Jeden Tag verwenden wir Passwörter – manchmal vielleicht nicht die Sichersten. Dabei kann ein sicherer Umgang mit ihnen langfristig viel Ärger vorbeugen. Mit den inzwischen enormen Mengen sensibler Daten ist unsere digitale Identität mittlerweile zu wichtig, um sie einem einzigen oder nur wenigen Passwörtern anzuvertrauen.

Sollte ein Passwort kompromittiert werden, also in die falschen Hände geraten, sollte nur eine kleine digitale Teilidentität von diesem Vorfall betroffen sein.

Bin ich schon betroffen?

Vielen sind wohl die E-Mails bekannt, in denen man aufgefordert wird, das eigene Passwort nach einem Angriff auf den Online-Dienstleister zu ändern. Fragen wie „Wo habe ich das Passwort sonst noch verwendet?“ sind im Idealfall mit einem „Nirgends“ zu beantworten.

Mit Diensten wie Have I been Pwned? von Troy Hunt oder dem HPI Identity Leak Checker des Hasso-Plattner-Instituts kann nach vergangenen Datenlecks zu einer E-Mail-Adresse gesucht werden. Auch kann bei Have I been Pwned? geprüft werden, ob sich ein Passwort bereits in einem Datenleck befindet und somit als unsicher gilt. Möchte man sein Passwort nicht online an Have I been Pwned? übermitteln, kann als Alternative die gesamte verschlüsselte Passwortdatenbank mit SHA-1- oder NTLM-Hashes heruntergeladen ( haveibeenpwned.com/Passwords) und lokal auf Vorkommnisse eigener Passwörter geprüft werden.

Was macht ein sicheres Passwort aus?

Mit der Zeit haben sich einige Methoden für die Erstellung und Verwahrung von Passwörtern bewährt. Grundsätzlich gilt: Ein Passwort ist nur dann gut, wenn es möglichst zufällig ist. Hierbei spricht man von der Entropie eines Passworts. Sind Teile eines Passworts eine logische Folge, mindert dies die Entropie des Passworts. So sind bspw. Wörter aus einem Wörterbuch oder Zahlenfolgen von Kalenderdaten keine sicheren Passwortbestandteile.

Für die höchstmögliche Sicherheit eines Passworts sollten die darin enthaltenen Zeichen aus dem größtmöglichen Datenraum stammen. Ein 4-stelliges Passwort aus Zahlen verfügt über lediglich 10.000 mögliche Kombinationen. Kommen Kleinbuchstaben hinzu, sind es bereits 1,6 Millionen. Gemischt mit Großbuchstaben sind fast 15 Millionen Passwörter möglich. Enthält das Passwort auch noch Sonderzeichen, vervielfacht sich die mögliche Anzahl der 4-stelligen Passwörter auf über 81 Millionen.

Je mehr Passwortkombinationen möglich sind, desto länger dauert die Entschlüsselung eines Passworts im Falle eines Angriffs. Deshalb empfehlen wir, möglichst lange und zufällige Passwörter zu verwenden.

Doch wie lang ist lang genug? Um auf Nummer sicher zu gehen, ist es ratsam, ein Passwort mit 12 Zeichen oder länger aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen zu wählen.

Methoden zur manuellen Erstellung von sicheren Passwörtern

Um sich ein möglichst sicheres Passwort auszudenken, hilft es, ein sicheres Muster zu erstellen, welches nur einem selbst bekannt ist. Ein solches Muster kann z. B. ein selbstausgedachter Satz sein, der anschließend mit Sonderzeichen und Zahlen ergänzt wird. Die Anfangsbuchstaben der Wörter und Sonderzeichen bilden dann das Passwort.

Beispiel:

Heute denke ich mir mein 1. sicheres Passwort mit dieser Methode aus.

Hdimm1.sPmdMa.

Wird dieses Passwort noch um weitere Sonderzeichen erweitert, verfügt es über eine sehr hohe Entropie und ist somit besonders sicher. Hierbei muss man sich keinesfalls nur auf Sätze beschränken, sondern kann auch Haikus oder andere Kurzgedichtformen verwenden.

Methoden zur automatischen Passwortgenerierung

Doch auch mit einer solchen Erstellungshilfe ist es schwierig, individuelle Passwörter für jeden Dienst zu generieren, die sich ausreichend voneinander unterscheiden und somit auch tatsächlich sicher sind.

Ein Passwortmanager kann hierbei viel Arbeit abnehmen – sowohl beim Erstellen sicherer Passwörter als auch in der Verwaltung dieser. Einfache Passwortmanager sind heute bereits in jedem gängigen Webbrowser integriert. Der Vorteil hierbei liegt in der möglichen Synchronisierung in der Cloud des Browseranbieters. Dies kann jedoch auch als Nachteil gesehen werden, da der Zugang zur gesamten digitalen Identität einer fremden Cloud anvertraut wird. Weiterhin fehlt häufig die Möglichkeit, einfach die Zugangsdaten für Anwendungen außerhalb des Browsers automatisch auszufüllen.

Eine gute Alternative dazu stellt ein dedizierter Passwortmanager dar. Beliebte Passwortmanager sind unter anderem KeePassXC/KeePassDX sowie 1Password. Die Anwendungen können auf allen gängigen Geräten installiert werden und speichern die Passwörter in verschlüsselten Datenbankdateien. Um diese Datenbanken zu öffnen, wird ein Hauptkennwort verwendet, welches möglichst sicher sein sollte. Via Plug-in können Webbrowser mit dem Passwortmanager kommunizieren und auf den einzelnen Websites die dazugehörigen Zugangsdaten zum automatischen Ausfüllen anbieten.

Um die Zugangsdaten zwischen mehreren Geräten zu synchronisieren, muss jedoch die Datenbankdatei auf allen Geräten vorhanden sein. Diese kann wiederum beispielsweise über eine Cloud synchronisiert werden. Das gewählte Hauptkennwort hilft dabei, die Sicherheit der gespeicherten Passwörter zu wahren, falls die Passwortdatenbank doch einmal in die falschen Hände geraten sollte.

Wie arbeiten wir?

Natürlich haben auch wir es in unserem Tagesgeschäft mit passwortgeschützten Anwendungen zu tun. Neben größtmöglicher Sicherheit ist es für uns auch wichtig, effizient zu bleiben und Prozesse nicht durch unnötige Hürden zu verlangsamen. In einigen unserer Projekte hat sich deshalb die Verwendung eines dedizierten Passwortmanagers bewährt. Mit diesem können Zugänge, die für mehrere Webdienste gültig sind, ganz einfach mit ihren URLs dem Zugangsdateneintrag hinzugefügt werden. Somit muss bei einer Passwortänderung des Accounts nicht für jede URL ein gesonderter Eintrag bearbeitet werden. Außerdem erlaubt uns dieser dedizierte Passwortmanager auch die Generierung von Token für eine Zwei-Faktor-Authentifizierung (2FA) und sorgt dadurch für noch mehr Sicherheit.

Das sind vorerst unsere Tipps und Hinweise für Anwendende. Mehr Informationen gibt es beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem haben wir bereits einen weiteren Blogbeitrag in Arbeit, in dem unsere Security Xperten sich mit dem Thema Zugangsschutz bei der Anwendungsentwicklung auseinandersetzen.