Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

(Un)sichere Passwörter – Teil 1: Paradigmenwechsel bei Passwortrichtlinien
Sandro Affentranger
|
13.06.2019
(aktualisiert am: 09.09.2024)

Dies ist der erste von zwei Artikeln zu Passwörtern. Passwörter sind heutzutage kaum mehr wegzudenken. Lange Zeit lautete die Empfehlung, Passwörter möglichst komplex zu gestalten – in letzter Zeit hat sich dies jedoch ein wenig verändert: «Lang statt komplex!» lautet neu die Devise.

Dieser Artikel führt in die Thematik ein und erklärt, warum Passwörter eine so wichtige Rolle spielen. Es wird auf Risiken eingegangen, die entstehen, wenn Passwörter in die falschen Hände gelangen, und es werden mögliche Massnahmen aufgezeigt, um diese Risiken abzuschätzen und zu verringern.

Zweiter Teil: (Un)sichere Passwörter – Teil 2: Ergebnisse eines Password Quality Audits

Einführung

Ein Passwort – auch Kennwort, Codewort, PIN oder Passphrase genannt – wird dazu verwendet, um einen Benutzer zu identifizieren und authentifizieren. Im Nachfolgenden werden alle sich von einem Menschen zu merkenden, geheimen Zeichenfolgen unter dem Begriff «Passwort» zusammengefasst.

Um ein Computersystem einsetzen zu können, muss ein Benutzer sich meist zuerst identifizieren und anschließend authentifizieren. Bei der Identifizierung eines Benutzers an einem System sagt der Benutzer, wer er ist. Bei der folgenden Authentifizierung wird die Identität des Benutzers überprüft. Ein Benutzer identifiziert sich an einem Computersystem, indem er seinen Benutzernamen oder seine E-Mail-Adresse eingibt. Seine Identität wird dadurch überprüft – authentifiziert –, indem er sein Passwort eingibt, das er vorgängig gesetzt hat, zum Beispiel bei der Registrierung. Damit kann der Computer überprüfen, ob der Benutzer tatsächlich derjenige ist, der er vorgibt zu sein.

Heutzutage denken wir bei Passwörtern automatisch an Computer; jedoch gibt es Passwörter wesentlich länger als Computer. Schon im alten Rom wurden vom Militär Losungswörter eingesetzt, um zwischen Freund und Feind zu unterscheiden. Das erste Computerpasswort wurde wahrscheinlich im Jahr 1961 am Massachusetts Institute of Technology (MIT) für das Compatible Time-Sharing System (CTSS) gebraucht, eines der ersten Mehr-Benutzer-Systeme. Im Jahr darauf, 1962, gab es bereits den ersten Passwort-bezogenen Sicherheitsvorfall, als Allan Scherr mehr Zeit am Rechner benötigte, als ihm zugeteilt wurde, und deshalb alle CTSS-Passwörter ausdruckte, um auch die Rechenzeit von anderen Benutzern nutzen zu können.

Seither sind über 50 Jahre vergangen – noch immer verwenden wir Passwörter, um uns an Computersystemen zu authentifizieren. Und noch immer haben wir damit zu kämpfen, dass Passwörter in die falschen Hände geraten. Natürlich hat sich in diesen Jahren auch einiges getan: So werden Passwörter heutzutage meistens nicht mehr im Klartext gespeichert. Dadurch können sie nicht einfach mehr ausgelesen und dann verwendet werden. Stattdessen wird das Passwort «gehasht» und nur der «Hash» des Passworts wird gespeichert; mehr dazu aber später.

Heutzutage sind Passwörter praktisch überall anzutreffen: Für die meisten Dienste wird ein Benutzerkonto benötigt und für dieses wiederum braucht es jeweils ein Passwort. So kommen schnell viele Accounts zusammen und es werden stets mehr. Sowohl für den Computerzugang bei der Arbeit, beim E-Banking als auch beim Online Shopping – überall hat man in der Regel einen Account, bei dem man sich mit einem Passwort anmeldet. Die Firma LastPass, die den gleichnamigen Passwort-Manager entwickelt, veröffentlichte 2017 einen Bericht [1], wonach ihre Geschäftskunden durchschnittlich 191 Passwörter gespeichert haben – und es dürften wohl ständig mehr werden.

Risiken

Wenn ein Angreifer gültige Anmeldedaten in die Finger bekommt, kann er implementierte Schutzmassnahmen umgehen, da er nicht von einem legitimen Benutzer unterschieden werden kann. Er kann dann im Namen des Benutzers, dessen Anmeldedaten er besitzt, jegliche Aktionen ausführen, zu denen der Benutzer berechtigt ist.

Wie gravierend dies ist, hängt sehr vom Kontotyp ab. Handelt es sich bei dem kompromittierten Account um den für ein Online-Forum, kann der Angreifer sich lediglich als der Benutzer ausgeben und in dessen Namen Beiträge posten – der mögliche Schaden hält sich somit in Grenzen. Handelt es sich bei dem kompromittieren Account jedoch um ein Firmenkonto, erhält der Angreifer unter Umständen auch Zugang zum internen Firmennetz und kann von dort aus weitere Attacken gegen das Unternehmen starten. Oftmals sind innerhalb eines Firmennetzwerks weniger Sicherheitsmechanismen eingerichtet, um solche Angriffe zu erkennen, da davon ausgegangen wird, dass es für einen Angreifer gar nicht erst möglich ist, sich Zutritt zum internen Netz zu verschaffen.

Die Auswirkungen sind also je nach Kontotyp unterschiedlich gravierend. Deshalb verwenden Benutzer für Konten, die ihnen «weniger wichtig» erscheinen, meist auch einfacher zu erratende Passwörter.

Die Sicherheitsfirma SplashData veröffentlicht seit 2011 jedes Jahr eine Liste mit den beliebtesten Passwörtern basierend auf geleakten Login-Informationen. 2018 wurden über 5 Millionen Passwörter, hauptsächlich von nordamerikanischen und westeuropäischen Benutzern, zusammengetragen und analysiert [2].

Die 10 beliebtesten Passwörter 2018 waren:

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Um zu verhindern, dass schwache Passwörter wie «123456» verwendet werden, kann eine Passwortrichtlinie definiert werden. Diese legt Mindestanforderungen fest, die bei der Wahl eines Passwortes erfüllt sein müssen: So wird beispielsweise oft eine Mindestlänge gefordert und es dürfen keine Passwörter gewählt werden, die nur aus Zahlen oder nur aus Buchstaben bestehen. Verhindert werden soll, dass eben genau solche einfachen Passwörter wie die von SplashData veröffentlichten verwendet werden.

Die Passwortrichtlinien, die man heute meistens antrifft, ähneln sich oft sehr und beruhen auf den Empfehlungen des Nationalen Instituts für Standards und Technologie (NIST) aus dem Jahr 2003. Meistens wird eine Mindestlänge von 8 Zeichen gefordert, Ziffern und/oder Sonderzeichen müssen verwendet werden, und Passwörter müssen regelmässig geändert werden.

In den letzten Jahren hat jedoch ein Paradigmenwechsel bei den Empfehlungen zur Wahl von sicheren Passwörtern stattgefunden. Benutzer wählen meist kein zufälliges Passwort, weil ein solches schwieriger zu merken ist; dies führt zu bestimmten Mustern, die auch durch Passwortrichtlinien beeinflusst werden. Diese Muster sind den Angreifern bekannt und werden genutzt, um effektiver Passwörter zu erraten.

Deshalb hat NIST im Jahr 2017 aktualisierte Empfehlungen veröffentlicht. Von Komplexitätsregeln wird neuerdings abgeraten, da diese die Stärke von Passwörtern nicht so sehr erhöhen wie man das erwarten könnte. Wenn Benutzer einen Grossbuchstaben in ihrem Passwort verwenden müssen, wird meistens einfach der erste Buchstabe grossgeschrieben. Falls Ziffern und Sonderzeichen verwendet werden müssen, so werden diese meistens am Ende des Passwortes angehängt.

Auch die Anforderung, dass Passwörter regelmässig geändert werden müssen, hilft leider nicht so sehr wie erhofft, sondern ist eher ein Ärgernis für die Nutzer: Diese verändern dann ihre Passwörter in bestimmten Mustern, damit sie sich nicht ständig ein komplett neues Passwort merken müssen. Wenn ein vorheriges Passwort eines Benutzers bekannt ist, können meist auch die folgenden Passwörter vorhergesagt werden.

