Ein pensionierter Beamter des amerikanischen NIST (National Institute of Standards and Technology) sorgte vor einigen Tagen für Überraschung: er entschuldigte sich für ein Dokument, das im Jahr 2003 verfasst hat. Darin ging es um die Standards, die ein Passwort sicherer machen sollten. Zahllose Firmen und Online-Plattformen folgen seit Jahren den Empfehlungen, die das Institut ausspricht.
Das Problem: die Passwörter, die nach diesem Stand als sicher gelten (wie zum Beispiel „yxc^Vo![“$§oAIS@nrvkeu}ih5tK.-n27\fd“), kann und will sich kein Mensch wirklich merken. Und sie verbessern die Sicherheit auch nicht.
In Unternehmen sorgen Passwort-Richtlinien öfters für Unmut bei den Mitarbeitern. Diese werden regelmäßig gezwungen, neue Passwörter zu vergeben, die den folgenden Regeln entsprechen:
- Mindestlänge von acht Zeichen;
Manche Plattformen haben auch eine maximale Passwortlänge (z.B. 16 Zeichen) oder schreiben vor, welche Zeichen wo stehen dürfen, wie z.B. „Das erste Zeichen des Passwortes darf kein Sonderzeichen sein“. - Groß- und Kleinschreibung
- Verwendung mindestens eines Sonderzeichens und einer Ziffer; Leerzeichen sind ausgenommen
- Keine Wiederverwendung von Passwörtern, die in den letzten 12 Monaten verwendet wurden
Ursprünglicher Sinn der damaligen Empfehlung war es, triviale Passwörter zu verbannen und durch solche zu ersetzen, die nicht einfach zu erraten sind. Anwender machen es sich jedoch am liebsten so einfach wie möglich. So denkt sich ein Benutzer zum Beispiel das Passwort „P@$$w0rd“ aus. Es ist acht Zeichen lang, enthält Groß- und Kleinbuchstaben, eine Ziffer und sogar drei Sonderzeichen und erfüllt damit sämtliche Anforderungen. Nach drei Wochen wird er aufgefordert, das Passwort zu ändern. Da Menschen es aber gerne einfach haben, wird oft einfach eine Iteration gewählt: P@$$w0rd2. Drei Wochen später sind wir bei „P@$$w0rd3“ – und so weiter. Diese Vorgehensweise, gepaart mit den oben beispielhaft angeführten Richtlinien hat Passwörter hervorgebracht, die für einen Menschen im günstigsten Fall unpraktisch sind, aber dafür aus Sicht eines Computers einfacher zu knacken sind. Wenn bestimmte Kriterien feststehen, dann kann ein Computer wesentlich effizienter ganze Passwortgruppen ausschließen. Wenn er weiß, dass ein zu knackendes Passwort maximal 16 Zeichen lang sein kann und das erste Zeichen kein Sonderzeichen ist, dann sind damit schon einige Millionen Kombinationen ausgeschlossen. Wenn der Rechner weiter davon ausgeht, dass nur ein Sonderzeichen vorhanden ist (von denen wiederum einige gegebenenfalls ausgeschlossen sind, wie etwa Leerzeichen oder Umlaute), reduziert sich die Menge, die zu testen ist, sogar noch weiter. Wörterbücher und Rainbow Tables vereinfachen die Tätigkeit für einen Rechner zusätzlich. Wenn man noch mit einbezieht, dass Rechner immer höhere Rechenkapazitäten haben, wird schnell klar, warum hier ein Umdenken nötig ist.
Was ist neu?
In der aktuellen Veröffentlichung werden Änderungen vorgeschlagen, die all diejenigen freuen werden, die sich fast ihr ganzes Leben mit komplexen Passwörtern herumgeplagt haben: explizit werden hier einfach zu merkende Passwörter eindeutig favorisiert. Diese sollten nach wie vor mindestens acht Zeichen beinhalten. Eine Maximallänge ist nicht vorgesehen, allerdings wird empfohlen, die Maximallänge auf wenigstens 64 Zeichen festzusetzen. Somit würden Meldungen wie „Ihr Passwort darf maximal eine Länge von X Zeichen haben“ entfallen. Einige Zeichen sind bisher in Passwörtern oft nicht erlaubt, wie zum Beispiel Leerzeichen. Diese sollen jedoch nun auch in Passwörtern zugelassen werden. Auch das Erzwingen einer Passwortänderung nach einem fest definierten Zeitraum soll nach dem Willen des NIST der Vergangenheit angehören. Stattdessen soll eine solche Änderung nur dann erzwungen werden, wenn es Anzeichen dafür gibt, dass ein Zugang kompromittiert wurde, d.h. dass ein anderer auf Grund von Phishing oder Ähnlichem das Passwort besitzt – oder wenn der Benutzer das Passwort vergessen hat. Zudem soll auch Mehrfaktor-Authentisierung (MFA) verstärkt verwendet werden. In der Businesspraxis wird MFA bereits seit längerem eingesetzt, allerdings nicht flächendeckend. Einige Onlinedienste bieten eine „Mehrstufen-Anmeldung“ bereits seit längerem an, bestehend aus Benutzername und Passwort sowie einem Einmalpasswort, das von einer separaten App generiert wird. Somit wird sichergestellt, dass man immer mehrere Dinge benötigt, um auf eine Ressource oder einen Dienst zuzugreifen. Allerdings soll SMS als Versandoption möglichst nicht mehr für die Übermittlung eingesetzt werden, da es hier Sicherheitsbedenken gibt. Wir haben bereits in der Vergangenheit über das Thema berichtet und begrüßen diese Empfehlungen. Langfristig gesehen werden Passwörter jedoch zunehmend an Bedeutung verlieren und Alternativen weichen, die weniger leicht zu überwinden sind.
