Tag der unsinnigen Passwort-Ratschläge

  • Zu kaum einem IT-Sicherheits-Thema gibt es so viele unsinnige Tipps wie zu Passwörtern. Auch Behörden wie das BSI und Forschungseinrichtungen wie das Hasso-Plattner-Institut veröffentlichen jede Menge Unfug.
    Ein IMHO von Hanno Böck
    Passwörter sollten mindestens 15 Zeichen lang sein und Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten, behauptet das Hasso-Plattner-Institut. Sie sollten natürlich nicht in Wörterbüchern vorkommen, leicht zu merkende Passwörter sind meist schlecht. Das BSI rät, Passwörter regelmäßig zu wechseln und für jeden Service ein eigenes Passwort zu verwenden. Das Institut für Internet-Sicherheit mahnt eindringlich, Passwörter nicht aufzuschreiben, und im Browser speichern soll man sie laut PC Welt auch nicht. Einen Passwort-Manager sollte man verwenden, aber natürlich keinenunsicheren. Allerdings speichern die meisten Passwortmanager die Passwörter online, was man auch nicht tun sollte, wie etwa Spiegel Online schreibt.
    Wer alle diese Tipps beherzigen möchte, kann eigentlich nur zu einem einzigen Schluss kommen: Passwörter können von Menschen nicht sicher genutzt werden. Also am besten den Internetzugang kündigen und das Faxgerät wieder auspacken?
    Der heutige 1. Februar ist der Tag des Passwort-Wechsels. Ausgerufen wurde er vor einigen Jahren vom Onlinemagazin Gizmodo. Daher werden wir auch heute mit gut gemeinten, aber oft schlechten Ratschlägen behelligt. So sollen wir alle für sämtliche Services, die wir verwenden, das Passwort ändern - beim Autor des Artikels sind das etwa 700.
    Eine revolutionäre Idee: Empfehlung auf Basis wissenschaftlicher Belege
    Vor einigen Jahren hat die US-Verbraucherschutzbehörde FTC mit einem Tweet ihre Follower ebenfalls zum regelmäßigen Ändern des Passworts aufgefordert. Doch später tat die Behörde etwas, was im Feld der IT-Sicherheit absolut außergewöhnlich ist: Sie schaute sich an, welche wissenschaftlichen Belege es für ihre Empfehlungen zum Wechseln des Passworts eigentlich gibt.
    Das Ergebnis: keine. Vielmehr gab es eine Reihe von Studien, die nahelegen, dass ein regelmäßiger Wechsel des Passworts eher schädlich ist. So gibt es Hinweise darauf, dass in Unternehmen, die ihre Mitarbeiter zum Wechseln des Passworts zwingen, tendenziell schlechtere Passwörter gewählt werden. Die existierenden Studien basieren leider auf reinen Beobachtungsdaten oder Simulationen und können keinen kausalen Zusammenhang beweisen.
    Bessere Studien wären wünschenswert, doch zumindest lässt sich sagen: Aus den verfügbaren Daten lässt sich eine generelle Empfehlung zum Passwortwechsel nicht ableiten, sondern eher das Gegenteil. Eine solch wissenschaftliche Herangehensweise hält aber Behörden wie das BSI nicht davon ab, die fragwürdigen Empfehlungen weiter zu verbreiten.
    Warum ist 123456 immer noch beliebter als hXt_ah!w0S3%DmT.L?
    Das Hasso-Plattner-Institut (HPI), Deutschlands führendes Institut für pseudowissenschaftliche Statistiken zur IT-Sicherheit, veröffentlicht jährlich eine Top-Ten-Liste der beliebtesten Passwörter. Es hat erst kürzlich verkündet, dass wieder einmal 123456 das beliebteste Passwort der Deutschen ist. Eine schockierende Nachricht. Noch schlimmer: Nicht ein einziges Passwort, das alle Empfehlungen für sichere Passwörter einhält, schaffte es in die Top Ten.
    Und das wird auch für alle Zeit so bleiben. Denn sichere Passwörter zeichnen sich dadurch aus, dass sie einmalig sind. Insofern kann ein sicheres Passwort niemals zum beliebtesten Passwort gekürt werden, da jedes besonders sichere Passwort in den Statistiken nur einmal auftauchen wird.
    Derartige Listen mit beliebtesten Passwörtern sind ohne jede Aussagekraft und reiner Nonsens. Relevant wäre zu wissen, wie viele Nutzer solche unsicheren Passwörter nutzen. Selbst dann wäre zu fragen, welcher Anteil der Accounts schlicht Test- oder Wegwerfaccounts sind. Das HPI verrät uns nämlich nicht, woher seine Daten stammen.
    Mutmaßlich stammen die Daten aus Passwortleaks. Das allein wirft schon Fragen auf, denn verwendbar für solche Statistiken sind natürlich nur Datenlecks, die öffentlich wurden und bei denen die Passwörter unsicher gespeichert sind. Sprich: Man erstellt tendenziell Statistiken über Daten von eher unsicheren Services. Das dürften für die meisten Nutzer nicht die wichtigsten Services sein.


    Einmalige Passwörter und Zwei-Faktor-Authentifizierung
    Man kann aber durchaus ein paar praxisrelevante Tipps zu sicheren Verwendung von Passwörtern geben. Angesichts von immer wieder auftretenden Datenlecks ist das absolut Wichtigste, einmalige Passwörter zu verwenden. Angreifer probieren in Massen Zugangsdaten aus Datenlecks bei anderen Services aus.



    Wenn möglich und praktikabel, ist eine Zwei-Faktor-Authentifizierung sinnvoll. Aber seien wir hier realistisch: In vielen Fällen dürfte das Nutzern zu aufwendig oder zu kompliziert sein.
    Natürlich sollte man keine trivial erratbaren Passwörter nutzen. Nahezu alle denkbaren Tipps, um sichere, merkbare Passwörter zu erstellen, sind angreifbar, daher sollte man idealerweise nur zufällige Zeichenfolgen nutzen. Wenn diese mindestens 15 Zeichen lang sind, werden Bruteforce-Angriffe praktisch unmöglich
    Passwörter zu wechseln, ist nach einem bekanntgewordenen Datenleck sinnvoll, aber selbst da nicht nötig, wenn das Passwort gehasht gespeichert wurde und lang genug ist. Ansonsten ist die Empfehlung zum Passwortwechsel fragwürdig, andere Dinge sind weit wichtiger.
    Passwörter sollten notiert werden
    Da sich niemand eine größere Zahl an sicheren Passwörtern merken kann, ist es sehr sinnvoll, diese entweder zu speichern oder aufzuschreiben. Ein Passwort-Manager ist generell eine gute Idee. Man überlässt es der Software, individuelle und sichere Passwörter zu speichern, und muss sich nur ein Master-Passwort merken. Den browsereigenen Passwortmanager zu verwenden, ist meist nicht ideal. Es ist aber allemal besser, als zu versuchen, sich unsichere Passwörter zu merken.
    Viele, insbesondere unbedarfte Nutzer fühlen sich mit der Verwendung eines weiteren Programms überfordert. Passwörter auf Papier aufzuschreiben, ist da generell keine schlechte Idee, beispielsweise in einem Notizbuch. Vermeiden sollte man nur, das Passwort an Stellen aufzuschreiben, an denen es von anderen - möglicherweise über Kameras - gesehen werden kann, wie beispielsweise Post-it-Zettel am Monitor.
    Der Papier-Passwortmanager hat Vor- und Nachteile. Der Vorteil ist, dass ein Stück Papier ausschließlich offline angegriffen werden kann. Außer in dem Moment, in dem man das Passwort tatsächlich nutzt, ist man vor allen Online-Angriffen und allen denkbaren Software-Sicherheitslücken geschützt. Der Nachteil ist, dass diese Variante anfälliger für Phishing ist. Ein guter Passwortmanager kann sicherstellen, dass Passwörter nicht auf der falschen Webseite eingegeben werden.
    Der größte Vorteil der Papiervariante: Sie ist auch für technisch unbedarfte Nutzer leicht verständlich. Während ein Online-Datendiebstahl oft mit komplexen technischen Vorgängen zu tun hat, dürfte jedem klar sein, was ein gestohlenes Passwort-Notizbuch bedeutet.



    https://www.golem.de/news/imho…schlaege-1802-132533.html