Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Passwortgrundsätze dringend erforderlich
Einfachpasswörter für „Nicht-Schützenswertes“ haben Ihre Berechtigung. Dem Bot-Netz Pony sei Dank, ist nun eine Analyse „echter“ Passwörter möglich. Gut und sehr gut sind 22%. Zufriedenstellend sind immerhin noch 44%.
Ich hätte nicht gedacht, dass es so schnell gehen würde eine echte Auswahl benutzter Passwörter zu erhalten. Die aktuellen Aussagen zur Qualität von Passwörtern sind ergänzend zum Beitrag über Einfachpasswörter einen eigenen Beitrag wert.
Nur ein Drittel der eingesetzten Passwörter sind schlecht!
Aktuell sind wieder einmal geklaute Passwörter öffentlich geworden: „2 Mio. Passwörter im Netz aufgetaucht“. Die Sicherheitsprofis der Firma Trustwave haben nach eigenen Angaben 2 Millionen Passwörter beim Zugriff auf ein Bot-Netz erbeutet und analysiert. Im Unterschied zum letzten Coup von Adobes Passwörtern zeichnet sich nun ein deutlicher Unterschied in der Qualität der Passwörter ab.
Das Highlight ist, dass zwei Drittel der Passwörter zufriedenstellend oder besser sind. Dies hört sich schon deutlich besser an als in der vergangenen Analyse, bei der in 38 Millionen Accounts vorwiegend Einfachpasswörter enthalten waren. Damit können wir dem Redakteur der c’t wohl recht geben, dass manche Accounts kein ‘gutes‘ Passwort wert sind.
Trustwaves Analyse über die Qualität der durch das Pony Bot-Netz gesammelten Passwörter
Bild: Trustwave SpiderLabs
Dennoch zeigen auch hier die Top11 kein hohes Maß an Kreativität: 123456, 123456789, 123, password, 12345, 12345678, admin, 123, 1, 1234567, 111111. Allerdings stellen diese Top11 nur einen geringen Prozentsatz dar: 123456 ist lediglich mit 0,79% vertreten, die gesamten Top 11 nur mit 1,85%.
Gerade im Vergleich mit dem Passwort-Klau bei Adobe sieht dies deutlich besser aus. Es besteht also Hoffnung;-)
Als „Excellent“ gelten Passwörter aus den Segmenten Groß‑, Kleinbuchstaben, Zahlen und Sonderzeichen und einer Länge von mindestens 8 Zeichen. Als „Terrible“ gelten Passwörter mit einer Länge von höchsten 4 Zeichen aus einem der Segmente.
Die Sehnsucht nach dem einfachen Passwort
Über 350.000 Passwörter sind länger als 10 Stellen. Und über 450.000 Passörter sind zwischen 6 und 9 stellig. In mehr als 40% also zufriedenstellende bis sehr gute Passwortlängen. Sieht auf den ersten Blick wirklich nicht schlecht aus. Aber der Teufel liegt natürlich im Detail.
Bei näherer Betrachtung habe ich dennoch etwas gezuckt: „Keep it simple“ ist nicht nur eine Anforderung des Managements, sondern auch des einfachen Users. Gut, wenn man berücksichtigt, dass die eingesetzten Passwörter allenthalben geändert– und natürlich unterschiedliche Dienste auch noch mit einem eigenen abgesichert werden sollen — kommt eine erkleckliche Menge an Passwörtern heraus. Dem muss man irgendwie begegnen.
Nichtsdestotrotz ist es eine schlechte Idee es nicht nur sich selbst, sondern auch einem Angreifer zu einfach zu machen: Auch wenn die Länge passt, müssen wir bei der Komplexität noch etwas üben: Denn die eben genannten – scheinbar guten, weil langen Passwörter — bestehen leider vor allem aus einem einzigen (!) oder nur 2 Zeichen, also beispielsweise „aaaaaaaa“ oder abababababab“.
Passwortgrundsätze als Korrektiv
Gerade im geschäftlichen Umfeld oder beim Umgang mit sensiblen Informationen sollten gute Passwörter selbstverständlich Pflicht sein. Unter dem Motto „Und bist du nicht willig so brauch ich …“ Policies! Dies sind im Betriebssystem verankerte Regeln, die nur darauf warten aktiviert zu werden. Und schon ist jeder Nutzer genötigt, nicht nur eine Mindestlänge einzuhalten, sondern beispielsweise auch eine Mischung aus Groß‑, Kleinschreibung und Sonderzeichen zu verwenden. Das Ganze lässt sich noch garnieren mit einer Passwort-Historie, so dass wiederkehrende Passwörter verhindert werden.
Nur 15 Minuten für die besten 6‑stelligen Passwörter
Wörterbuch-Attacken stellen aus gutem Grund immer die Vorhut einer Brute-Force-Attacke dar. Im Wörterbuch stehen je nach Umfang zunächst alle gängigen Wörter, (Vor-)Namen, Städte, Urlaubsorte etc. – und natürlich sämtliche Einfachpasswörter, dann der übrige Wortschatz – der eben leicht zu merken und ebenso leicht zu analysieren ist. Erst im Anschluss werden alle beliebigen „sinnlosen“ also guten Kombinationen ausprobiert.
Der Grund für eine Mindestlänge ist auch denkbar einfach: Selbst mit einem angestaubten PC lassen sich sogar die besten 6‑stelligen Passwörter mit Groß‑, Kleinschreibung und Sonderzeichen in maximal 15 Minuten knacken!
Fazit
Dem Argument „man muss sich so viele Passwörter merken“ kann leicht mit entsprechenden Passwort-Managern begegnet werden. Letztlich ist selbst so ein Stück Software mit guten Passwörtern besser als einfache Passwörter – merken muss man sich nur ein sogenannte „Master-Passwort“, das wie eine PIN funktioniert. Mit diesen Managern stellen auch gute — also lange und komplexe — Passwörter kein Problem mehr dar.
Das Argument, alle Passwörter bei einem Passwort-Manager auf einmal zu verlieren, ist hinfällig, wenn alternativ — also ohne PW-Manager — aus Bequemlichkeit ohnehin nur wenige verschiedene und vor allem einfache Passwörter verwendet werden.
Besser ist natürlich ein Passwort-Manager auf einem USB-Stick, der nur nach Bedarf eingesetzt wird. Abrunden lässt sich die USB-Lösung durch verschlüsselt abgelegte Passwörter mit Zugangs- PIN. Ideal ist ein Zertifikat einer SmartCard oder eines neuen Personalausweises.
Wer innerhalb seines Unternehmens sicher gehen möchte, sollte den anfänglichen Aufwand nicht scheuen und eine Besitzkomponente für die Authentifikation einführen. Als Ergänzung dienen USB-gestützte Passwort-Manager, die sich für alle Einsatzgebiete eignen, die außerhalb des Unternehmens liegen.
Bild: © Gerd Altmann / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare