Management von Passwörtern. Tools und Heuristiken

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Zielsetzung
1.2 Thematische Abgrenzung
1.3 Aufbau und Struktur

2 Grundlagen
2.1 Definition Passwort
2.2 Passwortsicherheit: Sicherheitsfaktoren und Schwachstellen

3 Passwortmanagement
3.1 Strategien zur Wahl sicherer Passwörter
3.2 Geeignete Passwortwahl bei verschiedenen Diensten
3.3 Unterstützende Tools
3.3.1 Vorstellung Tools
3.3.2 Vor- und Nachteile von Tools

4 Zusammenfassung und Ausblick

Quellenverzeichnis

Abbildungsverzeichnis

1 KeePass - Kostenfreier OpenSource Desktop-Passwortmanager

2 LastPass - Webbasierter Passwortmanager

Tabellenverzeichnis

1 Durch KeePass generierte Passwörter

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

Schon seit Jahrhunderten nutzen Menschen Codewörter oder Parolen (z. B. beim Militär), um Zugriff auf Dinge oder Zugang zu Orten¹ vor unberechtigten Personen zu schützen.

Erst kürzlich fand der „WORLD PASSWORD DAY“statt², an dem Unternehmen wie INTEL, MICROSOFT, SAMSUNG, TOSHIBA und LASTPASS (erneut) anhand von Anleitungen, In- fografiken etc. versuchen, Aufklärung zu betreiben und Anwender bei der Wahl geeigneter Passwörter zu unterstützen. Besonders im Zuge jüngster Datendiebstähle³ ist es nicht nachvoll- ziehbar, warum noch immer rudimentäre Passwörter wie „123456“ oder „password“ benutzt werden und sogar Toplisten anführen können.⁴ Auch werden Passwörter in den seltensten Fällen geändert, nachdem sie einmal festgelegt worden sind. In einer durch die TNS OPINION & SOCIAL, im Auftrag der EUROPÄISCHEN KOMMISSION, durchgeführten Studie gaben 55% der Befragten an, Passwörter innerhalb der letzten 12 Monate nicht geändert zu haben.⁵

Die Verwendung verschiedener Online-Konten, sei es beim E-Mail Provider, in Social Networks oder bei diversen Online-Shops, ist mittlerweile alltäglich. Anwender scheinen sich dennoch einer möglichen Gefahr, die von zu schwach gewählten Passwörtern - sowohl im privaten, als auch beruflichen Umfeld - ausgeht, oftmals nicht bewusst zu sein, oder ignorieren diese einfach.

Durch Schwachstellen in Anwendungen oder Online-Systemen, aber auch durch leistungsstarke Mechanismen und Tools ist es für Angreifer oftmals ein Leichtes, an Passwörter zu gelangen oder diese mittels Algorithmen errechnen zu können. Die Versuchung ist groß, ein Passwort wiederholt bzw. rotierend bei mehreren Diensten zu verwenden, was eine unmittelbare Gefahr darstellen kann. Wird ein System kompromittiert, hält der Angreifer neben dem Zugang zum Social Network womöglich auch einen Zugang zum Online-Shop in seinen Händen.

Dabei ist es auf der einen Seite anhand einiger, durchaus einfacher Regeln möglich, sehr sichere Passwörter zu generieren, die leicht memoriert werden können. Auf der anderen Seite unterstützen verschiedene Tools dabei, eine Vielzahl verschiedenster Passwörter sicher in einem „Tresor“ zu hinterlegen, aber auch nahezu unknackbare Passwörter durch Zufallsalgorithmen zu generieren.

1.1 Zielsetzung

Zum einen soll die vorliegende Praxisarbeit Schwachstellen der Passwortwahl aufzeigen, zum anderen soll sie Hinweise und Ratschläge zum sicheren Umgang und Generierung von Passwörter geben. Repräsentativ werden ferner zwei Tools vorgestellt, welche Anwender beim persönlichen Passwortmanagement unterstützen und den alltäglichen Umgang mit Passwörtern erheblich vereinfachen können. Die Vorstellung soll dabei Vor- und Nachteile solcher Tools aufzeigen.

