Bitte ändern sie ihr altes Passwort - Der falsche Kampf um Sicherheit im Internet

Manchmal ist es wirklich ärgerlich, wenn man plötzlich für irgendeine Seite und Zugang, sein Passwort ändern soll. Zum einen bin ich froh, dass ich mir mein altes Passwort merken konnte und zum anderen ist es oft auch noch relativ aufwendig und zeitraubend.

Sicher, es gibt schlechte und bescheuerte Passwörter, die man mit einer Brute-Force-Attacke oder einfachem Ausprobieren leicht knacken kann. Aber warum sollte ich ein bestehendes, gutes Passwort ändern?

Klar, so kann man verhindern, dass ein bereits geknacktes Konto weiter vom Hacker genutzt wird. Nur oft schaut es ja eh so aus, dass man aus Faulheit, das bestehende Passwort um ein oder zwei Zeichen erweitert und diese zwei Zeichen hat der Hacker dann eh schnell raus gefunden. Aber wie oft passiert das schon und läuft man bei regelmäßigen Änderungen nicht Gefahr, dass dann erst Recht mal das Passwort irgendwo abgefangen werden kann?

Und dann gibt es die Passwörter die nicht mehr den alten Sicherheitsvorgaben entsprechen. Heißt, Groß- und Kleinbuchstaben, eine Ziffer und ein Sonderzeichen beinhalten sollen. Nur wenn ich ein sehr langes Passwort habe und es nun mit eben solchen Sonderzeichen ausstatten muss und mir dafür vom System mir ein acht Zeichen langes Passwort an die Hand gegeben wird, dann bezweifle ich, dass das neue Passwort mich besser schützt. Zumal ich davon ausgehe, dass ab einer gewissen Länge beim Hacken des Passwortes durch eine Brute-Force-Attacken eh davon ausgegangen wird, dass Sonderzeichen angewendet werden müssen und diese dann wieder beim ersten Zeichen beginnt, somit das lange Passwort also sicherer ist, als das kurze mit Sonderzeichen.

Und das ist mir erst kürzlich passiert und da war ich echt sauer. Das gute und lange Passwort, wurde als nicht sicher eingestuft, nur weil es keine bestimmten Sonderzeichen beinhaltete. Hier war nicht mein Passwort unsicher, sondern der Algorithmus dilettantisch programmiert, der feststellen sollte ob mein Passwort noch sicher genug war und mir statt dessen dieses lächerlich kurze Passwort vergeben wollte.

Vor allem sollte man sich eine gute Passwortstrategie zulegen, denn Passwörter sind die Schlüssel im Internet und mit der Zeit braucht man da richtig viele davon. Und man sollte unbedingt diese Strategien in sensiblen Bereichen ändern. Denn wenn ein Hacker irgendwo Zugriff auf eines ihrer einfachen Passwörter für ein verschmerzbaren Zugang entdeckt hat, sollte er nicht darauf kommen können, wie das Passwort für einen sensibleren Bereich lautet.

 

Ich kann mir nicht mehr alle Passwörter merken


Meistens schreibe ich mir Passwörter auf. So kann ich schnell mal nachsehen,welches Passwort gerade gebraucht wird.

Ich habe ein kleines Notizbüchlein, in dem ich mir Username und Passwort notiere, das mag zwar altbacken sein aber funktioniert.

 

Bill Burr hatte 2003 aus Zeitdruck die unsinnigen Regeln für das National Institute of Standards and Technology (NIST), welche dann später zum Standard wurden. Mittlerweile hat das NIST seine Regeln erneuert und demzufolge sollte man ein Passwort nicht regelmäßig austauschen, außer das System wurde in der zZwischenzeit kompromittiert. Denn wer ständig sein Passwort ändern soll, der macht eh nur leichte Abwandlungen wie aus hallo1 ein hallo 2 und das ist dann alles andere als sicher. Zudem ist der ganze Kram mit den Sonderzeichen, Zahlen und gemischten Groß- und Kleinbuchstaben absoluter Unsinn. Hier sollte man besser auf lange und für einen einfach zu merkende Phrasen setzen. Hier bringt es mehr, Leerzeichen dazwischen einzusetzen. "Am Morgen wird es bald sehr hell werden." ist ein besseres Passwort als "TgfK34%$".

 

Ich würde behaupten, die Mehrheit aller Benutzer, merken sich ihre Passwörter, angefangen beim Entsperrungscode des eigenen Smartphones. Typische Hilfsmittel ist bei Computerpasswörtern der Zettel am Monitor. Da müssen wir einfach bei der Realität blieben, denn die meisten sind nicht wirklich technikaffin und benutzen entsprechende Tools mit einem Masterpasswort.

