Wie geht Passwort

Einleitung

Vielleicht können Sie sich ja mit einem unserer beiden Protagonisten identifizieren:

Okay, wir sind fast fertig Mama! Jetzt brauche ich nur noch das Passwort für dein Google-Konto.

Statt einer Antwort sehe ich nur einen kurzen Anflug von Panik über das Gesicht meiner Mutter huschen.

Ich bin mitten im weihnachtlichen Familien-Tech-Support und resette ein ramponiertes Smartphone, am Wohnzimmertisch, zwischen Kaffee, Kuchen und Kerzen. Muss dass eigentlich immer so sein?

Wir klären das mit der Passwortverwaltung jetzt ein für alle Mal - Juhu!

In diesem Artikel werde ich die technischen Grundlagen, Probleme und Lösungen vorstellen, die man braucht, um sicher mit Passwörtern umgehen zu können. Die technischen Details sind (teilweise) stark vereinfacht dargestellt - versprochen! 😉

Wer jetzt denkt:

Ich benutze dieses Passwort(wörter) doch schon seit Ewigkeiten.

oder

Mein System funktioniert, ich hatte noch nie Probleme damit.

Für den ist dieser Artikel genau das Richtige!

Jeder der keine weiteren Details braucht sondern nur meinen Rat sucht:

Kurzfassungs (TL;DR)

1. Verwendet für jedes Benutzerkonto ein individuelles Passwort.
2. Hilfreich hierbei: ein Passwort-Manager. Mein Favorit: Keepass
3. Benutzt 2-Faktor-Authentifizierung wann immer diese mit Authentikator-Tokens angeboten wird. (Wenn der Dienst wichtig genug ist, darf man auch das SMS-TAN-Verfahren verwenden.)

Passwörter erklärt für technisch Herausgeforderte

Was sagt Wikipedia zu diesem Thema?

Wikipedia.com ins Deutsche übersetzt

[...] Ein Passwort, manchmal auch Passcode genannt, ist ein auswendig gelerntes Geheimnis, typischerweise eine Zeichenkette, die normalerweise zur Bestätigung der Identität eines Benutzers verwendet wird [...]

Während das Konzept des Passworts definitiv (viel) älter als das Internet ist, so ist es das World Wide Web, das dafür sorgt, das sich Benutzer täglich mit Passwörtern und deren Sicherheit herumschlagen müssen.

Wie funktionieren Passwörter eigentlich?

Moderne Websites und Dienste verwenden in der Regel Passwörter, um ihre Benutzer zu identifizieren und zu autorisieren.

Der einfachste Weg, einen Benutzer zu identifizieren, ist, sich den Benutzernamen und den Passcode des Benutzers zu merken. Wenn der Benutzer wieder auf die Website kommt, fragt man einfach nach dessen Anmeldedaten und vergleichen diese mit den zuvor gespeicherten Werten. Gibt es eine Übereinstimmung, ist der Benutzer identifiziert und der Zugriff wird erlaubt.

Dieses System wurde im Laufe der Zeit leicht weiterentwickelt. Heute ist es gängige Praxis, sich das Passwort eines Benutzers nicht zu merken. Stattdessen speichert der Dienstanbieter nur einen sogenannten Hash des Passworts.

Was ist ein Hash? Nun, um es einfach zu halten, nimmt man ein Passwort und jagt es durch eine mathematische Funktion, die es zuverlässig in einen zweiten Wert umwandelt.

Oho, das klingt kompliziert. Na ja, das ist es auch irgendwie, aber so genau muss man sich darüber nicht den Kopf zerbrechen.

Okay, okay, wenn alle darauf bestehen 😉 - man kann sagen, dass ein Hash-Algorithmus vor allem drei Dinge können muss:

1. Egal, wie oft man eine Hash-Funktion auf dasselbe Kennwort anwendet, es wird immer das gleiche Ergebnis geliefert.

Zum Beispiel erhalte ich jedes Mal, wenn ich meine Super-Hash-Funktion auf das Passwort “password123” anwende, “43RS6G8XS21” als Ergebnis.

