Sonntag, 28. November 2010

Passwörter saugen

Der hochgeschätzte Kollege @JaegersNet hat den Freitag mit dem leicht zu merkenden Datum 12.11.10 zum Anlass genommen, einige Bemerkungen über Sinn und Unsinn von Passworten abzusetzen. Ich kann mich seinen Worten nur anschließen und ergänze sie um eigene Despektierlichkeiten.

Passwörter können nichts taugen.

Der Satz fordert in seiner Pauschalität natürlich Widerspruch heraus, aber ich halte ihn dennoch für wahr.  Welche Alternativen haben wir? Entweder kann man sich Passworte merken oder sie sind schwer zu knacken. Entweder gibt es irgendeine Merkregel, mit der ich eine scheinbar zufällige Zeichenfolge erzeuge, was aber heißt, dass irgendjemand diese Regel in Erfahrung bringen und damit mein Passwort raten kann, oder die Zeichenreihe ist wirklich zufällig, was aber fast zwangsläufig heißt, dass ich sie mir nicht merken kann, deswegen selten ändere oder irgendwo aufschreibe und ein Angreifer sich einfach auf meine Notizen oder meine Faulheit verlassen muss.

Es gibt im Netz reichlich Anleitungen, wie man sich einen schönen Merksatz erzeugen und den so schön verwirren kann, dass sich daraus ein schönes Passwort ergibt, aber was heißt denn das in der Praxis? Tatsächlich wird man sich auf Gedichte oder Liedanfänge stürzen, was dann zu Zeichenketten wie diesen führt:

AmEsadSKuWSidH

und nichts weiter als die Anfangsbuchstaben des Kinderlieds "Alle meine Entchen" darstellt. In einer zweiten Iteration folgt der Vorschlag, Buchstaben durch ähnliche Zahlen zu ersetzen und ergibt dann etwa dies:

4m3sad5Ku\/\/,Sid|-|

Diesen Tipp gebe ich übrigens in Sicherheitsseminaren selbst, wohl wissend, dass er eigentlich Blödsinn ist, weil es naiv wäre, anzunehmen, in Knackerkreisen beherrsche man kein Lamerspeak. Darüber hinaus können Sie getrost davon ausgehen, dass es inzwischen Listen mit den Initialien der bekanntesten Lieder und Gedichte gibt. Auf der anderen Seite sind solche relativ mechanisch erzeugten Zugangskennungen immer noch um Längen besser als "Duesseldorf1957", was selbst für Menschen, die Geburtstag und -ort meiner Tante Sabine nicht kennen, kein ernst zu nehmendes Hindernis darstellt.

Will man aus dem Kinderlied eine halbwegs brauchbare Zeichenkette produzieren, füllt man hier und dort noch irgendwelche Sonderzeichen ein, so dass man beispielsweise

4m3%sad5#Ku\/\/,Sid|-|

erhält, und spätestens hier stellt man sich die Frage, welchen Buchstaben man auf welche Zahl abgebildet und an welcher Stelle man welches Sonderzeichen eingefügt hat. Wenn es Ihnen wirklich wichtig ist, den Zugang auf das betroffene Konto zu behalten, schreiben Sie sich das so erzeugte Kennwort im Zweifelsfall auf und handeln sich auf diese Weise ein weiteres Sicherheitsrisiko ein.

Spätestens, wenn Sie Ihr Bankkonto, Ihren E-Mail-Zugang, Ihr Facebookseite, Ihr Amazonkonto, Ihre Windowskennung im Büro, Ihr Xing-Profil, Ihren Internetzugang, Ihre Mobiltelefon-PIN und Ihren Zugang bei Ihrem Lieblings-Onlinespiel verwalten sollen, stehen Sie vor der Wahl, überall das gleiche Passwort zu verwenden, was Ihre Sicherheit schlagartig zusammenbrechen lässt, sobald dieses Passwort bekannt wird, oder Sie denken sich für jeden Zugang ein eigenes Passwort aus und belasten Ihr Erinnerungsvermögen mit Dutzenden blödsinniger Zufallszeichenketten. Ich habe bei meiner letzten Passwortzählung über 300 verschiedene Zugänge gezählt, was weniger daran liegt, dass ich mich bei jedem Portal anmelde, das bei drei nicht offline ist, sondern an meinem Beruf, bei dem ich einige hundert Server und einige Dutzend Supportseiten im Griff behalten muss. Erwartet jemand ernsthaft, dass ich mir die ganzen Zugänge merke?

Gelegentlich lese ich den Tipp, ein gutes Grundpasswort zu erzeugen und um eine Erweiterung für den jeweiligen Anlass zu ergänzen. Im obigen Beispiel ergäbe sich also

email-4m3%sad5#Ku\/\/,Sid|-|

für mein Mailkonto und

amazon-4m3%sad5#Ku\/\/,Sid|-|

für meinen Amazonzugang.

Als wenn so etwas schwer zu raten wäre.

Darüber hinaus ist auch nicht gesagt, welche kranke Passwortrichtlinie sich der jeweilige Anbieter gerade aus den Figern gesaugt hat. Ich kenne beispielsweise Anbieter, die nur Zahlen und Buchstaben zulassen. Andere verlangen mindestens ein Sonderzeichen, die besondes Unfähigen lassen maximal acht Zeichen zu. Besonders peinlich sind die selbsternannten Sicherheitsspezialisten, die doppelte Zeichen ablehnen, weil sie angeblich die Passwortsicherheit verringern. Ich habe schon 20 Zeichen lange Zufallszeichenketten als Passwort abgelehnt bekommen, weil irgendwo ein Doppelzeichen oder nicht die ausreichende Zahl von Sonderzeichen vorkam. Man muss nicht Mathematik studiert haben - Wissen der siebten Klasse und ein Taschenrechner reichen aus -, um mühelos zu erkennen, dass selbst ein relativ schlampert gewähltes aber langes Passwort an Komplexität nahezu jede acht Zeichen lange Zufallszeichenkette übertrifft. Doch anstatt beim Pornosurfen auch nur zwei Minuten Pause einzulegen, ein paar rudimentäre Hirnfunktionen zu aktivieren und im Zeitalter der Terabyteplatten die Leute zu zwingen, mindestens 12 Zeichen für ihre Passworte zu wählen, denken (oder was diesem Vorgang am nächsten kommt) sich einige Admins irgendwelche kranken Passwortrichtlinien aus.

Richtlinien für gute Passworte führen zu schlechten Passwörtern

Beliebt ist bei Sicherheitspezialisten auch die Idee, Passworte häufig wechseln zu lassen. Was da wohl herauskommen mag? Genau,

November

für den aktuellen Monat.

Nein, das geht natürlich nicht, steht ja im Wörterbuch, also

N0vember

Ah, es muss aber noch ein Sonderzeichen enhalten sein, also

N0vember!

Das hatten wir aber schon im letzten Jahr, also

N0vember!2010

Ich wette mit Ihnen, spätestens hier akzeptieren die meisten Passwortsysteme Ihr Passwort, obwohl das Nächste, was Ihr System noch weniger schützt, ein komplett entsperrtes Terminal wäre.

Passwortsafes als neuer Single Point of Failure

Um das Dilemma mit der Vielzahl verschiedener Passworte wenigstens etwas zu entschärfen, benutzen entnervte Zeitgenossen wie ich gerne Passwortsafes. Hierbei handelt es sich um kleine Hilfsprogramme, die auf leicht zu findende Weise die verschiedenen Zugangsdaten verschlüsselt speichern, bei Bedarf neu generieren, auf Knopfdruck in die Zwischenablage kopieren und damit die Möglichkeit geben, sie einfach in die Loginmaske einzufügen. Die Handhabung von komplexen und sich oft ändernden Kennwörtern wird auf diese Weise erheblich erleichtert. Darüber hinaus kann ich mich sogar in eng besetzten Internetcafes halbwegs sicher fühlen, dass mir bei der Passworteingabe niemand auf die Finger sehen kann, weil ich ja außer der Copy-und-Paste-Funktion nichts Nennenswertes auf der Tastatur aufrufe. Selbst wenn der Passwordsafe in fremde Hände gerät, kann man damit nichts anfangen, weil die Daten ja verschlüsselt sind. Um an die Daten zu gelangen, braucht man auf jeden Fall, und jetzt denken Sie sich bitte den Tusch, der bei Karnevalsreden so gern gespielt wird,

das Passwort.

