Von unsicheren Passwörtern und der Aufforderung zur Kreativität

Passwörter sind ein omnipräsentes Thema, das uns alle täglich begleitet: Beim Frühstück zum Handy greifen, Entsperrcode eintippen und Nachrichten lesen. Später, bei der Arbeit, den Computer einschalten, das Festplattenpasswort eingeben, gefolgt vom Login in das Betriebssystem. Browser starten, das Intranet öffnet sich und will ein Passwort. In der Mittagspause wird in der Bäckerei mit der EC-Karte bezahlt und die PIN eingegeben. Abends noch für den bequemen Einkauf von zuhause bei einem neuen Online-Shop anmelden, wieder ein Passwort hinterlegen. Zum Bezahlen erfolgt eine Weiterleitung zu PayPal, also wieder einloggen, Zwei-Faktor-Authentifizierung, Bezahlvorgang abschließen. Am Jahresende werden außerdem bspw. die Stromzählerstände erfasst: Online in das Kundenportal des Stromanbieters einloggen – Accountname, Passwort, fertig. Zu Jahresbeginn haben wir häufig mit den Portalen von Versicherungen zu tun, und für manche Services, wie z. B. Streamingdienste, nutzen wir unsere Passwörter das ganze Jahr hinweg regelmäßig.

Dabei stehen wir Menschen immer wieder vor den gleichen Problemen: Ist das gewählte Passwort sicher? Wie kann ich es mir merken? Wie oft muss ich es wechseln?

Eine kurze Geschichte der Passwörter

In den vergangenen dreißig Jahren wurden immer wieder unterschiedliche Empfehlungen abgegeben, die sich stets an die Geschwindigkeit der Computer und die Gewieftheit der Hacker anpassen mussten. Dabei waren Passwörter in der Anfangszeit des WWW noch Neuland für viele Anwenderinnen und Anwender. An das Konzept, sich einen Kontonamen und ein Passwort merken zu müssen, mussten sich viele erst gewöhnen, weswegen häufig einfache Passwörter gewählt und auch für verschiedene Dienste mehrfach verwendet wurden.

Schnell kristallisierte sich jedoch heraus, dass Passwörter bzw. Accounts für Bankkonten, Geschäftskorrespondenz und Firmendaten sehr schützenswerte Güter sind und die Anwenderinnen und Anwender mehr Unterstützung bei der Verwaltung und Erstellung ihrer Passwörter benötigten. Es war 2002, als Mitarbeiter des National Institute of Standards and Technology (NIST) eine entscheidende Empfehlung zur Passwortsicherheit abgaben. Passwörter sollten aus einer mindestens acht Zeichen langen, zufälligen Zeichenkette inkl. Sonderzeichen bestehen, Groß- und Kleinschreibung enthalten, und alle 90 Tage geändert werden.

Die Vorgabe, Passwörter alle 90 Tage zu ändern, führte – so die Erfahrung der SySS – dazu, dass Menschen ihre Passwörter nicht so stark randomisieren, wie das NIST es sich sicherlich gewünscht hätte. Dies hat zur Folge, dass die Passwörter für Computer und Hacker immer noch gleich einfach oder sogar noch einfacher zu erraten sind. Viele Anwenderinnen und Anwender verwenden das System so, wie es für sie am bequemsten ist: Wenn die Webapplikation oder das Unternehmensnetzwerk Komplexität vorschreibt, wird ein Passwort gewählt, das sich leicht merken lässt und trotzdem konform mit der Passwortrichtlinie ist.  Im baden-württembergischen Raum war bis vor wenigen Jahren „Stuttgart21“ für längere Zeit sehr beliebt. Namen von Fußballvereinen wie „Hannover96“ im nördlichen Teil Deutschlands und „Schalke04“ im Ruhrpott finden sich regelmäßig in Passwörtern wieder. Schreibt die Unternehmensrichtlinie für Windows-Systeme vor, dass das Passwort alle 90 Tage geändert werden muss, werden Menschen ebenfalls recht kreativ: Die aktuelle Jahreszeit zusammen mit der Jahreszahl lässt sich problemlos erinnern und kann einfach alle drei Monate geändert werden. Bei einem Penetrationstest in einem Windows-Netzwerk wäre der erste Passwort-Rate-Versuch aktuell „Winter2020“ bzw. „Winter2020!“, und er wäre bei einer ausreichend großen Menge an Konten sehr wahrscheinlich mindestens einmal erfolgreich. Ein Einstieg ins Netzwerk wäre damit erreicht.