2. Ein Hash sagt nichts über das ursprüngliche Passwort aus. Weder Länge noch Inhalt.

Als Beispiel von “password123” ist der Hash-Wert “43RS6G8XS21”, während “password1234” den Wert “6ZS131PP” erzeugen würde.

3. Der Hash eines Passworts ist einfach zu erstellen, aber es ist sehr schwer, aus dem Hash auf das ursprüngliche Passwort zurückzugreifen.

Am besten denkt man an eine Spielplatzrutsche. Man kann sehr leicht und schnell nach unten gelangen (zum Hash), aber es ist sehr schwer, wieder nach oben zu gelangen (zum ursprünglichen Passwort). So in etwa, nur mit Zahlen und Mathematik. 😝

Aber warum reden wir jetzt nochmal die ganze Zeit über Hashes? Gute Frage!

Das führt uns direkt zum nächsten Thema.

Fallstricke bei der Verwendung von Passwörtern

Leider ist die Verwendung eines Passworts zur Identifizierung von Benutzern alles andere als eine idiotensichere Lösung. Dies sind die Hauptprobleme:

Klare Sicht auf Passwörter

Man stelle sich vor: Der Betreiber einer Website speichert die Passwörter aller seiner Benutzer im Klartext (wie es in den dunklen alten Zeiten gemacht wurde).

Das würde dazu führen, dass jeder der Zugriff auf die Datenbank hat einfach alle darin gespeicherten Passwörter lesen kann (also jeder Techniker, Administrator, Hacker). Schlechte Idee!

Daher ist es gängige Praxis für Websiten-Betreiber, Passwörter nur als Hashes zu speichern. In der Regel kennen die Betreiber die Benutzer Passwörter nicht mal.

Das ist der Grund, warum man ein neues Passwort setzen muss, falls man sein altes vergessen hat. Wenn das System richtig aufgebaut ist, geht das nur so, denn der Betreiber kennt euer Passwort ja gar nicht.

Das heißt auch, sollte eine Webseite die aktuellen Benutzerpasswörter, zur Erinnerung, direkt versenden können, läuft dort etwas sehr falsch.

Die Rutsche hinaufklettern

Erinnern Sie sich an das Gleichnis mit der Rutsche?

Selbst wenn der Website-Betreiber alles nach “Stand der Technik” richtig macht, genauso wie man eine Rutsche wieder hinaufkriechen kann, ist es möglich, Hashes wieder in Passwörter umzuwandeln. Auch wenn es nicht einfach ist und, je nach Passwortstärke, lange dauern kann.

Die 123456-Millionen-Euro-Frage:

Welcher Hash wird zuerst entschlüsselt? Ganz genau! Derjenige, der von den meisten Benutzern verwendet wird.

Erinnern Sie sich an Regel Nr. 1 aus dem obigen Hash-Algorithmus. Im schlimmsten Fall, wenn 100 Benutzer “123456” als Passwort verwenden, haben alle 100 Benutzer den gleichen Hash, was sie alle auf einmal zu einem schmackhaften Ziel macht.

Auch Du bist in Gefahr!

Okay, und warum ist das alles ein Problem für mich als Benutzer?

Das Problem ist, dass eine bestimmte Art von Benutzern hier in Gefahr gerät. Diejenigen, die das gleiche Passwort für die meisten (seien wir ehrlich, alle) ihrer Benutzerkonten verwenden. Angreifer gehen umher und versuchen, in jede Website und Datenbank einzubrechen, die sie finden können.

Die Masche eines Angreifers ist hier immer dieselbe. Sobald man Zugriff auf die Benutzerdaten hat, verwendet man ein Tool um die Benutzer-Passwort-Kombination automatisch auch auf anderen, gängigen Webseiten zu testen. Dies ist besonders problematisch, da die meisten Dienste auch die E-Mail-Adresse des Benutzers speichern.