1.2 Thematische Abgrenzung

Aufgrund der Vorgaben kann allenfalls ein Einblick in das Thema „ Sichere Passworterzeugung “ und „ Passwortmanagement “ gegeben werden. Während der Ausarbeitung zeigte sich, dass es sich um ein sehr spannendes und umfangreiches Thema handelt, dem noch mehr Seiten hätten gewidmet werden können. Es werden lediglich die wichtigsten Themen angesprochen, um eine Vorstellung der Wichtigkeit von effektivem „ Passwortmanagement “ zu erhalten.

1.3 Aufbau und Struktur

Insgesamt gliedert sich die Arbeit in vier Kapitel, deren Rahmen sich durch Kapitel 2 (Grundla gen) und Kapitel 4 (Zusammenfassung und Ausblick) bildet.

Kapitel 2 enthält Grundlagen zur Passwortsicherheit, d.h. relevanter Sicherheitsfaktoren und Schwachstellen und bereitet auf den Hauptteil vor. Dieser ist in Kapitel 3 und behandelt das Kernthema „ Passwortmanagement “ der vorliegenden Arbeit. Dabei werden auf der einen Seite Strategien zur Passwortwahl (Abschnitt 3.1), sowie unterstützende Tools (Abschnitt 3.3) zur Passwortverwaltung vorgestellt. Abschließend erfolgen Zusammenfassung und Ausblick.

2 Grundlagen

2.1 Definition Passwort

Der Begriff „ Passwort “ leitet sich aus dem Englischen („ pass “ = dt. „Ausweis“, „Passierschein“, „ word “ = (dt. „Wort“) und dem Französischen („ passe “, „ passere “ = dt. „passieren“) ab. Es ist ein Synoym für die Begriffe „ Losung “ oder „ Parole “ und bezeichnet im Allgemeinen eine Zeichenfolge, welche aus Buchstaben, sowie Ziffern und/oder Sonderzeichen besteht⁶, die den Zugriff z. B. auf Systeme oder Dateien vor unberechtigten Personen schützen soll.⁷ Eine Person kann sich durch Wissen des Passwortes, d.h. durch Kenntnis und Nachweis eines vereinbarten Geheimnisses, einem System gegenüber legitimieren.⁸

Allgemein lässt sich die Art der Authentifizierung in die Formen „ Etwas, das man weiß “ (z. B. Passwort, PIN), „ Etwas, das man hat “ (z. B. Schlüssel, RSA-Token) oder „ Etwas, das man ist “ (Körperliche bzw. biometrische Merkmale) unterteilen, wobei sich in den meisten Fällen die erste Form - vor allem aus Kostengründen - durchgesetzt hat.⁹ Unterschieden wird zwischen vom Benutzer selbst gewählten, sowie systemgenerierten Passwörtern und Einmalpasswörtern. Letztere verfolgen einen alternativen Einsatz, da sie laufend wechseln und zur Authentifizierung gegenüber einem System lediglich einmal gültig sind.¹⁰

2.2 Passwortsicherheit: Sicherheitsfaktoren und Schwachstellen

Um die Komplexität eines Passworts zu erhöhen und damit den Spielraum eines Angriffs deutlich reduzieren zu können, haben sich einige relevante Faktoren bewährt, die als allgemeingültig gelten.¹¹

