Passworthygiene

In diesem Beitrag geht es darum, welche Regeln ich für die Passwortsicherheit anwenden würde. Die Regeln sind in ihrer Wichtigkeit sortiert, beginnend mit der wichtigsten Regel. Diese Regeln decken sich auch mit den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik)

1. Für jeden Dienst ein individuelles Passwort
2. Entweder lang (30 Zeichen) und wenig komplex oder kurz (12 Zeichen) und komplex. Die Empfehlung geht eher zu langen weniger komplexen Passwörtern.
3. Mehrfaktorauthentisierung aktivieren, wenn möglich
4. Passwortmanager nutzen
5. Passwörter niemals teilen
6. Bei Verdacht auf Kompromittierung Passwort wechseln

Wozu sind diese Regeln wichtig?

Sie fragen sich sicher, wozu dieser ganze Aufwand? Gerade in der heutigen Zeit nutzen wir sehr viele Internetdienste. Bei jedem haben wir einen individuellen Account. Dort werden also mindestens ein Benutzername und ein Passwort gespeichert. Meist wird statt eines Benutzernamens die E-Mail genutzt. 

Zeit für ein Gedankenexperiment: Sie sind Angreifer und konnten von einem Kollegen oder einer Kollegin das Passwort herausfinden, welches auf Arbeit verwendet wird. Sie sind zufällig in verschiedenen Social Media Netzwerken verbunden und kennen gegebenenfalls auch die private E-Mail Adresse. Wenn Ihre Kollegin oder Ihr Kollege überall das identische Passwort verwendet, dann könnten Sie doch mal versuchen ob Sie auch auf das private E-Mail Konto zugreifen können. Das war erfolgreich. Jetzt können Sie sehen, von wem dort so E-Mails angekommen sind in letzter Zeit. Zalando, Amazon, usw. Versuchen wir doch mal, uns dort einzuloggen. Oh das klappt nicht. Es scheint dort ein anderes Passwort zu geben. Naja wir haben Zugriff auf das Mail-Konto und könnten ja auf "Passwort vergessen" klicken. Dort können wir die E-Mail Adresse eingeben, die wir haben und das Passwort zurücksetzen. Theoretisch sind wir nun in der Lage, Einkäufe auf Kosten anderer zu tätigen.

Was ist gerade passiert: Wir konnten wegen einer Doppelnutzung eines Passwortes Zugriff auf das private E-Mail Konto erhalten. Dadurch war es möglich, negativen Einfluss auf sämtliche andere Konten zu nehmen. Hier waren es direkte finanzielle Schäden. Es hätte allerdings auch Rufmord (Ich schreibe etwas böses im Namen der Person und poste es unter deren Namen auf Social Media) sein können. Die Grenzen hier sind fließend.

Passwortmanager

Ein Passwortmanager ist durchaus als single point of failure zu sehen. Kommt jemand an mein Passwort für den Passwortmanager können alle Passwörter kompromittiert sein. Daher ist es wichtig, an dieser Stelle auch darauf zu achten, welche Passwortmanager man verwendet und ob die Möglichkeit besteht einen zweiten Faktor zur Entschlüsselung der Datenbank zu nutzen. Ich bin jedoch der Ansicht, dass es besser ist einen Passwortmanager (selbst ohne MFA) zu nutzen, als Passwörter selbst auszudenken und diese ggf. doppelt zu verwenden. Auch wenn es zunächst gruselig erscheint, nutzen Sie die Möglichkeiten! Fangen Sie ggf. einfach an und speichern Sie zunächst alltägliche Passworte, die sie kennen. Nutzen Sie jedoch zum Login immer den Passwortmanager, um im Umgang damit besser zu werden und das Programm besser zu verstehen.

Ich kann KeePassXC und Bitwarden wärmstens empfehlen. KeePassXC hat den Vorteil, dass die Daten komplett bei mir liegen. Dies bedeutet aber auch, dass ich die Passwortdatenbank separat sichern und replizieren muss. Bitwarden ist in der Regel einfacher zugänglich und für Anfänger zu empfehlen.

• KeePassXC: https://keepassxc.org/ - eine englische Anleitung ist hier verfügbar: https://keepassxc.org/docs/KeePassXC_UserGuide.html
• Bitwarden: https://bitwarden.com/de-DE/download/

Laut NCSC (sowas wie das britische BSI) ist es sicher, die vom Browser vorgeschlagenen Passwörter zu nutzen und diese auch dort zu speichern.

Was können wir daraus mitnehmen?

• Die wichtigste Regel ist, für jeden Dienst ein individuelles Passwort zu vergeben. Selbst wenn dieses Passwort schwach ist und nun jemand Ihren Account hackt müssen Sie nur ein Passwort ändern.
• Sorgen Sie dafür, dass insbesondere E-Mail Konten und Internetdienste mit Finanzdaten besonders gute Passwörter erhalten. Bestenfalls aktivieren Sie eine 2-Faktor oder Mehrfaktorauthentisierung. Dabei erhalten Sie dann nach der Eingabe des Passwortes einen Einmalcode via SMS oder in einer Handy-App (ähnlich einer TAN). Das Verfahren heißt hier OTP (One-Time-Password). Dieses zu erlangen ist für Angreifer wesentlich schwieriger als ein einzelnes Passwort.

Quellen

• Bundesamt für Sicherheit in der Informationstechnik, "Sichere Passwörter erstellen", https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
• National Cyber Security Center, "Use a strong and separate password for your email", https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/use-a-strong-and-separate-password-for-email
• National Cyber Security Center, "Password managers: using browsers and apps to safely store your passwords", https://www.ncsc.gov.uk/collection/top-tips-for-staying-secure-online/password-managers
• ISACA über die NIST SP 800-63-3 Richtlinien: https://www.isaca.org/resources/isaca-journal/issues/2019/volume-1/nists-new-password-rule-book-updated-guidelines-offer-benefits-and-risk