Man stelle sich vor, dass das lokale Meerschweinchen-Züchterforum kompromittiert wird und der Angreifer Zugriff auf Passwort und E-Mail-Adressen hat. Wenn das E-Mail-Postfach jetz auch noch dasselbe (oder ein ähnliches) Passwort verwendet, hat der Angreifer dort nun auch Zugang.

Denkt man weiter, wo wird das E-Mail-Postfach noch verwendet? Bei Amazon? Was ist dann mit meinen Zahlungsinformationen? Oder bei Cloud-Diensten? Was ist mit privaten Bildern oder anderen Daten?

Wenn die Daten erst einmal entwended sind, laufen Angriffe auf weitere Konten schnell und automatisiert ab.

Viele Dienste sind betroffen

Aber wie oft werden wirklich sensible Daten, wie Passwörter oder Hashes gestohlen?

Na ja, leider ziemlich oft! Und nicht nur kleine Websites sind betroffen.

Von großen Internetfirmen wie yahoo.com über Software-Giganten wie Adobe, Technologiefirmen wie Sony oder sogar Antiviren-Hersteller wie Avast wurden in der Vergangenheit schwer kompromittiert.

Auf der Website haveibeenpwnd.com kann jeder prüfen, ob eines seiner Benutzerkonten durch einen solchen Angriff gefährdet war. Gerne mal ausprobieren! Vielleicht gehört man ja bereits zu den über 10 Milliarden Konten, die von der Website erfasst wurden. Wenn nicht, bedeutet das nicht, dass man sicher ist. Obwohl 10 Milliarden eine große Zahl sind, weiß die Website nur von Sicherheitsverletzungen, die gemeldet wurden oder bei denen Daten durchgesickert sind.

Das nächste Problem ist, dass selbst dann, wenn die Website-Besitzer verantwortungsbewusst mit den Benutzerpasswörtern umgehen und die Entschlüsselung eines Hashes sehr viel Zeit in Anspruch nimmt, es dennoch möglich ist. Wie schnell? Sehen Sie selbst auf der Kaspersky-Website, wie sicher Ihr Standard-Passwort ist (verwenden Sie nicht Ihr echtes 😝)

Es kann also nur eine vernünftige Lösung geben - verwenden Sie jedes Passwort nur genau für ein Benutzerkonto oder einen Dienst, und verwenden Sie anständige Passwörter.

In der Tat, ich schrieb vernünftig :)

Was sind sichere Passwörter?

Um es einfach auszudrücken, hier sind meine Regeln für sichere Passwörter. Einfach befolgen, und man ist auf der sicheren Seite:

• Man braucht ein System für den Umgang mit Passwörtern. Man sollte das System oft benutzen und verinnerlichen, und man sollte es für jedes Konto verwenden.
• Jedes Passwort darf nur für genau ein Konto verwendet werden. Nur für ein Konto.
• Man soll ein gut strukturiertes Passwort verwenden.
  • Keine Wörter, die man in einem Wörterbuch finden kann
  • Keine Namen oder Zahlen, die mit Ihrer Person in Verbindung stehen
  • Einen Klein- und einen Großbuchstaben
  • Eine Zahl
  • Ein Sonderzeichen (*,+.= etc.)
  • Das Passwort sollte länger als 8 Zeichen sein

Eine gute Idee ist es, einen Satz zu nehmen und nur die Anfangsbuchstaben für das Passwort zu verwenden.

Zum Beispiel:

Passwort aus einem Satz

Es war ein heller , kalter Tag im April , und die Uhren schlugen 13.
Wird zu: “Eweh,kTiA,udUs13”

Gar nicht mal schlecht!