1. Die Mindestlänge eines Passwortes sollte mindestens acht Zeichen oder mehr betragen. Außerdem darf es nicht in einem Wörterbuch zu finden sein, oder andere leicht zu erratene Bestandteile wie Namen, Geburts- oder Hochzeitsdatum etc. enthalten. Generell gilt: Je länger ein Passwort ist, desto länger dauert eine mögliche Berechnung mittels Tools.
2. Neben Groß- und Kleinbuchstaben sollte ein Passwort ebenso Zahlen sowie Sonderzei- chen enthalten, um (im besten Fall) eine höhere Komplexität zu erreichen.
3. Vermeidung von Trivialpasswörtern (z. B. „Abcdefg123“), Buchstaben- und Zahlen- mustern (z.B. „Qwertz“, „123“ etc. ). und Palindromen (z.B. „Nebel“ und „Leben“, „1331“ etc. )
4. Das Passwort sollte in unregelmäßigen Abständen geändert werden. Es muss aber auf jeden Fall geändert werden, wenn bspw. Schwachstellen oder Datendiebstähle im Zusammenhang mit dem Online-Dienst bekanntgemacht wurden.

Entscheidend ist, dass die oben genannten Sicherheitsfaktoren meist nur in Kombination ihre Wirksamkeit entfalten können.

Passwortlänge und Passwortkomplexität

Aktuelle Passwortcracking-Tools greifen vermehrt auf die GPU, d. h. den Prozessor einer Grafik- karte zu. Dessen Vorteil liegt in seiner Arbeitsweise, immer wiederkehrende Rechenoperationen auf großen Datenmengen sehr effizient durchführen zu können. Ein Test des Computermagazins c ’ t zeigte, dass sich mit einem handelsüblichen PC im Wert von rund 1000 Euro in kurzer Zeit sehr viele in der internen Windows-Datenbank hinterlegten Passwörtern knacken lassen.¹² Ein sechsstelliges Kennwort bestehend aus Groß- und Kleinbuchstaben, den Ziffern 0-9 sowie typischen Sonderzeichen (!, $, ?, % ...) lässt sich innerhalb von gerade mal sechs Minuten knacken. Für ein achtstelliges Passwortes mit denselben Vorgaben werden bereits 33 Tage benö- tigt. Ein elfstelliges Passwort, welches hingegen nur aus Groß- und Kleinbuchstaben besteht (Zur Erinnerung: Zufällige Anordnung vorausgesetzt, keine Wörterbucheinträge etc. ), kann erst nach 270 Jahren geknackt werden.¹³ Es zeigt sich damit, dass die Passwortlänge oftmals entschei- dender ist, als die Passwortkomplexität und sie damit einen essentiellen Sicherheitsfaktor darstellt.¹⁴

Die folgende Rechnung¹⁵ verdeutlicht diese Annahme. Ein achtstelliges Passwort, bestehend aus Groß- und Kleinbuchstaben, Zahlen und 22 typischen Sonderzeichen kann insgesamt 2 , 5 × 10¹⁵ verschiedene Werte annehmen. Ein zehnstelliges Passwort, dass wie oben beschrieben hingegen nur Groß- und Kleinbuchstaben enthält, kann trotz vermeintlich geringerer Komplexität 3 , 0 × 10¹⁷ Möglichkeiten annehmen.

Im Fall der Sonderzeichen ist überdies zu ergänzen, dass häufiger geläufige Sonderzeichen wie !, $, ?, % etc. verwendet werden, als exotische, die nicht auf einer Tastatur zu finden sind. Dieser Sachverhalt kann die möglichen Kombinationen für einen Angreifer drastisch einschränken. Verschärft wird dies ferner durch die Annahme, dass Sonderzeichen meistens am Anfang oder Ende eines Passwortes benutzt werden.¹⁶ Nimmt man bspw. an, dass bei einem achtstelligen Passwort, bestehend aus Groß- und Kleinbuchstaben sowie Sonderzeichen die achte Stelle eins der 22 geläufigen Sonderzeichen ist, so reduziert sich die Anzahl der Möglichkeiten auf 22 × (26 + 26)⁷ = 3 , 8 × 10¹³. Eine (zufällige) Kombination ohne Sonderzeichen (am Anfang oder Ende) hat hingegen eine um den Faktor 2,55 höhere Anzahl von Möglichkeiten, nämlich (26 + 26)⁸ = 9 , 7 × 10¹³.