Die Katze beißt sich also wieder einmal in den Schwanz. Wieder einmal wird das Problem nur verlagert, nicht gelöst. Wieder einmal haben wir einen weiteren Flicken auf ein eigentlich hoffnungslos gescheitertes System geklebt, und dabei haben wir noch nicht einmal die Gefahren diskutiert, die von einem kompromittierten System ausgehen, auf dem ein Keylogger meine Zugangsdaten einfach mitliest.

Wenn man selbst für den Posten des FDP-Vorsitzenden zu doof ist, reicht es noch locker für eine Traumkarriere als Entwickler.

Darüber hinaus suggeriert der Begriff "die Zwischenablage" die irrige Vorstellung, es gäbe genau eine davon. In Wirklichkeit gibt es mehrere, und Sie können darauf wetten, dass genau die Applikation, für die Sie in einem Anfall von Paranoia ein besonders langes und komplexes Passwort gesetzt haben, eine andere, im Idealfall gar keine Zwischenablage nutzt. Welche kranke Vorstellung in grenzdebilen Entwicklerköpfen zum an Idiotie kaum zu überbietenden Zustand führte, dass jeder Blödmann, der eine Entwicklerumgebung aufrufen kann, seine eigene Zwischenablage aufzusetzen zu müssen meint, vermag mein naiver Verstand nicht zu fassen. Ich habe mehrere Installationen erlebt, auf denen man nicht direkt aus der Zwischenablage in eine Eingabemaske kopieren kann, sondern
  1. vom Passwortsafe in die Zwischenablage, 
  2. von der Zwischenablage in einen Editor, 
  3. vom Editor in die Zwischenablage (!) 
  4. und endlich von der Zwischenablage in die Eingabemaske.
Es gibt keine brauchbare Lösung.

Falls Sie jetzt erwarten, dass ich Ihnen nun stolz das alle Widrigkeiten beseitigende Werkzeug vorstelle, will und muss ich Sie enttäuschen. Dieses Werkzeug gibt es nicht, und jeder, der das Gegenteil behauptet, lügt entweder dreist oder hat die Situation nicht verstanden. Insbesondere die sich aufdrängenden biometrischen Systeme teilen sich im Wesentlichen in zwei Mengen: nicht funktionierend oder überteuert. Mit ein bisschen Glück erwischen Sie vielleicht sogar eins aus der Schnittmenge. Ich will gar nicht bestreiten, dass man beispielsweise mit einem Irisscanner oder Fingerabdruckleser wenigstens die Jongliererei mit einem bunten Strauß an Passwörtern beseitigt, aber dafür ersetzt man die einseitige Feststellung, ob ein gegebenes Passwort in genau der verlangten Form eingegeben wurde, durch die Wahrscheinlichkeitsabschätzung, ob ein elektrisches Impulsmuster ausreichend mit einem Vergleichswert überein stimmt, und das bedeutet, dass ein geschickter Schummler das System überlisten kann, während der berechtigte Nutzer möglicherweiwse sogar abgewiesen wird. Zeihen Sie mich einen Kleingeist, aber hier sehe ich noch Potenzial nach oben.

Jedes Schloss kann überwunden werden.