Auch der Versuch, die Menge der Sonderzeichen zu ändern, trägt nur unwesentlich zur Verbesserung der Lage bei. Die wenigsten Menschen werden vom beschriebenen Schema F abweichen, nur weil z. B. plötzlich zwei Großbuchstaben und zwei Sonderzeichen verlangt werden. Stattdessen wird häufig der erste und letzte Buchstabe des Substantivs großgeschrieben und ein Buchstabe wird durch ein korrespondierendes Sonderzeichen ersetzt: So wird aus „Winter2020“ nur ein „W!nteR2020!“. Ist der Angreiferin die Richtlinie bekannt, glückt auch hier oft der Passwort-Rate-Angriff. Hackern stehen dafür entsprechende Werkzeuge, Wortlisten und Regelwerke zur Verfügung, sodass der Prozess fast vollständig automatisiert erfolgen kann.

Andere Empfehlungen aus den vergangenen Jahren lauteten, ganze Sätze zu verwenden, z. B. aus einem Lied, einem Buch oder einem Gedicht: „Mit dem Herz in der Hand und der Leidenschaft im Bein / Werden wir Weltmeister sein“, „Er war ein alter Mann und er fischte allein in einem Boot im Golfstrom“, oder auch „Wer reitet so spät durch Nacht und Wind?“ oder „Etwas ist faul im Staate Dänemark“. Ein löblicher Ansatz, der auf den ersten Blick vielversprechend wirken mag, um einfache Rateversuche abzuwehren, die jedes Zeichen an jeder Position ausprobieren. Auch scheint dies sogenannten „Wörterbuchangriffen“ vorzubeugen, die jedes Wort an jeder Position des Passworts durchprobieren. Durch die schiere Anzahl an Zeichen und Worten ergibt sich eine immense Anzahl an Kombinationen, die auch bei heutigen und voraussichtlich selbst bei zukünftigen Supercomputern zu ‚Kopfzerbrechen' führen würden.

Sicherheitsforscherinnen und IT Security Experten stellten sich in Folge dieser Entwicklung die Frage, ob diese Passwortsätze tatsächlich zu einer Verbesserung der Sicherheit führen, und welche Möglichkeiten sich letztlich noch bieten, um das System „Passwortsatz“ anzugreifen. So erschien 2013 ein Artikel bei ArsTechnica.com, der der Frage nachging, wie Passwortphrasen bzw. -sätze trotzdem geknackt werden könnten. Der Forscher Kevin Young stand eben genau vor diesem Problem, eine lange Liste an verschlüsselten Passwörtern zu haben, bei denen übliche Passwortlisten bzw. Wörterbuchangriffe fehlschlugen. Um neue Worte und Kombinationen zu finden, stellte er eine Sammlung aus mehreren sehr großen Quellen zusammen: 15.000 Bücher des freien Project Gutenberg, der gesamte Inhalt von Wikipedia, YouTube-Kommentare, Nachrichten-Webseiten, Songtexte, Facebook und andere Social-Media-Kanäle. So konnten auch Passwörter wie „from genesis to revelations“, „in the beginning was the word“ und „Password must be at least 8 characters“ geknackt werden. Auch die Abwandlung von Buchstaben in korrespondiere Zahlen (E -> 3, I -> 1, T -> 7 usw.) ist für Computer und Passwort-Cracker nur eine geringe Komplexitätssteigerung.  

Ein weiterer häufiger Fehler ist, ein Passwort zu verwenden, das sich aus zwei Teilen zusammensetzt. Viele Menschen nutzen dazu ein vergleichsweise schwieriges bzw. sicheres Passwortpräfix, mit dem jede Komplexitätsanforderung direkt erfüllt wird – z. B. „sgPG13)-“ – und hängen dann den jeweiligen Dienst oder die Anwendung an, für die das Passwort gelten soll, also z. B. „sgPG13)-facebook“, „sgPG13)-windows“ und „sgPG13)-xing“. Nach einem erfolgreichen Angriff, bei dem Passwort und E-Mail-Adresse erbeutet werden konnten, ist es dann nur noch ein kleiner Schritt von einem kompromittierten Windows-Konto bis hin zu einem kompromittierten Facebook-, XING- oder sonstigen Konto, für das ein ähnliches Passwort Verwendung findet.