Passwortwechsel: Turnusgemäß oder unregelmäßig

Es wird empfohlen, Kennwörter (un)regelmäßig zu ändern¹⁷, wobei auch gegensätzliche An- sichten existieren, ein gutes Passwort tatsächlich nur dann zu ändern, wenn man von einer Kompromittierung ausgehen muss, bzw. eine Sicherheitslücke z. B. bei einem Online-Dienst auf- getreten ist.¹⁸ Ein essentielles Problem bzgl. dieser Thematik stellt das menschliche Gehirn dar, das komplex gestaltete (wie systemgenerierte) oder sich häufig ändernde Passwörter nur schlecht memorieren kann.¹⁹ Untersuchungen zeigten, dass eine deutliche Reduktion der Passwortqualität resultiert, auch weil Passwörter dadurch z. B. wieder häufiger aufgeschrieben werden.²⁰

Eine Studie der U N I V E R S I T Y O F H O N G KO N G und der C A M B R I D G E U N I V E R S I T Y ergab, dass Anwender bei häufigen Wechseln „ Passwortgenerationen “ anlegen, d.h. Passwörter nach Mustern wie „Password01, Password02, ... “ hochzählen, was einen Angriff oder Erraten des Passwortes erheblich vereinfacht.²¹ Selbiges gilt für andere „Muster“, wie das Großschreiben von Wortteilen oder die Verwendung von Juxtapositionen, da aktuelle Cracking-Tools wie „JAC K THE RIPPER“²² diese Muster erkennen können oder in umfangreichen W ö rterbüchern ²³ oder Rainbow-Tables ²⁴ gelistet haben.

IT-Sicherheitsexperte BRU C E S C H N E I E R beschreibt das Anwenderverhalten zur Passwortwahl sinngemäß wie folgt: „ Sagst Du einem Anwender, er soll ein Passwort wählen, so nimmt er ein lausiges. Zwingst Du ihn ein gutes [durch Passwortregeln definiertes] Passwort zu wählen, wird es auf einen PostIt-Aufkleber geschrieben, welcher an seinem Monitor klebt. Forderst Du ihn schlie ß lich auf, sein Passwort zuändern, nimmt er das vom letzten Monat. “²⁵ Häufig verbieten Passwortrichtlinien in Unternehmen bspw. , die letzten fünf Passwörter zu verwenden. Wird versäumt, auch den Parameter zum minimalen Passwortalter (Empfehlung: 24 - 48 Stunden festzulegen)²⁶, so ändern Anwender ihr Passwort in kürzester Zeit so häufig, bis der Passworthistorie „geleert“ ist und sie zu ihrem Favoriten zurückkehren können.²⁷

Soziale Schwachstellen

Die Sicherheit eines Passwortes steht und fällt nicht zuletzt auch mit einigen anderen Faktoren. Könnte man die oben genannten als „ harte “ Faktoren bezeichnen, so gibt es auch „ softe “ Faktoren, die als Randbedingung (z. B. geprägt durch das soziale Umfeld) Einfluss auf die Sicherheit geben können.

Social Engineering stellt dabei eine wesentliche Schwachstelle dar, das ehemalige Hacker wie KEVIN MITNICK bis zur absoluten Perfektion betrieben haben. Ein Passwort mag noch so komplex, noch so gut gewählt sein, es bleibt der „ Risikofaktor Mensch “, z.B. durch die Weitergabe von Passwörtern. Der Aussagegehalt des eingehenden Zitats von CH R I S PI R I L L O ist sehr prägnant, sodass es eigentlich jedem klar sein müsste: „Tausche Deine Passwörter niemals, wirklich niemals mit einer anderen Person!“ Studien zeigten jedoch²⁸, dass genau dies gängige Praxis zu sein scheint. Allzu oft geben Anwender Passwörter oder PINs bewusst an Familienmitglieder oder an Kollegen weiter, damit Letztere z.B. im Falle von Urlaub oder Krankheit Zugriff auf bestimmte Daten behalten.²⁹ Eine unbewusste Weitergabe erfolgt mitunter durch Unwissenheit oder Täuschung z.B. durch Phishing-Mails, die vermeintlich von Banken, Online-Shops etc. stammen.