An dieser Stelle stoßen wir auf eine prinzipbedingte Lücke, die alle Schließsysteme natürlicherweise haben und die oft übersehen wird. Die Frage, die wir an Schließsysteme stellen, lautet: "Darf derjenige, der vor dir steht, durch?" Die Antwort des Schließsystems lautet: "Ich habe eine bestimmte Information bekommen, sie mit einem Referenzwert verglichen und mich bei Übereinstimmung geöffnet." Am offensichtlichsten ist dies bei mechanischen Türschlössern. Eigentlich sollen sie sich nur einem Kreis autorisierter Menschen öffnen, in Wirklichkeit öffnen sie sich jedem, der den Schlüssel - auf welche Weise auch immer - an sich gebracht hat oder mit einem Werkzeug wie einem Pick den Schließmechanismus so bearbeitet, dass er sich bewegen lässt. Ob derjenige, der die Tür öffnete, freiwillig oder unfreiwillig noch Andere passieren lässt, wird in der Regel nicht überprüft. Bei Passworten ist es ähnlich. Ob ich oder ein Anderer diese Zeichenkette eingibt, prüft das Programm nicht. Schlimmer noch und dank Firesheep jetzt auch für Laien nachvollziehbar: Ein Angreifer braucht nicht einmal ein Passwort, wenn nach erfolgreicher Anmeldung unsicher weitergearbeitet wird. Konkret geht es um das Abfangen so genannter "Session-Cookies", vulgo Besucherausweisen, mit denen man nach dem Login dem Server zeigt, dass man die Eingangskontrolle passiert hat. Besitzt ein solcher Ausweis keine besonderen Sicherheitsmerkmale, kann ein Angreifer sich einfach eine Kopie anfertigen und sich dann als der Angegriffene ausgeben.

Hauptsache billig

Es gibt zwei Gründe, warum Passworte als Zugangsschutz seit Anbeginn der Zeiten unangefochten das Mittel der Wahl sind: Sie kosten praktisch nichts, und die Kosten eines Umstiegs werden im Vergleich zum anstehenden Schaden als zu hoch eingeschätzt. In puncto Preis sind Passworte tatächlich kaum zu unterbieten. Zu ihrer Eingabe muss man keine zusätzlichen Geräte anschaffen, und jeder Programmieranfänger kann zumindest in rudimentärer Form entsprechende Routinen schreiben. Der Schaden, der durch vergessene oder ausgespähte Passworte entsteht, ist wahrscheinlich immens. Überlegen Sie einfach, wie oft Sie und ihre nächsten Bekannten Passworte vergessen und neu anfordern mussten. Überlegen Sie, wie oft Sie oder Ihre Kollegen nicht arbeiten konnten, weil Ihr Arbeitsplatzsystem durch zu oft falsch eingegebene Passworte gesperrt war. Zu guter letzt die Frage an die Haupt- und ehrenamtlichen Admins unter uns: Wie viele Zugangscodes kennen Sie, die Sie streng genommen nicht kennen dürften, weil sie nicht Ihnen gehören, die Sie aber aufgeschnappt haben oder Ihnen verraten wurden, weil der Betroffene dies als einfacher empfand? Leider gibt es keine seriöse Statistik über die durch die Nachteile von Kennwörtern entstehenden Schäden. Ich jedenfalls kenne keine Erhebung über vergessene Passworte in Firmen, und was den Schaden durch die auf verschiedene Weise in Erfahrung gebrachten Passphrasen anbelangt, halten sich Firmen bedeckt. Wenn ich mich aber einfach als durchschnittlichen Nutzer annehme, kann man davon ausgehen, dass jeder von uns pro Monat eine bis zwei Stunden allein damit verbringt, Passworte zu suchen, sich bei der Eingabe zu vertippen und darauf zu warten, dass ein vergessenes Passwort zurückgesetzt wird. Nehmen wir einen durchschnittlichen Stundenlohn von 10 € an und multiplizieren das Ganze mit einer Milliarde Internetnutzer weltweit, kommen wir zumindest von der Größenordnung her auf eine Zahl, über die nachzudenken sich lohnt.