Diese Probleme stellen die Tester von Oneconsult des Öfteren bei Audits fest. Auch öffentlich verfügbare Analysen von bekannten Passwörtern untermauern dies. Dafür existieren mehrere Services, die geleakte Passwörter sammeln.

Der australische Sicherheitsexperte Troy Hunt betreibt die Dienste «Have I Been Pwned»[3] und «Pwned Passwords» [4]. Mit «Have I Been Pwned» kann man überprüfen, ob man von bekannten Datenlecks betroffen ist. Wenn man seine E-Mail-Adresse eingibt, werden alle Datenlecks aufgelistet, in denen die Adresse vorkommt. Ausserdem kann man sich registrieren, um benachrichtigt zu werden, sobald ein neues Datenleck mit der E-Mail-Adresse öffentlich gemacht wurde. «Pwned Passwords» hingegen ist, wie der Name schon vermuten lässt, eine Sammlung von bekannten kompromittierten Passwörtern. Man kann sein Passwort eingeben und erfährt dann nicht nur, ob es in Datenlecks vorgekommen ist, sondern auch wie oft. Natürlich sollte man sehr vorsichtig sein, wenn es darum geht, sein Passwort auf der Webseite eines Drittanbieters einzugeben. «Pwned Passwords» implementiert ein k-Anonymitätsmodell [5], um zu verhindern, dass beim Prüfen, ob ein Passwort kompromittiert ist, das Passwort durch den Check selbst kompromittiert wird. Beim Prüfen eines Passwortes wird daher das Passwort zuerst gehasht; nur die ersten 5 Zeichen des Hashes werden an den Server geschickt. Der Server antwortet dann mit allen Hashes, die mit dem mitgelieferten Teilstring anfangen. Danach kann lokal im Browser überprüft werden, ob das Passwort in einem Leak vorkam oder nicht. Der Server weiss also nicht, welches Passwort überprüft wurde.

Ein weiterer solcher Dienst ist SwissLeak [6]. SwissLeak sammelt Datenlecks, die Schweizer Benutzer betreffen sowie Schweizer Behörden und Unternehmen von öffentlichem Interesse. Die Informationen werden analysiert und auf einer Karte dargestellt. Zum jetzigen Zeitpunkt enthält SwissLeak über 9 Millionen Accounts von fast 4 Millionen Benutzern aus der Schweiz und Liechtenstein aus über 4’500 Leaks. Ziel von SwissLeak ist es aufzuzeigen, dass Datenlecks auch die Schweiz betreffen und das Bewusstsein über die Problematik zu schärfen. In den Medien wird über grössere Datenlecks lediglich kurz berichtet, aber dann geht das Thema schnell wieder unter.

Angreifer nutzen solche Datenlecks ebenfalls. Einerseits werden beim Versuch, einen Account zu kompromittieren, zuerst die am häufigsten auftretenden Passwörtern ausprobiert für einen möglichen «Quick Win». Andererseits analysieren auch Angreifer geleakte Passwörter, um Muster zu erkennen und ihre Attacken entsprechend zu optimieren.

Wie kann man nun das Risiko einer Accountkompromittierung aufgrund schwacher Passwörter genauer abschätzen? Eine Möglichkeit dazu ist ein Password Quality Audit. Dabei werden die verwendeten Passwörter analysiert. Dies kann nicht nur einen Eindruck über die Stärke der verwendeten Passwörter geben, sondern kann auch dabei helfen, Änderungen an Passwortrichtlinien zu begründen.

Password Quality Audit

Bei einem Password Quality Audit wird, wie es der Name vermuten lässt, die Qualität der eingesetzten Passwörter analysiert. Ziel eines solchen Audits ist es, einen Überblick über die Qualität der Passwörter zu erhalten und anhand dessen das Risiko einer Passwortkompromittierung besser abschätzen zu können.

