Sichere Passwörter und gute Authentifizierungsmechanismen

Wir alle nutzen sie: Passwörter. Für unseren E-Mailaccount, Computerspiele, Shoppingseiten, Onlinebanking und Co. Viele Studien kommen regelmäßig auf ähnliche Ergebnisse: Zwischen 50 bis 80 Prozent der Anwender verwenden für verschiede Webseiten das gleiche Passwort. Wieso das ein Problem ist, wie wichtig Passwörter sind und wie man mit wenig Aufwand bereits viel Sicherheit bekommt, beschreibe ich im folgenden Text.

Zuerst die wichtigsten Begriffe kurz erklärt:

Authentifizierung
Wenn wir uns irgendwo anmelden, tun wir das, um nachzuweisen, dass wir der sind der wir sind. Dazu gibt es verschiedene Mittel mit denen man sich authentifizieren kann:

  • Wissen
    • Passwort
    • Pin
    • . . .
  • Besitz
    • Schlüssel (Haustürschlüssel)
    • Chipkarten (Bankkarte)
    • . . .
  • Biometrie
    • Fingerabdruck
    • Gesicht
    • Iris
    • Ich als Person (Mein Kollege hält mir die Tür auf)
    • . . .

Zeitbasierte Tokens
SecurID Token, Schluesselanhaenger mit kleinem Display. Display zeigt 6 zahlen die jede Minute neu berechnet werden.Ein Token ist nichts anderes als ein kleiner elektronischer Schlüsselanhänger, der jede Minute eine neue Zahlenkombination anzeigt. Diese Zahlenkombination berechnet dieser kleine Anhänger solange die Batterie hält. Die Gegenstelle, bei der man sich authentifizieren möchte, berechnet diese Zahlenkombination ebenfalls. Damit hat man jede Minute ein neues Passwort. Man benutzt dieses Passwort aber nicht allein, sondern in Kombination bei der Zwei-Faktor-Authentifizierung (siehe weiter unten). Eines der bekanntesten Token ist das SecurID-Token der Firma RSA Security.

Zwei-Faktor-Authentifizierung (2FA, eng. Two-factor authentication)
Ein Faktor ist eine Komponente, zum Beispiel ein Passwort oder eine Bankkarte. Bei der Zwei-Faktor-Authentifizierung benötigt man zwei davon, wie im Fall der Bankkarte (Bankkarte + Pin).

Die zwei Faktoren sollten so unterschiedlich wie möglich sein. So sind zwei einfache Passwörter keine guten Faktoren, da beide die gleichen Nachteile haben; ein physisches Gerät und ein Passwort aber schon. Was vielleicht eher bekannt ist, ist die Kombination aus Passwort und einem Einmalpasswort: Das Einmalpasswort wird z.B. vom Smartphone generiert (eine App, wie der Authenticator von Google) oder einem SecurID-Token. Zwei Faktoren machen es deutlich schwieriger, sich Zugriff zu verschaffen: Wenn man z.B. sein Passwort bei Facebook postet, braucht ein Angreifer immer noch das Token. Bis dahin hat man sein Passwort geändert. Oder der Angreifer hat das Token, dann ist das Token aber wahrscheinlich schneller gesperrt und ersetzt, als der Angreifer das Passwort errät.

FIDO-Allianz
Ein Zusammenschluss von Firmen für offene und lizenzfreie Industriestandards für Authentifizierung im Internet. Mitglieder sind unter anderem: Infineon, Lenovo, PayPal, Samsung, Google, Blackberry, Qualcomm, RSA Security, …

U2F (Universal Second Factor)
U2F ist ein Standard, der von Google, Yubico und NXP Semiconductors entwickelt wurde (dazu wurde die FIDO-Allianz gegründet) und beschreibt, wie diese Art der Zwei-Faktor-Authentifizierung technisch abläuft. Konkret: was muss ein Gerät können, um als Faktor verwendet werden zu können?

Die ersten Geräte stammen von Yubico und sind USB-Sticks mit einem Knopf. Wenn man den drückt, kommuniziert der USB-Stick mit Chrome und generiert damit eine Antwort, die der Server prüfen kann.

Zu diesen sogenannten YubiKeys komme ich später zurück.

UAF (Universal Authentication Framework)
UAF kommt von der FIDO-Allianz und ist ein Industriestandard der beschreibt, wie man sich im Internet ohne Passwort authentifiziert. Ein Beispiel dafür ist das Samsung Galaxy S5, mit dessen Fingerabdruckscanner man sich bei PayPal authentifzieren kann. UAF lässt sich auch mit U2F kombinieren.