Passwörter erzeugen und merken

Wie also kann ein Passwort erzeugt werden, das als (vergleichsweise) sicher gewertet und zur rechten Zeit abgerufen werden kann? Die besten Passwörter sind solche, die weder einem Muster folgen, noch durch reines Raten herausgefunden werden können. Nehmen wir als Beispiel die Zeichenkette „Mb2.r5oHf-0t“: 2014 hatte die Satire-Nachrichtenseite „Der Postillon“ in einer (Falsch)Meldung berichtet, dies sei das sicherste Passwort der Welt, da an keiner Stelle „zwei Zeichen der gleichen Kategorie aufeinanderfolgen“. Selbstverständlich gibt es nicht ‚das sicherste Passwort‘, aber es trifft den Kern der Thematik, denn das Passwort ist maximal zufällig bzw. durchmischt. Ein Passwort mit einer Länge von zwölf Zeichen, derartiger Durchmischung und verschlüsselt mit einer aktuellen Methode ist selbst für heutige Cracking-Systeme kaum zu erraten. Auf Nummer sicher geht man mit 15 oder mehr Zeichen, um auch für die nahe Zukunft gewappnet zu sein.

Die offensichtliche Schwierigkeit an derartigen Passwörtern ist, dass sie schlecht in Erinnerung bleiben, wenn sie nicht häufig eingegeben werden oder kein entsprechender Merksatz oder Ähnliches parat ist. Eine Möglichkeit ist nun, die Durchmischung bzw. Zufälligkeit nicht auf Zeichen-, sondern auf Wortebene zu suchen. Das Dudenkorpus, das eine große Sammlung an Texten zur Analyse beinhaltet, zählt ca. 18 Millionen deutsche Wörter und Wortformen, wobei ca. 2.500 Wörter bereits 75% des Korpus ausmachen. Ein kurzer Exkurs in die Mathematik: Ein Passwort aus fünf Worten und aus einem Wortschatz von 2.500 Worten besitzt 2.500^5 Kombinationsmöglichkeiten, was in etwa 10^17 entspricht. Ein Passwort mit einer Länge von neun Zeichen und hoher Komplexität (ca. 70 Zeichen) kommt auf ca. 10^16 mögliche Kandidaten (70^9) und ist damit in etwa gleich stark. Geht man einen Schritt weiter und erhöht die Passwortlänge auf sechs Worte, ist die Anzahl der Kombinationen hier vergleichbar mit einem Passwort aus elf Zeichen (beide ca. 10^20). Und um wie vieles einfacher sich der Satz „Ich bin heute gerne Elefant geschwommen“ im Vergleich zu „Jy32}nQAo%S“ im Gedächtnis behalten lässt, liegt auf der Hand. Um einen Rateangriff gegen Passphrasen weiter zu erschweren, können auch noch weitere Hürden eingebaut werden, z. B. dialektale Schreibweise („I be hait gern Elefant gschwomma“) oder auch geringe Abweichungen von korrekter Schreibung („Ich bin hoite gerne Elefand geschwommen“). Schöpft man aus den Top 10.000 Worten (in denen „Elefant“ noch nicht auftaucht!), sind Passworte aus sechs Worten (10.000^6) ähnlich stark wie Passworte aus 13 Zeichen mit hoher Komplexität (70^13), nämlich beide mit ca. 10^24 möglichen Zusammensetzungen.

Worauf an dieser Stelle hingewiesen werden muss und was nicht vergessen werden darf, sind die eingangs beschriebenen Zitate, Textstellen, Songs oder andere Quellen, die im Internet gefunden werden können. Sichere Passwörter sollten nie aus Zeichen- oder Wortfolgen bestehen, die es bereits öffentlich gab. Hier ist auf Seiten der Anwenderinnen und Anwender Kreativität gefragt, um sich starke Passwörter ohne die beschriebenen Mängel auszudenken.

Eine Zukunft ohne Passwörter?

Passwörter werden uns auch in den 2020er Jahren begleiten und ein Thema bleiben. Wer wissen will, ob ein Passwort bereits erbeutet bzw. ein Account gehackt wurde, findet Hilfe auf Seiten wie https://haveibeenpwned.com/ oder https://dehashed.com. Dort befindet sich eine Sammlung von Konten und Passwörtern, die bei früheren Datenlecks bekannt wurden. Einen interessanten Einblick und Eindruck gewährt auch der englische Wikipedia-Artikel über Datendiebstähle der letzten 15 Jahre. Für Fortgeschrittene und Interessierte eignet sich der Artikel von Senior Expert IT Security Consultant Micha Borrmann zum Thema Zwei-Faktor-Authentifizierung bei Festplattenverschlüsselung. Nicht unerwähnt bleiben sollen an dieser Stelle auch Methoden zur Multi-Faktor-Authentifizierung wie z. B. FIDO, YubiKey, WebAuthn oder auch zahllose Apps für Einmalpasswörter in den App Stores der Smartphones. Solche zweiten Mechanismen helfen noch weiter, eine sichere Authentifizierung zu gewährleisten.

In den letzten 30 Jahren sind auf dem Weg zu sicheren Passwörtern viele wichtige Schritte gemacht worden – und viele weitere werden wohl folgen.