Eine direkte Analyse der Passwörter ist jedoch nicht möglich – eine gewisse Vorarbeit muss geleistet werden. Wie schon erwähnt, werden Passwörter in der Regel nicht im Klartext gespeichert. Damit soll verhindert werden, dass im Falle einer Kompromittierung eines Systems alle Passwörter ersichtlich sind, die auf dem System verwaltet werden. Stattdessen werden Passwörter gehasht und nur der Hash eines Passwortes wird gespeichert. Daher ist es bei einem Password Quality Audit notwendig, zuerst die Passworthashes zu cracken. Je mehr Hashes geknackt werden, desto besser. Denn je mehr Passwörter im Klartext vorliegen, desto klarere Aussagen können getroffen werden.

Eine Hashfunktion [7] hat unter anderem folgende Eigenschaften:

  1. Der Hash ist immer gleich lang, unabhängig von der Länge des Passworts:
    a => 186CB09181E2C2ECAAC768C47C729904
    abcdefghijklmnopqrstuvwxyz => 0BD63185F3484BB000286C85917DC12E
  2. Auch wenn nur ein Zeichen anders ist, gibt es einen völlig anderen Hash:
    Oneconsult1 => DF0623C2DB41FC1B759DE56ECA85594F
    Oneconsult2 => CDA22AE8C6C8439F6E4E122D1776E9C9

Beides sind wichtige Eigenschaften – daraus folgt nämlich, dass man basierend auf einem Hash nicht auf die Länge des Passwortes schliessen kann. Und beim Knacken eines Passwortes kann man nie sagen, wie nah man am eigentlichen Passwort ist. Beides erschwert das Hashcracking.

Es gibt eine Vielzahl von verschiedenen Hashfunktionen. Passworthashes aus dem Active Directory eignen sich besonders gut für einen Password Quality Audit. Einerseits kann man diese Hashes recht einfach aus dem Domain Controller extrahieren und hat dann die Passworthashes der gesamten Mitarbeiterschaft. Andererseits sind diese Hashes per Design nicht gut gegen Offline-Attacken geschützt; dadurch lassen sie sich einfacher cracken als andere Hashes. Das wiederum führt dazu, dass mehr Passwörter geknackt werden können und so mehr Daten für eine Analyse zur Verfügung stehen.

Ein solcher Audit zeigt nicht unbedingt einen realen Angriffsvektor auf. Ein Angreifer ist meist nur in der Lage, wenige Hashes zu extrahieren. Und um alle Hashes aus dem Active-Directory-Server zu extrahieren, werden Administratorrechte benötigt. Sollte ein Angreifer solche besitzen, hat er weitaus bessere Optionen. Aber selbst wenn ein Angreifer nur ein paar Hashes gestohlen hat, reicht schon ein einziges geknacktes Passwort aus, um den Fuss im Firmennetzwerk zu haben. Dagegen kann ein Password Quality Audit helfen: Herauszufinden, wie gross das Risiko ist, dass ein Account eines Mitarbeiters kompromittiert wird.

Für das Knacken von Passworthashes gibt es unterschiedliche Vorgehen. Einerseits kann man alle möglichen Kombinationen durchprobieren: aaaaaaaa, aaaaaaab, aaaaaaac, …. Dieses Vorgehen nennt man Brute-Force-Methode (vom englischen «rohe Gewalt»). Dieses Verfahren ist jedoch nicht sonderlich effizient und wird für längere Passwörter exponentiell aufwändiger. Wörterbuch-Attacken sind da meistens deutlich effizienter. Dabei wird eine Liste von Worten durchprobiert, die meistens noch mit gewissen Regeln verändert werden, damit aus einem einzelnen Wort mehrere Kandidaten entstehen: Aus «oneconsult» wird so zum Beispiel «ONECONSULT», «Oneconsult», «oneconsult1», «on3consult» usw. Als Eingabe-Wörterbuch kommen mehrere Möglichkeiten in Frage, beispielsweise die häufigsten Wörter im Deutschen, Namen von Personen oder auch geleakte Passwörter.

Mehr Informationen dazu, welche Techniken beim Cracken von Passwort-Hashes verwendet werden, sowie zu den Resultaten eines solchen Audits, der von Oneconsult durchgeführt wurde, folgen im nächsten Artikel.

Je mehr Passwörter in einem Audit gecrackt werden, desto aussagekräftiger die Ergebnisse. Bei einem Password Quality Audit des Active Directorys ist es nicht unüblich, dass die Mehrheit der Passwörter innerhalb eines Monats gecrackt werden. Daraufhin können, je nach Zeit und Ziel des Audits, verschiedene Aspekte untersucht werden. Naheliegend ist es natürlich, Passwörter auf ihre Länge und Komplexität hin zu analysieren. Ausserdem kann untersucht werden, wie viele der Passwörter mehr als nur einmal verwendet werden – oder wie viele der Passwörter in bekannten Datenlecks vorkommen.

