Logins absichern: Passwörter richtig schützen

Foto: Vitalii Vodolazskyi – shutterstock.com

Die meisten Menschen verwenden bei verschiedenen Webseiten dieselben drei bis vier Passwörter. So verraten sie zum Beispiel dem Betreiber ihres Häuslebauer-Forums ihr LinkedIn-Passwort oder dem Online-Buchhändler den Zugang für ihren E-Mail-Account und umgekehrt.

Doch gerade das E-Mail-Konto braucht ein eigenes, besonders starkes Passwort. Denn über das E-Mail-Postfach können die Passwörter anderer Webseiten zurückgesetzt und geändert werden. Bei einem Angriff auf die Online-Community Knuddels im Jahr 2018 gelangten Hacker an über 800.000 E-Mail-Adressen und die dazugehörigen Passwörter im Klartext. Die Daten wurden im Internet veröffentlicht und sind seitdem für jedermann zugänglich. Angreifer können diese Daten nun dazu nutzen, um sich bei den E-Mail-Diensten anzumelden und danach deren PayPal-, Amazon-, oder Twitter-Passwörter zurückzusetzen.

Passwörter verschlüsseln

Das Beispiel macht deutlich: Passwörter sollten niemals im Klartext in einer Datenbank gespeichert werden. Darum “hashen” moderne Webseiten die Login-Daten vor dem Speichern. Hashing ist eine kryptographische Methode, um Passwörter in der Datenbank unkenntlich zu machen. Aus dem Passwort “gehe1m” (im Übrigen kein Beispiel für ein sicheres Passwort) wird ein Hash, der etwa so aussehen kann: “$2a$12$1/qW.hRqrzs57icx0fVWFujjvgptBk.cnv33ObHsr9tIiIzEu6/.y”.

Hashes sind Einweg-Funktionen. Das heißt, aus einem Klartext-Passwort wird der Hash gebildet. Aus dem Hash lässt sich das Passwort jedoch zurückrechnen.

Hätte Knuddels also Passwort-Hashes anstatt von Klartext-Passwörtern gespeichert, müssten die Angreifer die Passwort-Hashes “cracken“, um an die Daten zu gelangen. Das bedeutet, sie raten, wie das Klartext-Passwort lauten könnte, bilden den entsprechenden Hash und vergleichen ihn mit dem gestohlenen Hash. Sind die beiden gleich, ist das Passwort geknackt.

Je länger, desto besser

Ein einzelner Computer kann für schwache Hashing-Algorithmen 100 Milliarden Passwörter pro Sekunde hashen. Das bedeutet: ein Passwort mit acht Kleinbuchstaben (208 Milliarden mögliche Kombinationen) lässt sich in höchstens zwei Sekunden knacken. Kommen zusätzlich Großbuchstaben, Zahlen und Sonderzeichen dazu, erhöht sich die Dauer auf 14 Stunden. Neun Zeichen bedeuten, dass ein Angreifer bis zu 14 Jahre braucht, um es zu knacken. Ein 14-stelliges Passwort benötigt eine Milliarde, 15 Stellen 91 Milliarden Jahre (zum Vergleich: Der Urknall soll vor 13 Milliarden Jahren stattgefunden haben).

Auch bei einem enormen Technologie-Sprung – etwa auf Quantencomputer – ist nicht davon auszugehen, dass derart starke Passwörter in vernünftiger Zeit zu knacken sein werden. Bei einer Vertausendfachung der Rechengeschwindigkeit benötigte man statt 91 Milliarden “lediglich” 91 Millionen Jahre, um ein 15-stelliges Passwort zu knacken.

Eine Voraussetzung für diese Berechnungen ist, dass die Passwörter zufällig generiert sind. Ist ein Klartext-Passwort aus einem früheren Datenleck bekannt, können Angreifer Passwort-Hashes mittels Passwort-Listen knacken.

Ein Passwort-Manager hilft

Einzigartige und zufällig generierte Passwörter lassen sich nur mit einer Passwort-Manager-Software vernünftig verwalten. Bei dateibasierten Passwort-Managern wird eine passwortgeschützte, verschlüsselte Datei auf dem Office-PC des Benutzers abgelegt. Cloud-Dienste verschlüsseln Passwort-Einträge ebenfalls mit einem vom Benutzer festgelegten Passwort, speichern diese hingegen in der Cloud. Beide Arten von Passwort-Managern sind gleichermaßen zu empfehlen. Dass ein Cloud-Anbieter kompromittiert wird, ist ähnlich wahrscheinlich wie ein mit Malware verseuchtes Software-Update.

Ein Passwort-Manager bedeutet jedoch nicht, sich keine Passwörter mehr merken zu müssen. So können etwa das Windows-Login-Passwort oder das Passwort für den Passwort-Manager selbst nicht in ihm verwaltet werden. Darüber hinaus ist es sehr ratsam, ein Backup der Passwort-Manager-Datei zu erstellen. Dieses Backup muss ebenfalls ohne Zugriff auf den Passwort-Manager wiederherstellbar sein.

Starke Passwörter und MFA

Als Unternehmen steht man vor der Aufgabe, sämtliche Mitarbeiter dazu zu bringen, sichere Passwörter zu wählen. Denn jedes Mitarbeiter-Konto könnte ein potenzielles Einfallstor sein. Die Anforderung vieler Unternehmen an ihre Mitarbeiter, quartalsweise die Passwörter zu ändern, führt nicht zu sicheren Passwörtern. Dann wird oft aus “hasi1” das Passwort “hasi2” oder aus “passwort_herbst” “passwort_winter”.

Viel wichtiger als Passwortwechsel in kurzen Intervallen sind erzwungene Anforderungen an Passwörter wie Mindestlänge (etwa 14 Zeichen) oder unterschiedliche Zeichentypen (Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen). Zudem sollte geprüft werden, ob Benutzerpasswörter aus vergangenen Datenlecks öffentlich bekannt sind.

Eine Mehr-Faktor-Authentifizierung (MFA) für sämtliche aus dem Internet erreichbaren Dienste des Unternehmens bedeutet ebenfalls einen enormen Sicherheitsgewinn. Falls ein Benutzer doch einmal sein Passwort für mehrere Dienste verwendet hat, bietet ein starker zweiter Faktor ein komfortables Sicherheitsnetz. Das kann beispielsweise ein zusätzlicher zeitbasierter PIN via SMS oder besser Authenticator-App sein.

Das Passwort ist tot! Lang lebe das Passwort!

Auch wenn Microsoft schon vor längerem das passwortfreie Zeitalter ausgerufen hat, Passwörter werden uns in der IT-Security noch lange begleiten. Wenn Angreifer keine technischen Sicherheitslücken finden, um in ein Unternehmen einzudringen, bleiben noch eine Menge menschlicher Sicherheitslücken – oder deren Passwörter. (jd)