OATH-TOTP (Time-based One-time Password Algorithm)
Der zeitbasierte Einmalpasswortalgorithmus ist ein Algorithmus, mit dessen Hilfe man aus einem gemeinsamen geheimen Schlüssel und der Uhrzeit ein Einmalpasswort generiert.

OATH steht hierbei für Open Authentication.

OATH-HOTP (HMAC One-time Password Algorithm)
Der auf HMAC basierende Einmalpasswortalgorithmus ist ein Algorithmus, mit dessen Hilfe man aus einem gemeinsamen geheimen Schlüssel und einem sich verändernden Faktor (z.B. ein Counter) ein Einmalpasswort generiert. Zeitbasiert ist sicherer, da diese Einmalpasswörter nur in bestimmten Zeitfenstern gültig sind, was bei HOTP nicht der Fall ist.


Unsere Passwörter

Die wichtigsten Begriffe sind nun erklärt. Jetzt zum konkreten Problem: Wie schützen wir uns? Wir wollen, dass kein anderer von unserem Konto Geld überweisen, oder unsere E-Mails mitlesen kann, und uns ausspioniert.

Wir brauchen leider auch für jede einzelne Seite ein eigenes Passwort — sollte z.B. ein schwarzes Schaf unter den Anbietern sein, der unser Benutzerpasswort unverschlüsselt speichert, kann es sonst jeder auslesen, der Zugriff auf die Datenbank hat. Das kann ein Mitarbeiter sein oder ein Angreifer, und schon landen alle Passwörter im Internet. Das passiert leider immer wieder und auch große Anbieter sind davon betroffen. Eine kurze Suche nach „password leak“ zeigt Leaks u.a. von Adobe, mit über 152 Millionen betroffenen Accounts, oder auch Snapchat, Amazon, Comcast und Co.

Man muss damit rechnen, dass ein Passwort bekannt werden kann. In diesem Fall will man aber nicht, dass damit alle anderen eigenen Accounts ebenfalls in Gefahr geraten. Für einen Angreifer ist es kein Aufwand, große Seiten wie Amazon, eBay oder E-Mailanbieter durchzuprobieren. Wenn man überall das gleiche Passwort verwendet, kann das kleine Forum schuld sein, wenn der Mailaccount gecrackt wurde.

Damit kann der Angreifer Dinge tun, wie Spam-Mails verschicken, aber auch E-Mails mit Viren an Familie und Freunde schicken, die dem Absender vertrauen. Ein E-Mailaccount ist damit nicht nur für sich zu schützen, sondern auch für andere. Bei Accounts von Amazon und eBay drohen dann auch direkte finanzielle Schäden/Aufwände.

Selbst körperlich kann es gefährlich werden: Hat man sich vielleicht in einem geschützten Bereich (ein soziales Netzwerk, ein Forum, …) Feinde gemacht, kann es einem vielleicht schneller passieren als gedacht, dass die persönliche Adresse über eine Suchmaschine ermittelt und mit dem privaten Netzprofil in Verbindung gebracht — und aus einer Drohung ernst gemacht wird.

Im Falle eines Softwareentwicklers, bzw. generell im Arbeitsumfeld werden Sicherheitsmassnahmen sicher primär zum Schutz der Firma gemacht. Der Quellcode von Produkten kann einer Industriespionage zum Opfer fallen, oder Krypto-Trojaner nehmen die eigenen Daten in Geiselhaft — durchaus realistische Szenarien, die schnell in den Ruin führen können.

Die Abwägung zwischen dem Aufwand, sich um seine Passwörter zu kümmern, und dem möglichen Schaden muss man also nicht nur gegenüber sich selbst sondern auch gegenüber anderen verantworten.

Wenn ich als Privatperson für Webforen, oder den Kommentarbereich der SZ ein einfaches Passwort gewählt habe, ist das eine andere Sache als wenn ich das gleiche Passwort auch noch für meine geschäftlichen E-Mails verwende.

So und wie machen wir es jetzt besser?

Passwortsysteme
Die einfachste Möglichkeit, sich seine Passwörter zu merken, sind Systeme: Anstatt sich 50 Passwörter zu merken, merkt man sich ein Masterpasswort und ein Schema.