Sicherheit und Exponentialfunktionen

Sicherheit kostet - sei es profan Geld oder abstrakter Zeit und Nerven. Dummerweise steigt der Aufwand exponentiell, während sich die gewonnene Sicherheit asymptotisch einem Maximalwert nähert. Etwas weniger mathematisch: Um von überhaupt keiner Sicherheit auf ein signifikant höheres Niveau zu gelangen, reicht schon eine kleine Investition, beispielsweise eine drei Programmzeilen umfassende Passwortroutine. Etwas mühsamer wird es schon, die Passworte verschlüsselt abzulegen,  lange Zugangscodes zu erzwingen und sich ständig neue Passworte auszudenken, während man nur graduell mehr Sicherheit gewinnt und sich sogar neue Schwierigkeiten wie oben beschrieben einhandelt. Alles, was einem noch in den Sinn kommt - Fingerabdruckscanner, abstrahlungssichere Gehäuse, Chipkartenleser, optimalerweise mit integrierter Tastatur - läuft auf Hardwareinvestitionen sowie genervte Benutzer hinaus, und im Zweifelsfall stellt auf der nächsten Hackerkonferenz schon jemand bereits ein Konzept vor, mit dem sich das neue System aushebeln lässt.

Keine Lösung, aber einige Anregungen

Wie schon oben geschrieben gibt es meiner Meinung nach nicht die Wunderantwort auf alle sich stellenden Sicherheitsfragen, aber einige Thesen zum Umgang mit Passworten. Ich weiß, dass Puristen bei vielen Thesen entsetzt aufheulen werden, aber ich bin mir relativ sicher, dass angewandtes Mittelmaß besser ist als nicht praktizierte Spitzenklasse.

Size matters.

Wenn Ihre Zugangskennung beliebig oder wenigstens sehr lang sein darf, ist es fast egal, wie lächerlich ihre Bestandteile sind. "DieNaseMeinesOnkelsIstGroesserAlsDerVorgartenIhresNachbarn" besteht ausschließlich aus Wörtern, die man im Duden finden kann, aber ich verspreche Ihnen: Mit heutiger Technik bekommt man den Passwort-Hash dieser Zeichenkette nicht dechiffriert.


Lieber einmal wirklich gut als zehnmal wirklich schlecht.

Natürlich ist ein Zugangscode, den man für alle Zwecke verwendet, in den Augen von Sicherheitsspezialisten eine äußerst schlechte Idee, aber wenn Sie dieses eine Passwort wenigstens wirklich gut wählen, ist es immer noch besser, als wenn Sie für alle Zugänge jeweils leicht zu ratende Begriffe nehmen. Sofern Sie sich "^7(POP([EO~^6|qH" einmal vernünftig einprägen, fahren Sie damit auf jeden Fall sicherer als mit "HansAmazon" für Ihr Amazon- und "HanseBay" für Ihr E-Bay-Konto.

Lieber Gutes aufschreiben als Schlechtes merken.

Das Aufschreiben von Kennwörtern ist ebenfalls eine schlechte Idee, aber auch hier meine ich: Bevor Sie schlechte Zugangscodes vergeben, die jeder erraten kann, ist es besser, sie spicken ab und zu auf einen Zettel in Ihrer Geldbörse - sofern nicht jeder Dahergelaufene auf Anhieb dem Zettel ansieht, was er damit anstellen kann. Die Bank-PIN unter "Geheimzahl" im Adressbuch abzulegen, ist natürlich weiterhin tabu, aber Ihre verstorbene Großmutter mit einer um Vorwahl und ein paar Zusatzziffern ergänzten Telefonnummer zu beehren, wäre eine Überlegung wert. Auf einem Zettel voller Kritzeleien sollte sich selbst das oben genannte Zufallspasswort unauffällig verbergen lassen.

Kleinvieh macht auch Mist.

Wenn auch Passworte und Biometrie-Scanner jeweils für sich ihre Schwächen haben, so kann ihre Kombination schon für mehr Sicherheit sorgen. Ein halbwegs vernünftig gewählter Zugangscode zusammen mit einer per SMS übermittelten TAN und einem eingermaßen zuverlässigen Fingerabdruckscanner ist zwar noch immer kein Allheilmittel, aber auf jeden Fall besser als beispielsweise die lächerliche vierstellige PIN, mit der Ihre EC-Karte abgesichert ist.