Ansonsten sind solche Phrasen in der Regel sehr sicher, wenn sie nicht schon als solche, wie auch oben genannte kryptische Zeichenkombinationen, schon durch komprimierte Systeme in Passwortlisten aufgenommen wurden.

Die in der Regel verwendeten Zeichen umfassen eine Größe von 128 Zeichen. Wörterbücher, welche Hackertools benutzen sind da weitaus umfangreicher und werden in der Regel daher auch nur auf ein Wort angelegt, denn eine Kombination fällt da schnell ungleich umfangreicher aus. Zudem kommen dann noch Groß-Kleinschreibungen als ganzes Wort oder nur am Anfang de Wortes in Frage, sowie Interpunktion und der Einsatz oder das Fehlen von Freizeichen. Dazu darf man nicht vergessen, dass der Angreifer evtl. nur die verwendete Sprache oder Sprachkombinationen erraten kann, wenn er denn überhaupt davon ausgehen kann, dass es sich um einen Satz und nicht um ein kryptisches Passwort handelt. Daher verwenden solche Hackertools ja in der Regel erst Wörterbücher für Worte oder feste Wortgruppen und gehen bei Misserfolg die brute force Methode an. Aber Kombinationen aus Wörtern eine Sprache, Fachsprachen oder gar aus Kombination von Sprachen und Dialekten usw., macht da keinen Sinn. Aus der rein mathematischen Sicht, sehe ich daher nicht, wieso solche Sätze an sich unsicherer sein sollten als kryptische Kombinationen.

 

Ich denke es kommt auch sehr auf das jeweilige Szenario an. Vor wem möchte ich welche Daten sichern und wo sind diese Daten gesichert? Dahingehend kommt dann auch die Frage auf, wie viel Aufwand wird ein Angreifer aufwenden, um mein Passwort zu knacken? Muss meine Festplatte zu Hause ein ebenso, ein weniger oder gar noch sicheres Passwort haben, als meine Daten in der Cloud?
Den Laptop zu Hause sichere ich evtl. vor Diebstahl, wobei Diebe dort eher an der Hardware interessiert sind und da erst keinen Aufwand betreiben an die Daten heran zu kommen, sondern eher das System resetten und ein neues System darauf einrichten. In der Regel will ich den Laptop auch nur vor unbefugten Zugriff der Kinder und den arglosen löschen von Daten usw. sichern. Da muss ich keinen großen Aufwand betreiben.
Mit einem Smartphone ist man da eher unterwegs und kann es verlieren oder unterwegs gestohlen werden. Die Gefahr ist deutlich höher und daher sollte hier die Verschlüsselung besser sein. Aber auch da werden Diebe keinen all zu großen Aufwand betreiben und eher das System resetten um das Teil selbst zu nutzen oder weiter zu verkaufen.
Das Handy ist aber oft auch Angelpunkt für die Cloud und daher sollten hier Zugangsdaten ordentlich gesichert sein und die Cloud im Netz auch noch sicherer sein, je nachdem, welche Daten man dort ausgelagert hat. Denn Systeme im Netz sind ständigen Angriffen ausgesetzt.

Aber wenn man nicht eine Person von besonderem Interesse ist, werden Angreifer nur Standard-Angriffe laufen und sich dann dem nächsten Konto zuwenden. Gerade im Netz ist oftmals das verwendete System und Betreiber viel wichtiger. Werden Passwörter dort verschlüsselt? Gibt es ausreichende Zugriffssperren bei brute-force Attacken? Ebenso die Frage bei dem Handy und Rechner zu Hause. Den ein gutes Passwort nützt mir nichts, wenn das System an sich leicht zu knacken und der Passwortschutz zu umgehen ist.

Dies sind aber oftmals Fragen, die der normale Benutzer so nicht auf dem Schirm hat oder überhaupt nicht weiß. Und für ihn ist es besser zu wissen, dass in der Regel ein gut gewählter Satz den er sich merken kann, nicht viel schlechter ist als das kryptische Passwort, welcher er evtl. noch mit den Zugangsdaten in seiner Brieftasche aufbewahrt.

 

Hier ist nun die Frage, ob der jeweilige Angriff auf die Passwörter immer nur die jeweilig, links angegebenen Zeichen ausprobiert haben oder alles plus Sonderzeichen ausprobiert hat? Denn ein Angreifer kann ja in der Regel nie wissen, wie das Passwort tatsächlich erstellt wurde.
Weiterhin sollte man beachten, dass die üblichen Portale nach ein paar Passworteingaben, eine automatische Sperre oder eine zusätzliche Eingabe erfordern. Das bremst so einen Angriff dann doch erheblich aus. Hier liegt das Problem oft eher auf der Serverseite, wenn solche Sicherheitsmechanismen nicht genutzt wurden.