Dabei überlegt man sich ein Masterpasswort, z.B. AbaTuu33#. Mithilfe eines Schemas überlegt man sich ein Passwort das an das Masterpasswort angehängt wird. Man kann die Domain, Domainendung, die Logofarbe oder jedes andere universelle Merkmale verwenden. Daraus wird dann ein Wort generiert: Die Anfangsbuchstaben der Silben und die Farbe des Logos würden bei Facebook AbaTuu33#fbblau ergeben. AbaTuu33# als Masterpasswort, f und b sind die ersten Buchstaben der Silben von Facebook und blau ist die Farbe.

Die Schwierigkeit besteht darin, sich ein Schema zu überlegen, das einfach aber schwierig zu erkennen ist. Mit zwei Passwörtern kann man leicht sehen, dass AbaTuu33# immer verwendet wird: AbaTuu33#azorange (Amazon) vs. AbaTuu33#fbblau (Facebook).

Eine sichere, aber aufwendigere Umsetzung ist es, sich anstatt eines Masterpasswortes eine Tabelle zu merken. Mithilfe dieser Tabelle übersetzt man den Namen des Services (z.B. Amazon) in das Passwort.

a b c d
a H 6 a G
b 3 ! d g
c r R
d

Mithilfe so einer Tabelle übersetzt man jeden einzelnen Buchstaben in ein anderes Zeichen. Hier gibt es verschiedene Variationen, wie den ersten Buchstaben horizontal ablesen, den zweiten vertikal, etc.

Eine praktischere Umsetzung ist die Passwortkarte der c’t (Computerzeitschrift der Heise Medien GmbH). Hier hat die horizontale Spalte jeweils drei Buchstaben pro Spalte und die Vertikale hat die Nummern 1 bis 9.

ABC DEF GHI . . .
1 7 d ! . . .
. . . K k m . . .

Der Artikel der c’t steht online zur Verfügung und hier die Passwortkarte kann als PDF heruntergeladen werden.

Solche Passwortmerksysteme funktionieren gut für viele Accounts und der Aufwand ist überschaubar. Leider hat dieses System auch seine Nachteile: Manche Dienste erlauben nur andere Passwortregeln. Beispielsweise muss mindestens eine Zahl und ein Großbuchstabe genannt sein, oder es ist ein Sonderzeichen erforderlich oder eine Passwortlänge von 10 Zeichen. Wenn die Tabelle nun kein Sonderzeichen enthält, muss man sich hier wieder eine Ausnahme merken. Auf wieder anderen Plattformen muss man sein Passwort regelmässig ändern und darf alte Passwörter nicht wiederverwenden. Auch das muss das Schema abdecken können.

Passwortmanager
Es gibt mittlerweile gute Software, die Passwörter verwaltet und dies auch platformübergreifend. Damit stehen die Passwörter sicher auf dem Desktop und dem Handy zur Verfügung. Und nicht nur Passwörter: Auch Kreditkartendaten oder andere schützenswerte Inhalte (u.a. Keyfiles, oder Fingerprints).

Die bekanntesten Passwortmanager verwenden auch immer die gleiche Technik, um Passwörter sicher zu speichern und zu synchronisieren — ein Masterpasswort (das einzige Passwort, das man sich merken muss), womit die Daten verschlüsselt werden. Sie werden so abgespeichert, dass nur das Masterpasswort die Daten entschlüsseln kann. Da sich die Passwortmanager das Passwort nicht merken (auch die Services nicht) und das Entschlüsseln verhältnissmäsig lange dauert (z.B. 1ms), genügt dies, um solche Angriffe auszuhebeln, die aus einfachem Ausprobieren bestehen. Wenn das Entschlüsseln lange genug dauert, kann ein Angreifer schlimmstenfalls nur relativ wenige Passwörter pro Sekunde ausprobieren, ohne dass ein normaler Nutzer davon etwas mitbekommt.

Wenn also das Cracken der Passwortdatei nicht realistisch ist, kann man mit ihr machen was man möchte, sie zum Beispiel öffentlich zugänglich machen. Vorsicht ist natürlich noch immer geboten — es kann sein, dass einfach verschlüsselte Daten schon in wenigen Jahren sehr wohl gecracked werden können. Immerhin: das Synchronisieren über mehrere Geräte hinweg (Computer, Laptop, Smartphone und Co.) stellt heute ein überschaubares Risiko dar — ohne Masterpasswort kein Zugriff.

Die Anbieter von Passwortmanagern warnen ihre Nutzer auch deutlich, dass der Verlust des Masterpasswortes den Verlust der gespeicherten Passwörter beinhaltet und auch sie nichts daran ändern können.