Ein weiterer, interessanter Punkt sind die Unterschiede zwischen Passwörtern von normalen Benutzern und von Benutzern mit administrativen Rechten. Benutzerkonten mit Administratorenrechten sind ein lukrativeres Ziel für einen Angreifer und daher ist es besonders wichtig, dass für sie starke Passwörter verwendet werden. Dazu kommt, dass für Administrator- und Systemdienstkonten oftmals die Passwortrichtlinie nicht durchgesetzt wird – deren Passwörter entsprechen dann unter Umständen nicht den Mindestanforderungen oder werden nicht regelmässig geändert.

Des Weiteren kann untersucht werden, wie Benutzer Passwörter «konstruieren» und welche Bausteine dabei am häufigsten verwendet werden: Namen von Personen, Jahreszahlen, Postleitzahlen und Tastaturmuster sind beispielsweise sehr beliebt. Gleichzeitig kann überprüft werden, wie viele Passwörter zufällig sind beziehungsweise zufällig erscheinen. Natürlich kann das nie mit Gewissheit gesagt werden, da eventuell das Muster für eine fremde Person nicht erkennbar ist.

Falls die Passwortrichtlinie vorschreibt, dass Passwörter regelmässig geändert werden müssen und dabei die letzten paar Passwörter nicht wiederverwendet werden dürfen, dann existiert für jeden Benutzer ein Passwortverlauf, der ebenfalls aus dem Active Directory extrahiert und analysiert werden kann. Die Analyse kann Aufschluss darüber geben, ob Benutzer jeweils ein völlig neues Passwort wählen, wenn ihr altes abgelaufen ist, oder ob das alte Passwort lediglich verändert wird.

Aus solchen Resultaten kann ein Überblick darüber gewonnen werden, wie es um die Sicherheit der Passwörter steht. Ausserdem können Anpassungen der Passwortrichtlinie empfohlen und Änderungen der Richtlinie mit den Erkenntnissen des Audits begründet werden.

Empfehlungen von Oneconsult

Es ist wichtig, dass eine Passwortrichtlinie eingesetzt wird, die dazu führt, dass möglichst starke, schwer erratbare Passwörter verwendet werden.

Oneconsult empfiehlt, die folgenden Punkte bei der Ausarbeitung einer solchen Passwortrichtlinie zu beachten:

  • Die geforderte Mindestlänge von Passwörter sollte abhängig vom Sicherheitsbedarfs des Nutzerkontos sein:
Nutzerkontotyp Mindestlänge
Kundenkonto (Online Shop, Forum etc.) 8 Zeichen
Mitarbeiterkonto ohne spezielle Privilegien 12 Zeichen
Privilegierte Benutzerkonten, oder solche mit Zugang zu sensitiven Daten 14 Zeichen
  • Die Maximallänge sollte mindestens 64 Zeichen lange Passwörter zulassen, um den Einsatz von Passwortmanagern zu unterstützen.
  • Von Benutzern gewählte Passwörter sollten gegen eine Blacklist von nicht erlaubten Passwörtern geprüft werden. Eine solche Blacklist kann beispielsweise Passwörter aus vergangenen Lecks (z.B. Have I Been Pwned – Pwned Passwords API [8]) enthalten, Wörter aus Wörterbüchern oder kontextspezifische Wörter wie Firmen- oder Produktnamen, sowie Ableitungen davon.
  • Es sollten keine Komplexitätsanforderungen an Passwörter gestellt werden, wie zum Beispiel die Anforderung, dass nebst Buchstaben auch mindestens ein Sonderzeichen verwendet werden muss. Komplexitätsregeln führen oftmals zu vorhersehbaren Mustern und erhöhen die Sicherheit von Passwörtern daher nicht so sehr wie erwartet.
  • Vorgeschriebene periodische Passwortwechsel führen ebenfalls oft zu vorhersehbaren Mustern, da sich Benutzer so die ständig wechselnden Passwörter leichter merken können. Daher werden in kurzen Abständen stattfindende, obligatorische Passwortwechsel zwecks Vorbeugung von Passwortmissbrauch nicht empfohlen. Stattdessen sollten Passwörter direkt bei Verdacht auf Kompromittierung gewechselt werden müssen. Um jedoch sicherzustellen, dass Änderungen in der Kennwortrichtlinie nach einer bestimmen Verzögerung von allen Benutzern eingehalten werden, ist es dennoch empfehlenswert, in 1- bis 2-Jahresintervallen einen Kennwortwechsel zu erzwingen. Alternativ kann bei Änderungen in der Kennwortrichtlinie auch jeweils direkt ein Passwortwechsel für alle Benutzer erzwungen werden; bei dieser auslöserbasierten Variante könnte es jedoch zu erheblichem Mehraufwand für den Systemadministrator und den IT-Helpdesk kommen.
  • Multi-Faktor-Authentifizierung sollte ermöglicht werden und bei Mitarbeiterkonten oder besonders kritischen Applikationen (z.B. E-Banking, E-Health etc.) sogar erforderlich sein. Insbesondere wenn diese erhöhte Privilegien oder Zugang zu sensitiven Daten haben.