Was bedeuten die neuen Standards für Internetnutzer und Anbieter?
Grundsätzlich handelt es sich bei der NIST-Veröffentlichung um eine Empfehlung, die keinen gesetzlichen Charakter hat. In der Vergangenheit haben sich allerdings sehr viele Anbieter nach den Vorschlägen gerichtet. Bis die Empfehlungen umgesetzt sind, wird sich für Benutzer in der Praxis daher zunächst nicht viel ändern. Viele Dienste und auch Administratoren werden nach wie vor auf die klassische Anmeldung mit Benutzernamen und Passwort setzen, allerdings ist zu erwarten, dass MFA zumindest bei den größeren Onlinediensten mehr genutzt und vielleicht die eine oder andere bisherige Richtlinie gelockert wird.
Wer einen Onlinedienst betreibt, sollte sicherstellen, dass die Passwörter serverseitig sicher verarbeitet werden. Übrigens: seriöse Anbieter sollten niemals die Passwörter selbst in ihrer Datenbank ablegen oder diese mit einer einfachen Verschlüsselung versehen. In der Vergangenheit gab es immer wieder Fälle, in denen Passwörter im Klartext gespeichert waren. In Diskussionsforen passierte dies ab und zu – hat man auf den „Passwort vergessen“ – Link geklickt, bekam man sein Passwort zugeschickt. Das ist ein sicheres Anzeichen dafür, dass die Passwörter nicht ausreichend abgesichert sind. Auch hier haben große Anbieter in der Vergangenheit gepatzt: so stellte sich im Zuge eines großen Datenlecks beim Berufs- und Karriere-Netzwerk LinkedIn heraus, dass die Passwörter dort zwar gehasht waren, aber nach einem veralteten und nicht mehr als sicher geltenden Verfahren. Was vielleicht nach „übervorsichtig“ klingt, ist in der Praxis absolut angebracht: Hardware, die speziell auf das Aufbrechen von Verschlüsselungen ausgelegt ist, kann Milliarden verschiedener Kombinationen pro Sekunde durchprobieren, bis sie Erfolg hat.
Die Neuregelungen machen klar, dass die Sicherung von Konten nicht allein Sache der Benutzer ist – Dienstanbieter und Administratoren sind hier ebenso in der Pflicht. Statt den Kunden und Anwendern immer komplexere Passwortrichtlinien aufzubürden, die obendrein (durch geschicktes Umgehen, Iterationen und Wiederverwendung von Passwörtern) keinen wirklichen Gewinn an Sicherheit versprechen, setzt man nun verstärkt auf die serverseitige Sicherung von Zugängen und die Nutzung alternativer und zusätzlicher Anmeldemethoden. Wenn ein Passwort beispielsweise durch Phishing kompromittiert wird, dann spielt es keine Rolle, wie lang oder komplex das Passwort ist. Eine gepanzerte Tür ist schließlich auch nur von begrenztem Nutzen, wenn sie entweder offensteht oder jeder weiß, wo der Schlüssel versteckt ist. Fest steht jedoch, dass Passwörter allein langfristig nicht mehr zur Sicherung von Online- oder Benutzerkonten ausreichen werden. Da Rechenkapazität preiswerter und moderne Hardware immer leistungsfähiger wird, ist es für einen entschlossenen und ausreichend motivierten Angreifer nur eine Frage der Zeit und des Geldes, bis er ein Passwort erfolgreich ermittelt hat. Hat man eine zusätzliche Anmeldemethode, erhöht dies die Sicherheit immens.
