Liebe Anwender,
liebe Programmierer,
ich schreibe euch, weil sich hartnäckig die Meinung hält, dass sichere Passwörter …
… Sonderzeichen enthalten müssen.
… eine oder mehrere Zahlen enthalten müssen.
… Groß- und Kleinschreibung verwendte werden muss.
… in vielen Fällen nicht mehr als z. B. 16 Zeichen bei Registrierungsformularen eingegeben werden können.
Das stimmt so aber nicht und diese falschen Annahmen führen dann in der Praxis eher zu unsicheren Passwörtern. „Weihnachten123“, „TesT!“, „securityn3rd“, „12346“ sind keine sicheren Passwörter.
„Lasst uns bitte noch mal neu anfangen mit dem Thema: sichere Passwörter“
I. Ab 25 Zeichen wird es sicher: Die Länge des Passworts ist entscheidend
Bei Passwörter besteht der Hauptschutz darin, dass es zu aufwändig ist, automatisiert alle möglichen Kombinationen durchzuprobieren. Dein Amazon-Zugang zum Beispiel ist 24/7 aus dem Internet erreichbar. Jemand, der deine E-Mail-Adresse kennt, kann probieren, sich mit damit und mit einem ausgedachten Passwort anzumelden. Klingt mühsam, das richtige Passwort zu erraten. Wenn nun dieser Jemand aber kein Mensch sondern ein Computerprogramm ist, das 1000 Anmeldungen pro Sekunde durchführt … du siehst, wo das Problem liegt. Jetzt ist es nicht mehr die Frage „ob“ das richtige Passwort rausgefunden wird, sondern nur noch „wie lange es dauert“. Ok, im Beispiel Amazon greifen natürlich hoffentlich noch weitere Sicherheitsmaßnahmen, bei denen die maximal möglichen Anmeldeversuche pro Minute limitiert sind. Aber es gibt Systeme gibt, die diesen Schutz nicht haben, oder er bei denen er sich eventuell umgehen lässt. Dann hilft nur es nur seinen Zugang mit einem möglichst aufwändig zu erratenden Passwort zu sichern.
Aber Sonderzeichen, Zahlen oder Groß-/Kleinschreibung machen das erraten nicht wirklich aufwändiger. Es geht rein um die Länge. Bei der aktuellen Rechenleistung der Computer beginnt der sichere Bereich so ab 20 Zeichen. Besser sind 25 Zeichen oder länger
II. 4 Worte – ein Passwort: Das sind sichere und trotzdem leicht merkbare Passwörter
„correcthorsebatterystaple“ ist wohl das berühmteste Beispiel für ein sicheres Passwort, dass sich Menschen leicht merken können, Computer aber nur schwer erraten können. „correct“ + „horse“ + „battery“ + „staple“ – Vier Worte aneinanderzureihen zu denen man sich eine Geschichte ausdenkt, ist eine gute Methode. Dieser Vorschlag stammt von Randall Munroe (xkcd.com) und seinem „Password Strengths“ Comic – dem wir uns gern anschließen. Überlege dir vier Worte, zu denen dir ein Bild einfällt, z. B. „elefantschieftrompetekleingeld“. Fertig ist das sehr sichere Passwort!
III. Schreib Passwörter auf oder verwende einen Passwort-Safe
Es spricht nichts dagegen, sich Passwörter zu notieren. Im Gegenteil! Wer wenig Passworte zu merken hat, kann diese auf Papier notieren. Wer mehr Passwörter zu merken hat und häufig Passwörter eingeben muss, sollte auf einen Passwort-Safe am Computer zurückgreifen, z. B. KeePass. Das ist ein Hilfsprogramm, das alle Passwörter aufnimmt und sie hinter einem weiteren Passwort sicher verschlüsselt speichert. So braucht man sich wieder nur ein Passwort zu merken, denn die Passwort-Safe Programme haben oft eine Funktion mit der man Passwörter in die Zwischenablage kopieren und dann im Passworteingabefeld einfügen kann.
IV. Jeder Zugang hat sein eigenes Passwort
Ok, nach der obigen Regel wissen wir nun, wie man ein sicheres Passwort erstellt. Aber bitte: Verwendet nicht überall das gleiche Passwort. Idealer Weise hat jeder Zugang ein eigenes Passwort. Denn wenn der Serverbetreiber mit eurem Passwort fahrlässig umgeht und es ohne euer Verschulden Dritten in die Hände fällt … dann könnt ihr trotzdem ruhig schlafen und verliert nicht gleich noch euren
V. Für Administratoren gelten verschärfte Sonderregeln
– Passwörter bei deren Eingabe die Gefahr besteht, dass dritte Zusehen könnten, sollten auch 30+ Zeichen lang sein, aber eventuell eben doch nicht aus leicht merkbaren Worten bestehen, sondern aus Zahlen-, Zeichen- und Buchstabensalat – gespeichert in einem Passwort-Safe (siehe oben). Als Admin gilt, wenn du dir das Passwort für den Serverzugang merken kannst, ist es eventuell nicht sicher genug.
– Für manche Zugänge (z. B. SSH) ist es besser, mit Keys oder Zertifikaten statt Passworten zu arbeiten.
VI. Programmierer/innen: Bitte Registrierungsformulare überdenken
Jeder, der ein Registrierungsformular entwirft oder dafür die Passwort-Richtlinien festlegt, steht in der Verantwortung, seine Anwender zur Vergabe von sicheren Passwörtern anzuleiten. Liebe Programmierer/innen, bitte verzichtet doch auf die unsinnigen Regeln mit Sonderzeichen, Zahlen und Groß-/Kleinschreibung. Das nervt uns alle und macht die Passwörter ja gar nicht sicherer. Hinterlegt doch einfach eine einzige Richtlinie, dass Passwörter z. B. mindestens 20 Zeichen lang sein müssen. Fertig. Die paar mehr Byte für die Speicherung in eurer Datenbank werde ihr doch noch haben. Oder?
Es gäbe noch so viel Mehr über Passwörter zu sprechen. Warum müssen Passwörter überhaupt immer Zeichen sein? Gehen auch Emojis? Was ist mit 2-Faktor-Authentifizierung? Warum ist ein Fingerabdruck eher ein Benutzername als ein Passwort? Warum speichern nach wie vor viele Betreiber Passwörter unsicher auf ihren Servern ab?
Aber das sind Themen für ein andermal. Für heute haben wir auf jeden Fall genug geschafft! Wir werden nun alle einfach längere und damit sicherere Passwörter verwenden. Großes Lob an alle, die mitmachen!
Mit herzlichen Grüßen
Eure Infosec-Nerds