Diese Empfehlungen stützen sich auf die Digital Identity Guidelines [9] des Nationalen Instituts für Standards und Technologie (NIST) und decken sich mehrheitlich mit den Empfehlungen von Microsoft [10] und ISO/IEC 27002:2013 [11].

Wichtig zu beachten ist aber, dass eine Passwortrichtlinie nicht automatisch dazu führt, dass überhaupt keine schwachen Passwörter mehr eingesetzt werden. Mindestens genauso wichtig wie eine gute Passwortrichtlinie ist es, die Mitarbeiter im Umgang mit Passwörtern zu schulen. Diese Schulung sollte den Mitarbeitern vermitteln, wie starke Passwörter gewählt werden und dass Passwörter nie für mehrere Konten oder Zugänge verwendet werden sollten, weder privat noch innerhalb der Firma.

Generell ist es empfehlenswert, Multi-Faktor-Authentifizierung zu implementieren. Wenn ein zusätzlicher Faktor verwendet wird, steht und fällt die Authentifizierung nicht mehr nur mit dem Passwort – und um einen Account zu übernehmen, müssen zwei Faktoren kompromittiert werden, was schwieriger ist. Leider bieten bei weitem nicht alle Dienste diese Möglichkeit an.

Bei einer Multi-Faktor-Authentifizierung werden mehrere unabhängige Faktoren für die Authentifizierung verwendet. Alle Faktoren müssen dabei korrekt sein, sonst schlägt die Überprüfung fehl.

Mögliche Faktoren sind:

  • etwas, was der Benutzer weiss, z.B. ein Passwort
  • etwas, was der Benutzer hat, z.B. eine Smartcard
  • etwas, was der Benutzer ist, z.B. der Fingerabdruck

Beim Einsatz von biometrischen Faktoren bei der Authentifizierung sollte einer ihrer wichtigsten Eigenschaften besondere Beachtung geschenkt werden: Auch wenn das Hinzufügen biometrischer Faktoren die Sicherheit der Authentifizierung erhöht, muss berücksichtigt werden, dass ein biometrischer Faktor im Falle einer Kompromittierung nicht geändert werden kann. Daher werden biometrische Faktoren als primäre oder einzige Faktoren nicht empfohlen.

Das beste Passwort ist eines, das man sich nicht merken kann – und auch nicht muss. Ein Passwortmanager kann einem die Arbeit abnehmen; er merkt sich für jeden Account das dazugehörige Passwort und bietet oftmals gleich die Möglichkeit, jeweils ein zufällig generiertes, langes Passwort zu erstellen. So muss man sich nur noch ein Passwort gemerkt werden – und zwar das für den Passwortmanager. Umso wichtiger ist es, dass eben jenes Passwort besonders stark ist. Denn wenn dieses Passwort kompromittiert wird, dann sind auch alle gespeicherten Passwörter kompromittiert. Wenn möglich, sollte deshalb unbedingt Mehr-Faktor-Authentifizierung für den Passwortmanager selbst sowie die damit verwalteten Accounts aktiviert werden. Jeder Account, für den Mehr-Faktor-Authentifizierung aktiviert wurde, wäre auch im Falle einer Kompromittierung des Passwortmanagers noch geschützt.

