Passwort - aber richtig

Wenn wir aus über 8 Millionen geleakten Schweizer Accounts von SwissLeak.ch etwas gelernt haben, dann folgendes:

  • Jedes Passwort kann geknackt werden
  • Jeder Service oder jede Datenbank kann „geleaked“ werden
  • Jeder Benutzer, jedes Unternehmen und jede Organisation ist betroffen

Bevor wir das Problem aber lösen, räumen wir zuerst einmal alte und falsche Fakten beiseite:

Lange, komplizierte Passwörter sind sicher

Leider nein.

Korrekt wäre; Lange, komplizierte Passwörter machen die Dinge komplizierter – für Sie, aber auch für den Cracker (derjenige der Ihr Passwort knackt…).

In der Theorie macht dies ein Passwort „sicherer“ – in der Realität stösst man aber auch folgende Probleme:

  • Man kann sich das lange, komplizierte Passwort nicht merken
  • Man schreibt das lange, komplizierte Passwort „irgendwo“ auf (wo es nicht sicher ist…)
  • Man verwendet das scheinbar sichere Passwort für mehrere Services

Bei der Unmengen an Accounts und Benutzerkonten die wir täglich brauchen, ist die Chance hoch, dass ein  langes und kompliziertes Passwort für einen Service verwendet wird welcher dieses nicht genügend schützt (z.B. Abspeicherung im Klartext – sprich „zu einfache“ Verschlüsselung).

Wenn dieser Service bereits bei der Passwortlagerung halbe Sachen macht, wird auch die restliche Sicherheit des Services eher vernachlässigt werden (erhöhte Gefahr für „Leak“).

Wir der Service dann geleaked erübrigt sich alles „komplizierte“ am Passwort – denn ist es einmal bekannt können über Querverweise auch komplexere Passwörter „ausgehebelt“ werden.

Ich bin nicht interessant für Hacker

Die Ausreden  „Mit dem Account kann man sowieso nichts anfangen…“ oder „…ich habe sowieso nichts zu verstecken….“ oder „…den Account brauche ich sowieso nur einmal“ sind Klassiker.

Jeder der bereits einmal das Passwort 12345 verwendet hat (und das haben Sie zu 99.9 %) kennt diese Überlegung.

Und es stimmt schlichtweg nicht, denn:

  • Jeder hat etwas zu verbergen (…jaja…)
  • Jeder Account ist interessant
  • Jeder Account kann auf die eine oder andere Art missbraucht werden
  • Viele Accounts enthalten Metadaten (z.B. Name, Adresse, Gewicht, Vorlieben…) die Rückschlüsse auf den Benutzer bzw. zukünftige Passwörter zulassen

Passwörter? Jemand erledigt das für mich.

Diese Einstellung trifft man häufig bei KMUs an. Ein externer Dienstleister hat das Passwort gesetzt – das KMU selbst verfügt gar nicht über alle bzw. kennt nur einen Teil der wichtigen Passwörter.

Wie will man die Passwortsicherheit beurteilen, wenn man gar nicht alle Passwörter kennt? (Tipp: Welche Passwörter ein typisches KMU benötigt findet man im Beitrag Passwörter verwalten für KMUs).

Passwortsicherheit ist nur sehr schwer delegierbar, denn jede Delegation bedeutet einen zusätzlichen Mitwisser und damit ein potenzieller Leak.

Die 6 Gebote der Passwortsicherheit

  1. Pro Account ein individuelles Passwort.
  2. Jedes Passwort sollte zufällig gewählt und mit Sonderzeichen, Zahlen und Klein-/Grossbuchstaben versehen sein.
  3. Jedes Passwort sollte mindestens 12 Stellen aufweisen – besser mehr.
  4. Passwörter müssen sicher aufbewahrt werden (nicht in „Excel“ oder „Word“, keine Spickzettel).
  5. Persönliche Passwörter werden nicht weitergegeben!
  6. Wenn möglich immer eine 2-Faktor-Authentifizierung verwenden.

Praxis

Die obigen Gebote sind umständlich, aufwendig und vereinfachen die Nutzung von E-Services nicht unbedingt. Sie sind aber die einzige Möglichkeit sich einigermassen zu schützen – und vor allem im Falle eines Leaks nicht alle Passwörter auf einmal ändern zu müssen.

Es gibt diverse Möglichkeiten sich diese Unmengen an (neuen) Passwörtern im Kopf zu behalten – am einfachsten und übersichtlichsten wird es aber mit einem Passwortmanager (Tipp: 1password.com)

Mittelfristig verlieren wir sowieso die Übersicht über alle Passwörter, Logins und Anmeldeinformationen – wieso also nicht gleich bei der Accounterstellung mit einem Passwortmanager ein zufälliges, komplexes Passwort generieren?

Für Admins

Es ist Wunschdenken, zu glauben, dass jeder Benutzer automatisch ein komplexes Passwort verwendet. Genauso unsinnig ist es mit häufigen, forcierten Passwortwechseln ein „sicheres Passwort“ zu erzwingen (99% der Benutzer ergänzen einfach ein paar Zeichen oder führen eine logische Reihenfolge fort – z.B. aus Juli99 wird August99, aus Sommer18 wird Herbst18…)

Die einzige Alternative die bleibt ist den Benutzern ein Passwort vorzugeben. Dieses kann dann etwa im Halbjahresrythmus gewechselt werden – sprich dann, wenn der Benutzer es beginnt auch für „andere Services“ zu verwenden…