Cogito ergo sum, ich denke also bin ich. Die Auseinandersetzung des Menschen mit der eignen Identität hat schon vor vielen Jahren begonnen. In unserer heutigen Welt können wir im Netz so sein, wie wir wollen. Problematisch ist nur: Wie beweise ich, dass ich es bin? Die Antwort ist: Indem ich etwas weiß, was sonst niemand weiß – mein Passwort.
Passwörter als Grundlage für die Nutzeranmeldungen sind folglich eines der beliebtesten Themen der IT-Sicherheit. Besonders mit den Anwendern kann man als Verantwortlicher über kaum ein Thema besser diskutieren und ausgiebiger streiten als über die Länge oder den Änderungszyklus von Passwörtern. Aber warum ist das so? Das Passwort wurde scheinbar zum ersten Mal in den 1960ern für das Compatible Time-Sharing System des MIT verwendet und schon damals war es nicht sicher. So gelang es beispielsweise einem Nutzer, die Liste der Passwörter auszudrucken und in der Folge mit den Accounts seiner Kollegen zu arbeiten, um auf diesem Weg mehr Rechenzeit zu erhalten. Seit damals hat sich die Situation nur geringfügig gebessert, obwohl die Bedeutung der IT stetig gewachsen ist und kaum überschätzt werden kann. Die Goldgräbertage des neuen Marktes liegen bereits 20 Jahre zurück und IT wird heute in jedem Lebensbereich genutzt, doch trotz aller Bemühungen bei der Anwendersensibilisierung ist es bis heute nicht gelungen, die User zu einer sicheren Nutzung der Kennwörter zu überreden. Noch immer kämpfen IT-Sicherheitsbeauftragte und Administratoren in Universitäten, Behörden und Unternehmen mit unsicheren Passwörtern. Wer kennt nicht die Post-lt-Zettel am Monitor oder unter der Schreibtischauflage? Niemand kann sich für jede neue Webseite ein individuelles, sicheres Passwort merken. Und man darf nicht vergessen, dass diese Passwörter auch regelmäßig geändert werden müssen. In einer Microsoft-Umgebung wird als Standard ein Passwortalter von 42Tagen vorgegeben, wobei der Hersteller selbst ein Alter von 60 Tagen empfiehlt. Für ein einzelnes Passwort ist dies vielleicht noch machbar, doch bei der Vielzahl an Kennungen scheitert jeder Anwender. Man muss nur in den Tagen nach der Haupturlaubszeit die Mitarbeiter im IT-Support beobachten. Regelmäßig rufen Nutzer an, die am Strand nicht nur die Last des Alltags, sondern auch gleich ihr Passwort vergessen haben.
Hinzu kommt, dass viele Anwender ein vorhersehbares Muster verwenden, um Zahlen und Sonderzeichen zu nutzen, z. B. werden einfach zwei Ziffern am Ende eines Wortes hinzugefügt. Und leider kennen auch die Angreifer diesen Trick, es ist daher nicht besonders aufwendig, mit einem Brute-Force-Programm die verschiedenen Kombinationen auszuprobieren. Geben wir einem Angreifer einige Tage Zeit und er wird sicherlich einige Passwörter finden.
Und dem Fortschritt zum Trotz, den wir in der IT zweifellos allgegenwärtig erleben, ist uns bis heute nichts Besseres eingefallen, als weiterhin nach einem Passwort zu fragen. Natürlich gibt es in dem Dreiklang aus Wissen, Besitz und Biometrie noch die beiden letztgenannten. Doch abgesehen vom Onlinebanking verwenden die Wenigsten im Alltag tatsächlich ein Token. Die wenigsten Webseiten unterstützen ein One-Time-Passwort und auch der Arbeitsrechner wird, allen Sicherheitswünschen trotzend, nur selten mit einer Chipkarte entsperrt. Und auch die Biometrie wird nur selten verwendet, allenfalls beim Smartphone hat sich der Fingerabdruck zur Anmeldung halbwegs durchsetzen können.
Um die Sicherheit zu erhöhen, wird nunmehr also die Nutzung von 2-Faktor-Authentisierung gepredigt. Und sicherlich ist ein zweiter Faktor geeignet, um eine weitere Hürde einzuführen. Die Frage ist nur, für wen gilt diese Hürde? Zu einem Kennwort, dass der Nutzer vergisst, kommt nun noch ein Token, dass er verliert. Man könnte von Security by Obscurity sprechen, die Unsicherheit des Passwortes wird verschleiert, indem noch ein anderer Faktor hinzugefügt wird.
Es scheint daher an der Zeit, einen anderen Weg zu versuchen. Man könnte den Aufwand vom Anwender auf den Betreiber der Webseite oder des Servers verlegen. Der Anwender muss sich nur noch ein für ihn einfaches Kennwort merken. Die einzige Anforderung an ein Kennwort liegt dann in der Mindestlänge. Der Betreiber dagegen muss sicherstellen, dass er z.B. einen Brute-Force-Angriff erkennt oder durch eine Kontosperre verhindert. Wenn nach drei Fehlversuchen ein Konto gesperrt wird, wäre auch ein sehr einfaches Passwort bereits ausreichend. Selbst das Kennwort ,,123Sonne“ muss erstmal mit drei Versuchen erraten werden. Jedenfalls ist der Sicherheitsgewinn im Ergebnis sicherlich höher einzuschätzen, wenn der Nutzer hierdurch entlastet wird und es unterlässt Post-lts an den Monitor zu kleben.
Das amerikanische NIST geht nun mit gutem Beispiel voran und schlägt in einem aktuellen Entwurf zum Authentication and Lifecycle Management vor, diesen Weg zu gehen.
Es ist also im Ergebnis zu hoffen, dass nun eine längst überfällige Diskussion zum Sinn und Unsinn im Umgang mit Passwörtern beginnt.
Der Beitrag ist in gleicher Form in der DuD Datenschutz und Datensicherheit 03/2017 erschienen.
25. April 2017 @ 22:50
Darf man das Argument beim nächsten ADV-Audit vorbringen? 😉
Ein zweiter Authentifizierungsfaktor, besonders in Form von OTPs, schützt doch vor einer Reihe von Szenarien, denen man mit serverseitigen Maßnahmen kaum entgegenwirken kann: Spionagesoftware, eine dritte Person die einem über die Schulter schaut, die Verwendung von LastPass (danke Tavis Ormandy) oder dem Speichern des Kennwortes in Firefox (der das ohne zu murren auch ohne Master-Kennwort zulässt und das Kennwort danach ohne weitere Sicherung im Klartext zugänglich macht).
Kennwörter sind vielleicht nicht die Lösung, schlechtere Kennwörter aber sicher auch nicht. Sichere Password Safes und Token (z.B. U2F) sind ein Ansatz.
26. April 2017 @ 9:46
Ein zweiter Faktor erhöht natürlich die Sicherheit bei der Anmeldung, aber er führt zu neuen Problemen und ist daher nicht für die breite Nutzung durch Anwender für alle möglichen Anmeldungen geeignet.
Und stärkere Passwörter würden auch nicht gegen die beschriebenen Angriffe (Spionagesoftware, o.ä.) helfen.
Die Frage ist also nicht, ob „einfachere“ Passwörter sicherer sind, sondern ob wir mit den bisherigen Forderungen nach komplexen und langen Passwörtern tatsächlich Sicherheit gewinnen.