Der Einsatz eines Passwortmanagers ist trotz des Risikos einer gleichzeitigen Kompromittierung aller Passwörter dennoch empfehlenswert. Er führt bei korrekter Benutzung dazu, dass für jeden Account ein starkes, einzigartiges Passwort verwendet wird.

Fazit

Passwörter sind auch heute noch die verbreitetste Methode zur Authentifizierung und daher auch das Ziel von Angreifern. Es ist deshalb wichtig, dass starke Passwörter verwendet werden. Benutzer müssen entsprechend geschult werden, damit sie wissen, wie sie starke Passwörter wählen können oder Passwortmanager verwenden.

Wenn eine Passwortrichtlinie eingesetzt wird, ist es wichtig, dass ein Benutzer jeweils darüber informiert, warum sein Passwort abgelehnt wurde. Die Information, warum sein Passwort nicht akzeptiert wurde, kann ihm dabei helfen, ein besseres Passwort zu wählen. Leider wird es auch weiterhin Benutzer geben, die versuchen, die Passwortrichtlinien zu «umgehen», in dem sie ein einfach zu merkendes Passwort wählen, das aber noch von der Richtlinie zugelassen wird.

Angreifer werden ihre Methoden auch in Zukunft an neue Passwortrichtlinien anpassen, um das Cracken von Passwörtern effizienter zu gestalten. Wenn zum Beispiel eine Blacklist von nicht akzeptierten Passwörtern eingesetzt wird und diese Blacklist bekannt ist, dann kann ein Angreifer alle Passwörter in dieser Liste schon einmal ausschliessen. Stattdessen könnten Abwandlungen von der Blacklist ausprobiert werden.

Bisher wurde in diesem Artikel nicht darauf eingegangen, wie man starke Passwörter wählt. Zufällige Passwörter sind zwar sicher, aber schwierig zu merken. Eine Möglichkeit ist eine Passphrase statt eines Passwortes zu wählen. Aber auch bei Passphrasen ist Vorsicht geboten – sie sollten ebenfalls nur schwierig zu erraten sein. Von gängigen Phrasen wie zum Beispiel «Sesam öffne dich!» wird abgeraten.

Beispiel 1: «möwe telefon reisen geisterhaus streng»
Beispiel 2: «fische mögen keinen blauen Gurkensalat!»

Die beiden Beispiele illustrieren den Unterschied zwischen zufällig generierten und selbst kreierten Passphrasen. Für die erste Passphrase wurden zufällig 5 Wörter des deutschen Wortschatzes ausgewählt, der aus 300’000 bis 350’000 Wörter besteht [12].

Die zweite Passphrase wurde selbst kreiert. Ein durchschnittlicher Sprecher der deutschen Sprache hat geschätzt jedoch nur 12’000 bis 16’000 Wörter im Repertoire [12]. Deswegen ist die zweite Passphrase weniger stark, da es weniger mögliche Kombinationen von fünf Wörtern gibt. Ausserdem bildet die Passphrase einen grammatikalisch korrekten Satz, wodurch die Anzahl solcher möglichen Kombinationen ebenfalls kleiner ist. Beide Passphrasen sollten jedoch leichter zu merken sein als ein zufällig generiertes Passwort.

Abschliessend muss man anmerken, dass Passwörter und auch Passphrasen – selbst wenn diese noch so stark sind – mit einer einzigen Phishing-Attacke gestohlen werden können und der Account dann kompromittiert ist. Deshalb ist es empfehlenswert, sofern möglich, immer Mehr-Faktor-Authentifizierung zu aktivieren.

In einem folgenden Artikel werden die Ergebnisse eines Password Quality Audits vorgestellt, bei dem die Passwörter eines internationalen Industrieunternehmens analysiert wurden. Anhand dieser Ergebnisse werden die Schwächen von herkömmlichen Passwortrichtlinien deutlich.

Autor

Seit Oktober 2017 ist er bei Oneconsult als Penetration Tester tätig. Sandro Affentranger ist Offensive Security Certified Professional (OSCP) und zertifizierter OSSTMM Professional Security Tester (OPST).

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen