewesen.

Update 03.03.2013, 15 Uhr: Mittlerweile versendet das Unternehmen Emails an die Account-Inhaber mit einer entsprechenden Erklärung des Vorfalls. Es handelt sich dabei um eine Übersetzung des eingangs erwähnten Blogbeitrags.

Kostenloser Online Passwort Check

von Sascha Kuhrau
29. Juni 2010
1 Kommentar

Der Datenschutzbeauftragte des Schweizer Kantons Zürich bietet einen kostenfreien Online Check für die Stärke eines gewählten Passworts. Die Eingabe erfolgt über eine verschlüsselte https — Verbindung, eine farbliche Markierung in Grün oder Rot zeigt die Tauglichkeit des gewählten Passworts an.

Es ist ratsam, kein aktives Passwort für die Überprüfung zu wählen, sondern auf ein in der Struktur und Zusammensetzung ähnliches Passwort auszuweichen.

Zum Passwort Online Check

Die Hitliste unsicherer Passwörter und Passwortfehler

von Sascha Kuhrau
22. April 2010

Man glaubt es kaum, doch trotz aller Warnungen und Sensibilisierungsversuche werden nach wie vor die einfachsten Regeln zur Passwortsicherheit nicht eingehalten. Nicht ohne Grund werden die Charts der unsicheren Passwörter angeführt von

12345
passwort / password
abcdef
qwertz (schauen Sie mal auf Ihre Tastatur oben links)
(Kose-) Name der Frau / Freundin / Kinder
Haustiernamen
Geburtsdatum
Hobbies
Name der Grundschule
Lieblingsfilm
uvm.

Wo ist das Problem, mag mancher denken? Ganz einfach: selbst ein Standard-PC braucht mit im Netz frei erhältlicher Software nur noch wenige Sekunden mit sog. Wörterbuchangriffen oder ebenfalls verfügbarer Zahlenlisten, um solche Passwörter auszuhebeln. Doch auch zu kurze Passwörter sind mit sog. brute force Attacken (die auch sinnfreie Kombinationen austesten) in kurzer Zeit geknackt.

Die Folgen unterschiedlich — von einfacher Accountübernahme bis hin zu finanziellen Schäden im privaten oder betrieblichen Umfeld.

Was sollte bei der Auswahl von Passwörtern und ihrer Anwendung beachtet werden?Weiterlesen »Die Hitliste unsicherer Passwörter und Passwortfehler

Passwort

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

2FA ist kei­ne Raketenwissenschaft

“Ja, aber ..”

2FA: Back­up-Codes nicht vergessen

“Ich bereue den Passwort-Wahnsinn”

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Anfän­ge der Verschlüsselung

Kodie­run­gen und Kryptographie

Moder­ne Verschlüsselungen

Aus­blick der künf­ti­gen Verschlüsselung

Wie­so bis­her ein Pass­wort dau­ernd gewech­selt wer­den musste

Bis­her galt ein Pass­wort als sicher, wenn es kom­plex war und dau­ernd geän­dert wurde

“Ich bereue den Passwort-Wahnsinn”

Eine siche­re Passwort-Richtlinie

Pass­wör­ter — zu vie­le, zu kom­plex, kaum zu merken

Kee­pass — oder das letz­te Pass­wort, dass Sie sich mer­ken müssen

Warum bzw. wann sollte ich ein Passwort überhaupt ändern bzw. wechseln?

Besser: Zwei-Faktor-Authentifizierung (2FA) aktivieren, statt Passwort zu ändern

2FA ist keine Raketenwissenschaft

2FA: Backup-Codes nicht vergessen

Abschließender Tipp: Passwort-Tresore nutzen

Anfänge der Verschlüsselung

Kodierungen und Kryptographie

Moderne Verschlüsselungen

Ausblick der künftigen Verschlüsselung

Wieso bisher ein Passwort dauernd gewechselt werden musste

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Eine sichere Passwort-Richtlinie

Passwörter — zu viele, zu komplex, kaum zu merken

Keepass — oder das letzte Passwort, dass Sie sich merken müssen