Ein weiterer Vorteil ist der gute Überblick über die eigenen Accounts, den ein Passwortmanager bietet. Er zeigt einem auch, wie sicher die Passwörter sind und motiviert, jedem Service ein neues und starkes Passwort zu verpassen.

Worin unterscheiden sich nun die vielen Passwortmanager am Markt? Primär durch die unterstützten Platformen, den Preis und die Benutzerfreundlichkeit.

Ein kleiner Überblick über die mir bekannten und auch ausprobierten Lösungen:

Name

Unterstützte Browser

Unterstützte Clients

Einschränkungen bei kostenloser Verwendung

Premium

Preis

Fazit

LastPass Chrome, Safari, Firefox, Opera, IE Windows, Linux, Apple, Android, iOS Nur ein Devicetyp ist erlaubt. Entweder Desktop oder Mobile. Sync, Mehr Optionen bei Multi-Faktor-Authentifizierung (YubiKey), Support 12$/Jahr Gutes UI, gefällt mir gut, Preis ist auch okay
Dashlane Chrome, Safari, Firefox, Opera, IE Windows, Apple, Android, iOS Kein Sync zwischen Geräten. Dafür kann man den Androindclient und den Desktopclient parallel nutzen. Sync, sicheres Backup, Internetzugriff auf Passwörter, Support 39$/Jahr Gutes UI, gefällt mir gut, der Preis etwas höher als bei LastPass
1Password Chrome, Safari, Firefox, Opera Windows, Apple, Android, iOS Einmalig 50$ für die Software, 12$ für die Androidapp. Für alle, die dem Sync der Onlineplatformen nicht trauen, oder keine Abomodelle mögen. UI und Browsererweiterungen sind gut nutzbar.
KeePass Abhängig von verfügbaren Plugins 1.x Version: Windows
2.x Version: Windows(.net), Linux und Mac durch Mono
Open Source und kostenlos. Muss/kann erweitert werden mit Plugins und zusätzlichen Clients. Leider muss man das auch, funktionales UI.
pass Abhängig von der Community Open Source, mit minimalistischem Ansatz. Es wird GnuPGP verwendet und die Passwörter einzeln in Dateien mit Domain als Dateiname abgespeichert. Die Lösung ist aber noch nicht annähernd so benutzerfreundlich wie die anderen.

Hard- und Software 2-Faktor-Authentifizierung
Viele von uns besitzen die hier erforderlichen Token nur für den Zugang zu Firmenaccounts (VPN, Citrix), aber auch für den privaten Anwendungsfall macht die Lösung Sinn. Der eigene E-Mailaccount ist oft Dreh- und Angelpunkt für viele weitere Accounts. Die meisten Plattformen erlauben ein Reset des Passworts per E-Mail und damit ist der E-Mailaccount das schwächste Glied. Während ein gecrackter Spotify-Account einen noch überschaubaren Schaden ermöglicht, steht dem Angreifer beim E-Mailaccount die Welt des Opfers offen.

Vielen große Unternehmen bieten mittlerweile eine Zwei-Faktor-Authentifizierung an. Ein Smartphone dient hier als Softwaretoken, was die Anwendung praktisch für jeden einfach macht. Eine App generiert einen Code und zeigt ihn im Display an. Damit bräuchte ein Angreifer neben dem Passwort auch Zugriff auf das Telefon.

Screenshot der Android-App Google Authenticator. Links sechs Zahlen, rechts ein ablaufender Kreis, nach einer Minute neue ZahlenGoogle ist hier vorbildlich und bietet eine eigene App (Google Authenticator, für Android und iOS) an. Man wird hier verständlich durch den ganzen Prozess geführt, inkl. der Generierung von Notfall-Passwortcodes. Regelmässig fragt Google bei einem nach, ob noch alles aktuell ist. Die App kann man auch für andere Anbieter mitnutzen, unter anderen unterstützen folgende E-Mailanbieter eine 2-Faktor-Authentifizierung: FastMail.com, Outlook.com, Hushmail.com, posteo.de und pobox.com.

Cloudstorage beinhaltet oft ebenfalls sensible Daten. Dazu gehören Bilder von Familie und Freunden; sicher sind auch diese Daten schützenswert. AeroFS, Apple iCloud, Backblaze, Dropbox, Evernote, GoogleDrive und OneDrive, sie alle unterstützen Softwaretoken.