Zusätzliche Sicherheit

Durch 2-Faktor-Authentifizierung kann man die Sicherheit seiner Accounts steigern. Es ergibt Sinn, wann immer es mit Authentikator-Tokens angeboten wird, diese Technik zu verwenden.
Wenn der Dienst für einen wichtig genug ist, darf man auch das SMS-Verfahren verwenden.

Meine Empfehlung zur Passwortverwaltung

Jetzt kennen wir die Grundlagen, Risiken und eine mögliche Lösung. Die letzte unbeantwortete Frage ist:

Wie um alles in der Welt soll ich mir denn all diese Passwörter merken?

Die Antwort ist: Mit Hilfe eines Passwort-Managers!

Passwort-Manager

Wir haben gelernt: Website-Betreiber und Service-Provider sollten meine echten Passwörter nicht kennen.

Aber noch viel besser wäre es, wenn ich meine Passwörter auch nicht kennen müsste. So geht’s!

Ein Passwort-Manager ist ein Tool, das alle meine Benutzerkonten und Passwörter speichert. Er kann neue und eindeutige Passwörter generieren und ich kann von allen meinen Geräten darauf zugreifen.

Der Zugriff ist über ein Master-Passwort gesichert. Das Master-Passwort sollte allerdings wirklich stark sein. Es kann zum Beispiel ein langer Satz sein. Inklusive Leerzeichen, Sonderzeichen, Zahlen und richtiger Interpunktion. Das macht mein Leben sehr viel einfacher. Persönlich brauche ich eigentlich nur zwei Passwörter:

1. Das Benutzerpasswort für meinen Computer
2. Das Master-Passwort zu meinem Passwort-Manager

Ein Passwort-Manager kann folgende Aufgaben erledigen:

• Informationen zu Konteneinträgen speichern
• Passwörter für Konten generieren
• bestehende Konten finden und öffnen
• die Werte aus dem Passwort-Manager während des Anmeldevorgangs in den Webbrowser kopieren und einfügen.

Keepass

Der Goldstandard aus meiner Sicht

Ich verwende ein Open-Source-Programm namens Keepass2.

Keepass funktioniert genauso wie andere Passwort-Manager, ist aber nicht Teil eines externen Dienstes.

Keepass erstellt eine sogenannte “Datenbank-Datei”, in der alle Benutzerkonten und Passwörter gespeichert werden. Die Datenbankdatei ist durch Ihr starkes Master-Passwort geschützt. Die Datenbankdatei kann auf alle meine Geräte übertragen werden, von denen ich auf meine Passwörter zugreifen will.

Für das Verteilen lässt sich zum Beispiel Cloud speicher verwenden, um die Datenbankdatei mit anderen Geräten zu synchronisieren. Wer keine eigene Cloud-Lösung hat, kann stattdessen einen kommerziellen Cloud-Anbieter wie Dropbox, Microsoft OneDrive oder Google Drive verwenden, um die Datenbankdatei auf andere Geräte zu bringen.

Da die Software Open-Source ist, gibt es Keepass-Apps für alle Geräte und Betriebssysteme.

Aber halt! Ich soll alle meine Passwörter in der Cloud ablegen? Bitte was?

Guter Punkt - aber ja, das könnte man tun.

Zum einen ist die Passwort-Datenbankdatei mit dem sehr langen und gutem Master-Passwort ziemlich sicher. Zum anderen muss man keinen “öffentlichen” Cloud-Anbieter nutzen. Wie immer ist es reine Bequemlichkeit. Man könnte die Datenbankdatei einfach per Hand auf die Geräte kopieren, auf denen man sie verwenden möchte.

Hier geht’s zum So verwendet man Keepass-Artikel.

Keepass - Vorteile

• Man muss sich nur ein Passwort merken
• Sie müssen sich nicht auf einen Dienst verlassen.
• Das Tool ist Open-Source. Das bedeutet:
  • Man kann nachprüfen, was darin passiert
  • Das Tool ist auf vielen Plattformen verfügbar
• Die Lösung ist umsonst
• Das Kopieren und Teilen der Datenbankdatei muss nicht per Cloud-Synchronisation erfolgen, sondern kann auch per Hand erfolgen.

