Pass­wort­grund­sätze dringend erforderlich

Ein­fach­pass­wörter für „Nicht-Schü­t­­zen­s­­wertes“ haben Ihre Berech­tigung. Dem Bot-Netz Pony sei Dank, ist nun eine Analyse „echter“ Pass­wörter möglich. Gut und sehr gut sind 22%. Zufrie­den­stellend sind immerhin noch 44%.

Ich hätte nicht gedacht, dass es so schnell gehen würde eine echte Auswahl benutzter Pass­wörter zu erhalten. Die aktu­ellen Aus­sagen zur Qua­lität von Pass­wörtern sind ergänzend zum Beitrag über Ein­fach­pass­wörter einen eigenen Beitrag wert.

Nur ein Drittel der ein­ge­setzten Pass­wörter sind schlecht!

Aktuell sind wieder einmal geklaute Pass­wörter öffentlich geworden: „2 Mio. Pass­wörter im Netz auf­ge­taucht“. Die Sicher­heits­profis der Firma Trustwave haben nach eigenen Angaben 2 Mil­lionen Pass­wörter beim Zugriff auf ein Bot-Netz erbeutet und ana­ly­siert. Im Unter­schied zum letzten Coup von Adobes Pass­wörtern zeichnet sich nun ein deut­licher Unter­schied in der Qua­lität der Pass­wörter ab.

Das High­light ist, dass zwei Drittel der Pass­wörter zufrie­den­stellend oder besser sind. Dies hört sich schon deutlich besser an als in der ver­gan­genen Analyse, bei der in 38 Mil­lionen Accounts vor­wiegend Ein­fach­pass­wörter ent­halten waren. Damit können wir dem Redakteur der c’t wohl recht geben, dass manche Accounts kein ‘gutes‘ Passwort wert sind.

Trust­waves Analyse über die Qua­lität der durch das Pony Bot-Netz gesam­melten Passwörter
Bild: Trustwave SpiderLabs

Dennoch zeigen auch hier die Top11 kein hohes Maß an Krea­ti­vität: 123456, 123456789, 123, password, 12345, 12345678, admin, 123, 1, 1234567, 111111. Aller­dings stellen diese Top11 nur einen geringen Pro­zentsatz dar: 123456 ist lediglich mit 0,79% ver­treten, die gesamten Top 11 nur mit 1,85%.

Gerade im Ver­gleich mit dem Passwort-Klau bei Adobe sieht dies deutlich besser aus. Es besteht also Hoffnung;-)

Als „Excellent“ gelten Pass­wörter aus den Seg­menten Groß‑, Klein­buch­staben, Zahlen und Son­der­zeichen und einer Länge von min­destens 8 Zeichen. Als „Ter­rible“ gelten Pass­wörter mit einer Länge von höchsten 4 Zeichen aus einem der Segmente.

Die Sehn­sucht nach dem ein­fachen Passwort

Über 350.000 Pass­wörter sind länger als 10 Stellen. Und über 450.000 Pas­sörter sind zwi­schen 6 und 9 stellig. In mehr als 40% also zufrie­den­stel­lende bis sehr gute Pass­wort­längen. Sieht auf den ersten Blick wirklich nicht schlecht aus. Aber der Teufel liegt natürlich im Detail.

Bei näherer Betrachtung habe ich dennoch etwas gezuckt: „Keep it simple“ ist nicht nur eine Anfor­derung des Manage­ments, sondern auch des ein­fachen Users. Gut, wenn man berück­sichtigt, dass die ein­ge­setzten Pass­wörter allent­halben geändert– und natürlich unter­schied­liche Dienste auch noch mit einem eigenen abge­si­chert werden sollen — kommt eine erkleck­liche Menge an Pass­wörtern heraus. Dem muss man irgendwie begegnen.
 
Nichts­des­to­trotz ist es eine schlechte Idee es nicht nur sich selbst, sondern auch einem Angreifer zu einfach zu machen: Auch wenn die Länge passt, müssen wir bei der Kom­ple­xität noch etwas üben: Denn die eben genannten – scheinbar guten, weil langen Pass­wörter — bestehen leider vor allem aus einem ein­zigen (!) oder nur 2 Zeichen, also bei­spiels­weise „aaaaaaaa“ oder abababababab“.

Pass­wort­grund­sätze als Korrektiv

Gerade im geschäft­lichen Umfeld oder beim Umgang mit sen­siblen Infor­ma­tionen sollten gute Pass­wörter selbst­ver­ständlich Pflicht sein. Unter dem Motto „Und bist du nicht willig so brauch ich …“ Policies! Dies sind im Betriebs­system ver­an­kerte Regeln, die nur darauf warten akti­viert zu werden. Und schon ist jeder Nutzer genötigt, nicht nur eine Min­dest­länge ein­zu­halten, sondern bei­spiels­weise auch eine Mischung aus Groß‑, Klein­schreibung und Son­der­zeichen zu ver­wenden. Das Ganze lässt sich noch gar­nieren mit einer Passwort-His­­torie, so dass wie­der­keh­rende Pass­wörter ver­hindert werden.

Nur 15 Minuten für die besten 6‑stelligen Passwörter

Wör­­terbuch-Attacken stellen aus gutem Grund immer die Vorhut einer Brute-Force-Attacke dar. Im Wör­terbuch stehen je nach Umfang zunächst alle gän­gigen Wörter, (Vor-)Namen, Städte, Urlaubsorte etc. – und natürlich sämt­liche Ein­fach­pass­wörter, dann der übrige Wort­schatz – der eben leicht zu merken und ebenso leicht zu ana­ly­sieren ist. Erst im Anschluss werden alle belie­bigen „sinn­losen“ also guten Kom­bi­na­tionen ausprobiert.
 
Der Grund für eine Min­dest­länge ist auch denkbar einfach: Selbst mit einem ange­staubten PC lassen sich sogar die besten 6‑stelligen Pass­wörter mit Groß‑, Klein­schreibung und Son­der­zeichen in maximal 15 Minuten knacken!

Fazit

Dem Argument „man muss sich so viele Pass­wörter merken“ kann leicht mit ent­spre­chenden Passwort-Managern begegnet werden. Letztlich ist selbst so ein Stück Software mit guten Pass­wörtern besser als ein­fache Pass­wörter – merken muss man sich nur ein soge­nannte „Master-Passwort“, das wie eine PIN funk­tio­niert. Mit diesen Managern stellen auch gute — also lange und kom­plexe — Pass­wörter kein Problem mehr dar.
Das Argument, alle Pass­wörter bei einem Passwort-Manager  auf einmal zu ver­lieren, ist hin­fällig, wenn alter­nativ  — also ohne PW-Manager — aus Bequem­lichkeit ohnehin nur wenige ver­schiedene und vor allem ein­fache Pass­wörter ver­wendet werden.

Besser ist natürlich ein Passwort-Manager auf einem USB-Stick, der nur nach Bedarf ein­ge­setzt wird. Abrunden lässt sich die USB-Lösung durch ver­schlüsselt abge­legte Pass­wörter mit Zugangs- PIN. Ideal ist ein Zer­ti­fikat einer SmartCard oder eines neuen Personalausweises.

Wer innerhalb seines Unter­nehmens sicher gehen möchte, sollte den anfäng­lichen Aufwand nicht scheuen und eine Besitz­kom­po­nente für die Authen­ti­fi­kation ein­führen. Als Ergänzung dienen USB-gestützte Passwort-Manager, die sich für alle Ein­satz­ge­biete eignen, die außerhalb des Unter­nehmens liegen.

Bild: © Gerd Altmann / pixelio.de