Sicherheitsfragen stellen ein weiteres, potentiell hohes Sicherheitsrisiko dar. Sie werden bei Online-Diensten verwendet, um vergessene Passwörter zurückzusetzen, werden vielfach aber nur stiefmütterlich behandelt. Ein einfaches Beispiel ist die Sicherheitsfrage „ Wie lautet der Geburtsname Ihrer Mutter? “. Diese Frage kann meist durch einfache Webrecherche, genea- logische Datenbanken, Wissen aus dem Bekanntenkreis oder anderen Methoden schnell und korrekt beantwortet werden.³⁰ Das beste Passwort ist nutzlos, wenn dessen Sicherheit durch Beantwortung einer zu lapidar gewählten Sicherheitsabfrage ganz einfach umgangen werden kann.³¹ Eine grundsätzliche Empfehlung ist hierbei, selbst eine Frage zu erstellen (sofern dies möglich ist), die ganz simpel z. B. nur „ Die Antwort? “ lautet. Als korrekte Antwort sollte ebenso eine Zeichenfolge gemäß der Vorschläge zur Generierung eines sicheren Passwortes verwendet werden. Sollte diese Option nicht gegeben sein, lautet der Mädchenname der Mutter an Stelle von „ Müller “ künftig besser „m50yoMhn$uk?!“.³²

[...]

¹ z. B. Überlieferungen/Märchen wie Ali Baba: „Sesam öffne Dich!“

² zuletzt am 07. Mai 2014. Mehr Informationen unter https://www.passwordday.org/de/

³ Vgl. Bundesamt für Sicherheit in der Informationstechnik (2014)

⁴ Vgl. SplashData (2013)

⁵ Vgl. TNS Opinion & Social (2013), S. 155

⁶ Vgl. Dudenredaktion (2014)

⁷ Vgl. Prof. Dr. Lackes et al. (2014)

⁸ Vgl. Eckert (2013), S. 468

⁹ Vgl. Anderson (2010), S. 31; Hansen et al. (2009), S. 390 f.

¹⁰ Vgl. Eckert (2013), S. 472 f.

¹¹ Vgl. BSI (2013), S. 1310;

¹² Eckert (2013), S. 471

¹³ Vgl. BSI (2013), S. 1310; Eckert (2013), S. 471

¹⁴ Vgl. Arbeiter et al. (2009), S. 204 ff.

¹⁵ Vgl. ebd., S. 205

¹⁶ Vgl. Laudon et al. (2010), S. 1045

¹⁷ Vgl. Fox et al. (2009), S. 427

¹⁸ Vgl. ebd., S. 427

¹⁹ Vgl. BSI (2013), S. 2825

²⁰ Vgl. Schneier (2014)

²¹ Vgl. Adams und Sasse (1999), S. 42;

²² Eckert (2013), S. 472 f.

²³ Vgl. Adams, Sasse und Lunt (1997), S. 5

²⁴ Vgl. Yan et al. (2004), S. 26

²⁵ Populäres Tool, um Passwörter zu cracken - http://www.openwall.com/john/

²⁶ Vgl. Dell’Amico et al. (2010), S. 986

²⁷ Vgl. Oechslin (2003), S. 627

²⁸ Vgl. Schneier (2011), S. 131

²⁹ Vgl. BSI (2013), S. 2825

³⁰ Vgl. Anderson (2010), S. 34

³¹ Vgl. Shay et al. (2010), S. 8

³² Vgl. Duggan et al. (2012), S. 23; Mitnick et al. (2006), S. 98