Einleitung

Passworte sollten sicher sein. Ein gutes Analogon ist der Schlüssel zur eigenen Wohnung: Natürlich ist dieser sicher und natürlich trägt man diesen bei sich und gibt ihn nicht her.
So sollte es bei Passworten ebenfalls sein: Mein Passwort kenne nur ich, und das gebe ich nicht weiter. Ein Satz, der mir in diesem Zusammenhang sehr gefällt kommt aus den FAQ eines Programms das ich nutze1:

… commit the capital sin of sharing your password.

Übersetzung: “… das fundamentale Verbrechen, dein Passwort zu teilen”. Den Wohnungsschlüssel teile ich ja auch nicht.

Erkenntnisse von Microsoft

Die Motivation dieses Posts kommt von einem Artikel, den ich aktuell gelesen habe: Microsoft hat das Verhalten von Angreifern auf extra dafür aufgesetzte Systeme (sogenannten Honeypods) beobachtet und geschaut, was dabei passiert. Die spannendsten Resultate:

  • Die Angreifer testen in erster Linie kurze Passworte - 77% der Testst waren mit Passworten die maximal 7 Zeichen lang waren.
  • Nur 6% der getesteten Passworte waren länger als 10 Zeichen.
  • Das Leerzeichen kam in keinem der ausprobierten Passworte vor.
  • Die Empfehlung lautet schlussendlich: Nutzt lange Passworte, und nutzt Sonderzeichen. Solange die Passworte nicht veröffentlicht (geleaked) wurden oder dem Angreifer bekannt sind, sollten sie relativ sicher sein.

Regelungen

Allgemeine Regelungen für Passworte gibt es nicht, jeder kocht sein eigenes Süppchen. Am ehesten heran kommt das US-amerikanische Institute of Standards and Technology (NIST) mit seiner Digital Identity Guideline, das ist aber viel zu kompliziert zu lesen.

Meine persönlichen Empfehlungen für ein Passwort sind:

  • Mindestens 16 Zeichen lang, üblicherweise eher 24 oder 32 Zeichen
  • Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen - Mindestens drei, eher alle vier davon müssen erfüllt sein.
  • Bitte nicht:
    • Keine Wiederverwendung von bereits verwendeten Passworten!
    • Keine Folgen, die leicht zu erraten sind: abcde, 12345, aaaaa, qwert
    • Keine Phrasen, die irgendwie Rückschlüsse auf die eigene Person zulassen: Geburtsdatum, Sozialversicherungsnummer, Namen von Partner, Kind oder Haustier.
    • Ein wichtiger Merksatz in diesem Zusammenhang: Egal wie schlau man ist, man darf davon ausgehen, dass früher oder später ein Angreifer auch so schlau ist. Darum ist jegliche Art von Passwort, die auf einen selbst zurückzuführen ist, als unsicher einzustufen.
      Ebenfalls gilt: Man muss davon ausgehen, dass ein Angreifer alles über einen weiß, exklusive dem eigenen Passwort. Ein bisschen allgemeiner sagt die Verschlüsselungstechnik: Der Angreifer kennt alle Schritte der Verschlüsselung und Entschlüsselung. Das einzige, was ihm zum vollen Zugriff auf ein System fehlt, ist der Schlüssel (das Passwort). Wenn das System trotzdem sicher ist, hat man gut gearbeitet.
  • Einfach den Passwort-Manager machen lassen.
  • Wichtige Passworte2 werden regelmäßig mithilfe von haveibeenpwned.com geprüft.

Kurze Technik

Warum sind lange Passworte sinnvoll? Üblicherweise wird das eigene Passwort in einem System nicht im Klartext gespeichert, die Firma weiß also garnicht, wie das Passwort eigentlich lautet. Stattdessen wird ein sogenannter Hash des Passworts gespeichert - eine lange Zeichenkette, die man berechnen kann. Der Hash ist üblicherweise für jedes Passwort eindeutig, man kann relativ leicht aus dem Passwort den Hash berechnen, aber man kann schwer bis unmöglich aus dem Hash das Passwort berechnen3.

Die einzige Möglichkeit, die dem Hacker bleibt, ist also das Ausprobieren: Ist aaaaaaaa dein Passwort? Ich berechne mal den Hash und vergleiche. Das ist es nicht? Schade, dann probiere ich aaaaaaab.
Dieses Prinzip wird automatisiert und die einzelnen Schritte werden sehr schnell durchgerechnet. Aber: Je länger das eigene Passwort, desto länger dauert es, bis der Hacker den richtigen Hash berechnet. Bei 16 Zeichen sprechen wir hier mit aktueller Rechenleistung bereits von vielen Jahren. Diese Geduld haben die Angreifer dann oft doch nicht. Empfehlen kann ich hierfür übrigens den Password Strength Tester von Bitwarden - Gib ein Passwort ein und es wird angezeigt, wie lange es dauern würde, dieses Passwort zu erraten.

Auch have i been pwned nutzt Hashes: Zum Passwort wird der Hash berechnet und dieser Hash steht in großen Datenbanken. Insbesondere kann man die Sache nicht umdrehen: Selbst wenn man die Datenbank von have i been pwned hat, kann man nicht herausfinden, welche Passworte darin stehen.

FAQ

  • Soll ich mein Passwort regelmäßig wechseln?
    Allgemeine Antwort: Nein, das ist nicht notwendig und bringt (bei guten Passworten!) keinen Mehrwert. Ein Wechsel sollte aber dann durchgeführt werden, wenn die Gefahr eines Lecks besteht, das Passwort also einer anderen Person bekannt sein könnte.
    Einige Systeme verlangen einen regelmäßigen Wechsel. Was dabei oft erreicht wird, ist, dass Nutzer so etwas wie mein_passwort1 nud mein_passwort2 abwechseln verwenden. Einen Mehrwert liefert das offensichtlich nicht.
  • Ich habe eh einen zweiten Faktor, dann muss das Passwort nicht so sicher sein oder?
    Doch. Der zweite Faktor soll nicht die Sicherheit des ersten Faktors ersetzen sondern höhere Sicherheit bereitstellen.
  • Und wie soll ich mir diese ganzen Passworte merken?
    Nutze einen Passwort Manager.

Zusammenfassung

Nutze lange Passworte, und nutze einen Passwort-Manager.

  1. Link. Ein sehr sinnvolles App zum Organisieren der eigenen Finanzen, übrigens! Buchhaltung, aber ohne den komplizierten rechtlichen Teil den ich eh nicht brauche. ↩︎

  2. Was wichtig ist, musst du natürlich selbst entscheiden. Ich würde das Banking-Passwort, das eMail-Passwort und vielleicht das Passwort für soziale Medien (Facebook, Twitter, Instagram) empfehlen. ↩︎

  3. In der Mathematik spricht man von einer One-Way-Function oder Ein-Weg-Funktion: Eine Richtung ist leicht, die andere Richtung würde zwar existieren, ist aber (fast) unmöglich zu berechnen. ↩︎