Keepass - Nachteile

• Die Datenbankdatei ist ziemlich sicher und speichert alle Benutzerkonten und Passwörter. Ist die Datenbankdatei verloren oder kaputt, wird es heikel. Backups der Datenbankdatei sind also obligatorisch.

Bitwarden

*Die schon auch noch okay Lösung. Außerdem macht man sich die Hände weniger schmutzig.

Wer den obige Teil über Keepass liest und denkt “Das ist mir zu umständlich”, der sei unbesorgt. Es gibt verschiedene, kommerzielle Passwort-Manager-Dienste, die eine ähnliche Funktionalität anbieten.

Ich kann allerdings nur Bitwarden empfehlen. Die kostenlose Version sollte für die meisten Anwendungsfälle sogar ausreichend ausgestattet sein.

Es kann auf allen gängigen Betriebssystemen (z.B. Android, iOS, Windows, macOS, Linux) eingesetzt werden und hat Integrationslösungen zu allen gängigen Webbrowser.

Bitwarden - Vorteile

• Man muss sich nur ein Passwort merken.
• Das Tool ist Open-Source. Das bedeutet:
  • Man kann nachprüfen, was in ihm vorgeht.
  • Das Tool ist auf vielen Plattformen verfügbar

Bitwarden - Nachteile

Man muss sich auf einen externen Dienst verlassen, um alle Passwörter zu speichern. Es wird nicht nur ein, sondern gleich alle Passwörter in die Hand eines externen Dienstes gegeben. Man muss sich also sicher sein, dass dieser Anbieter seine Infrastruktur richtig sichert und schützt. Daher ist der offene Source-Code bei diesem Passwort-Manager-Service ein echtes Plus.

Wenn Sie mich fragen, verwenden Sie Bitwarden, wenn Sie zu faul oder überfordert mit dem Keepass-Workflow sind. Es ist eine hervorragende und sichere Sache.

Alternativen zu einem Passwort-Manager

Dies ist ein sicherer Kompromiss, auch bekannt als die Oma-Version

Das gute alte Buch! Ja, ich meine es ernst, besorgen Sie sich ein richtig schönes (knallbuntes) Taschenbuch und legen Sie es an einen besonderen Ort.

Schreiben Sie alle Ihre Konten auf und benutzen Sie es jedes Mal, wenn Sie das Internet benutzen; aber denken Sie daran, es ist wichtig:

• Verwenden Sie unterschiedliche Passwörter. Jeweils eins für jedes einzelne Konto
• Man sollte sich zumindest das Passwort für das Haupt-E-Mail-Konto merken, um Passwörter zurücksetzen zu können (falls das Buch verloren geht).

Die Nachteile eines Buchs

Man hat natürlich nur ein Buch. Wenn man es nicht bei sich hat, kann man nicht auf seine Konten zugreifen. Außerdem sollte man es nicht verlieren. Daher würde ich auch davon abraten es mit sich herumzutragen.

Was passiert, wenn Ich das Buch verliere?

Wenn es nur verlegt wurde, ist das zwar nicht gut, da jetzt eine Menge Arbeit folgt, aber auch nicht weiter tragisch. Sie können immer noch auf Ihr E-Mail-Konto zugreifen und alle Ihre Passwörter zurücksetzen.

Wenn es irgendwo anders verloren wird und jemand es findet, ist das Problem tatsächlich groß. Alle Konten und Passwörter aufgeschrieben in den Händen eines Fremden ist nicht gut. Daher das Buch bitte einfach zu Hause lassen!

Ansonsten

Manche Leute lassen ihre Passwörter gerne direkt von ihrem Webbrowser Verwalten und eintragen. Dies kann ich wirklich nicht empfehlen!

Und das war es auch schon. 😉 Ich hoffe meine Mutter liest diesen Artikel auch mal 😘