Für Entwickler relevant sind die Anbieter Bitbucket, Github und GitLab (Enterprise).

YubiKey Hardware

Yubikey neo und Yubikey nano. YubiKey Neo sieht aus wie ein duenner USB Stick mit einem goldenen runden knopf in der mitte. YubiKey nano sieht aus wie nur der einsteckteil eines USB Sticks. Daher auch der Name Nano

YubiKey Nano und YubiKey Neo.
Quelle: wikimedia.org

YubiKeys habe ich oben schon kurz angesprochen und das auch aus einem guten Grund: Die Smartphonelösung ist zwar eine tolle Sache, denn sie kostet nichts, und auch ein Smartphone hat heutzutage im Grunde jeder.
Das Hardwaretoken hat jedoch einen zusätzlichen Vorteil: Man benötigt Zugriff darauf. Theoretisch könnte jemand das Smartphone cracken, an den Button des Hardwaretoken kommt er aber nicht heran.

Anstatt einer App, die die Tokens generiert, tut das der YubiKey. Er wird per USB angesteckt und kann damit an jedem Rechner benutzt werden. YubiKey Neo beherrscht NFC, und lässt sich damit an Computern und vielen Smartphones nutzen. Die YubiKeys haben einen Button, der hier das Einmalpasswort überträgt, so erspart man sich das Tippen. YubiKey kann auch so konfiguriert werden, dass er statt Einmalpasswörtern ein statisches Passwort überträgt.

Um den YubiKey nun nutzen zu können, kann man das statische Passwort als normales Masterpasswort verwenden (was den YubiKey zum Passwortersatz macht); ein Service unterstützt den U2F-Standard (siehe oben, Universal Second Factor) oder weitere Standards, die die teureren YubiKeys bieten, wie OATH-HOTP, oder OATH-TOTP.

Der günstigeste ist der FIDO U2F Security Key: Er kostet 18$ und kann nur U2F. Damit kann man sich bereits bei Services wie Google, Github und Dropbox authentifizieren. Die anderen drei Keys (YubiKey 4, YubiKey 4 Nano und YubiKey Neo) sind deutlich teurer (50$), unterstützen jedoch mehr Standards und sind deutlich flexibler. So können diese Keys mit LastPass oder auch KeePass (mit Plugin) verwendet werden. Damit stärkt man seinen Passwortmanager. Eine Übersicht zu den verfügbaren YubiKeys findet sich beim Anbieter auf yubico.com.

Der Yubikey 4 Nano ist besonders erwähnenswert: Er ragt gerade so aus dem USB-Port heraus und wurde aber so entworfen, dass man ihn dort auch stecken lässt. Damit hat man eine Zwei-Faktor-Authentifizierung an einen Computer gebunden. Das Ganze macht die Verwendung in sicheren Umgebungen, wie zu Hause, oder am stationären Arbeitsplatz, merklich benutzerfreundlicher.

Persönliches Fazit

Passwörter sind weder spannend noch cool, aber wenn man sich bewusst Gedanken macht, kann man mit wenig Aufwand eine benutzerfreundliche und sichere Lösung  für den Umgang mit ihnen finden. Passwortsicherheit ist so wichtig wie der Feuerlöscher, der Rauchmelder, die Backups und die Vorsorgeuntersuchungen beim Arzt.

Meine Erfahrung mit Passwortmanagern ist sehr positiv. Ich habe einen viel besseren Überblick über meine Passwörter und sicherer sind sie auch. Die Zwei-Faktor-Authentifizierung verwende ich bereits seit Jahren gerne. Der Aufwand ist überschaubar, dafür wird man mit einem deutlich sichereren Gefühl belohnt. Dank Zwei-Faktor-Authentifizierung nur über Software ist der Einstieg leicht und kostenlos.

Je weniger Accounts und schützenswerte Daten im Internet sind, desto geringer ist das Risiko. Wenn Zahlungsdaten im Spiel sind (z.B. Nahverkehrsapp, Bahn, etc.), genießt man oft noch einen Teilschutz über die Kreditkartenunternehmen, oder Banken — aber das kann schief gehen und ist im Schadensfall mit Aufwand verbunden. Und oft genug sind es ja nicht nur die eigenen Daten, die man schützen muss.

weitere Links zum Thema

Online-Artikel: UK adults taking online password security risks

Wikipedia:

Für neue Blogupdates anmelden:


3 Gedanken zu “Sichere Passwörter und gute Authentifizierungsmechanismen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.