Rezept für (Passwort-) Sicherheit: „Hashen, salzen, strecken“
Hashing ist übrigens nicht dasselbe wie Verschlüsselung, auch wenn die Begriffe in den Medien manchmal synonym verwendet werden. Eine Verschlüsselung ist reversibel, das heißt, man kann einen verschlüsselten Klartext mittels mathematischer Verfahren entschlüsseln und hat am Ende den Klartext. Hashing beschreibt, vereinfacht gesagt, eine mathematische „Einbahnstraße“, bei der es nicht möglich ist, aus dem Ergebnis des Hashing-Prozesses wieder den Klartext zu errechnen. Zwar gibt es so etwas wie „Hash Collisions“, bei denen eine bestimmte Zeichenfolge den selben Hashwert hat wie der originale Klartext, aber eine Hash Collision ist nicht gleichbedeutend mit dem Herausfinden des Klartextes. Hier sind Betreiber und Dienstanbieter gefragt: Um die Ermittlung eines Passwortes zu vereinfachen, setzen Angreifer oft so genannte Rainbow Tables ein, die - vereinfacht gesagt - eine Liste von Hashes beinhalten, die zu bekannten Passwörtern wie "123456" oder "asdfghjkl" passen. Somit wird ein Angriff auf einen Hash ressourcenschonender, da hier einfach nur ein Abgleich mit einer Tabelle stattfindet, ohne tatsächlich wirklich etwas zu berechnen. Die "mathematische Einbahnstraße" bekommt so zumindest deutliche Risse. Daher werden zusätzlich zum Hashing in modernen Systemen die Hashes auch „gesalzen“ (engl: salted) – hier wird der Hash um eine zufällige Zeichenfolge ergänzt, die für jeden einzelnen Hash unterschiedlich ist. Bereits hier wird bei korrekter Umsetzung der Einsatz von Rainbow Tables aus wirtschaftlichen Gründen schwierig bis unmöglich. „Gestreckt“ wird ein Hash, indem man ihn mehrere Tausend Male einen mathematischen Prozess namens „PBKDF2“ durchlaufen lässt, dessen Ziel es ist, die Berechnung des zugrunde liegenden Hashes zusätzlich zu erschweren. Je öfter das jeweilige Ergebnis dieser Funktion den Prozess durchläuft, desto höher ist die Erschwernis – somit kann man auf die steigende Rechenkapazität von Rechnersystemen reagieren, ohne das System komplett neu entwerfen zu müssen. Für das Salt- und Passwort-Hashing sollten aktuell als sicher geltende Verfahren wie HMAC, CMAC oder SHA-3 genutzt werden. Einziges Ziel dieses Maßnahmenkataloges ist es, Angriffe auf die Absicherung so unwirtschaftlich wie möglich zu machen – denn wenn ein Angreifer einen unverhältnismäßig hohen Aufwand betreiben muss, um einen einzigen Zugang zu knacken, wird er in 99% der Fälle davon Abstand nehmen und sich eine Alternative (wie Phishing) überlegen.
Was für ein Passwort nehme ich denn jetzt?
Wer sich bereits so sehr an die komplexen Passwörter gewöhnt hat, dass er sich bei allem Anderen unwohl fühlt, der kann diese natürlich beibehalten – aber er müsste sie zumindest nicht mehr regelmäßig ändern. Für alle Anderen gilt: der Fantasie sind keine Grenzen gesetzt. Wer will, könnte nach den NIST-Empfehlungen ganze Sätze, inklusive Leer- und Satzzeichen als Passwort definieren - man spricht hier auch von einer "Passphrase". Vorschriften für deren Zusammensetzung gibt es in der Empfehlung nicht. Leicht zu raten sollte ein Passwort oder eine Passphrase dennoch nicht sein. Eine besonders schwer zu erratende Passphrase ist natürlich so lang wie möglich, aber noch innerhalb eines Rahmens, den man sich auch wirklich merken kann. Länge ist immer noch einer der wichtigsten Faktoren, die darüber entscheiden, ob ein Passwort "gut" oder "schlecht" ist. Kürzer als acht Zeichen sollte ein Passwort bzw. eine Passphrase jedoch keinesfalls sein.
Einen "Wermutstropfen" gibt es daher weiterhin, auch wenn man keine kryptischen Zeichenfolgen mehr verwenden muss: Passwörter wie der eigene Geburtstag, „123456“, „abcdef“, "aaaaaaa" oder „qwertyuiop“ sind und bleiben schlechte Passwörter und können von einem Netzwerkadministrator oder Webseitenbetreiber auf eine schwarze Liste nicht zugelassener Passwörter gesetzt werden. Auch der Ratschlag, dass man nicht dasselbe Passwort für mehrere Zwecke einsetzen sollte (z.B. für E-Mail, Soziale Netzwerke und Shoppingplattform), hat weiterhin Bestand. Nach wie vor sollte jeder Dienst sein eigenes Passwort haben. Sofern verfügbar, ist die Aktivierung einer zweiten Authentisierungsmethode ratsam. Um alle Passwörter zu verwalten, kann auch weiterhin ein Passwortmanager verwendet werden.
Vier Tips zur Sicherung Ihrer Benutzerkonten
Sofern eine Plattform die neuen Empfehlungen bereits umgesetzt hat, gibt es ein paar einfache Tipps, wie man sein Benutzerkonto effektiv sichern kann:
- Benutzen Sie eine ausreichend lange Passphrase
(z.B. "1SeltsamesSpiel - derEinzigGewinnendeZugIst, Nicht ZuSpielen!" - diese Passphrase ist 61 Zeichen lang, enthält Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen und ist einfach zu merken) - Aktivieren Sie mehrstufige Anmeldungen (Mehrfaktor-Authentisierung) sofern verfügbar
- Eine Passphrase darf niemals für mehrere Zwecke eingesetzt werden
- Verwenden Sie einen Passwortmanager