Passwortsicherheit
Sebastian Kraus — 13.11.2012
Eigentlich soll man ja für jeden Dienst im Netz ein eigenes Kennwort verwenden. Wenn Benutzerdatenbanken von großen Websites "geklaut" werden, reden sich die Anbieter oft damit heraus, dass die Kennwörter ja eigentlich nicht noch bei anderen Diensten verwendet werden sollen. Selbstverständlich soll man sie dann auch noch regelmäßig ändern. Ich wage mal einen Realitätsabgleich ...
Ich halte mich selbst ja nicht für einen Early Adopter, der bei jeder Betaphase von Web 2.0-Diensten sofort einen Benutzeraccount aufmacht. Trotzdem habe ich inzwischen eine respektable Sammlung von Benutzerkonten bei dutzenden, wenn nicht hunderten Anbietern und den Überblick längst verloren. Es ist für mich vollständig unmöglich, mir für jeden Dienst ein eigenes Kennwort zu merken. Ich behaupte, das geht anderen auch so.
Jetzt fährt da vermutlich jeder seine eigene Strategie, wie das Problem zu lösen ist. Manch einer verwendet Wallets, die die Kennwörter verschlüsselt ablegen. Das ist dann unpraktikabel, wenn man an mehreren Rechnern arbeitet und vielleicht auch mal von Unterwegs auf einen Dienst zugreifen will, wenn das Wallet nicht dabei ist, oder nicht synchronisiert ist. Andere schreiben sich die Kennwörter auf ein Post-It und kleben es auf den Monitor. Und wieder andere verwenden dann wohl oder übel tatsächlich überall das selbe Kennwort.
Für mich hat sich eine Methode gut bewährt: Security-Level Passwords. Ich besitze z. B. 4 Kennwörter. Das "sicherste" ist nirgends notiert, in keiner Wallet, in keinem Cache, in keiner Textdatei. Nur im Kopf. Es ist lang und sicher. Ich verwende es nur für wirklich kritische Systeme, auf die niemand außer mir jemals Zugriff haben darf. Dann gibt es ein "sicheres" Kennwort, welches für alle Dienste genutzt wird, welche beispielsweise mit Konto- und Kreditkartendaten arbeiten, oder die mir richtig Geld kosten können, wenn es jemand heraus bekommt. Meine Online-Versicherung, beispielsweise. Dann gibt es noch ein weniger sicheres Kennwort, welches ich bei fast allen Diensten verwende wie Social Networks. Und dann hab ich noch ein "unsicheres" Kennwort, welches ich bei Diensten verwende, wo der begründete Verdacht besteht, dass die Anbieter das Kennwort in einer elf Jahre alten, ungepatchten Adabas-Datenbank im Klartext ablegen und sofort ein Abgleich mit der Email-Datenbank der Nigeria-Connection stattfindet. Es darf theoretisch jeder wissen, denn keinerlei wichtiger Dienst ist damit gesichert.
Mit dieser Technik fahre ich seit mehr als 10 Jahren eigentlich sehr gut.
Dann kam wohl eines morgens ein Schlipsträger zur Arbeit, hat sich hingesetzt und überlegt, wie man $irgendwas jetzt mal so richtig, richtig, sicher (tm) machen kann. Und er erfand die Kennwortrichtlinien. Derartiges Zeuch, dass ein Kennwort mindestens 8 Zeichen enthalten muss, davon mindestens 1 Zahl, mindestens 2 Großbuchstaben oder mit einem gewissen Prozentsatz an Sonderzeichen. Ferner dürfen das natürlich keine natürlichen Worte sein (Dictionary Attacks) und dürfen keinen Bezug zum Benutzer haben (Teil des Namens, Geburtstag, Telefonnummer, etc.). Diese Richtlinien werden technisch durchgesetzt, natürlich mit der landläufig bekannten Treffsicherheit der Fuzzy-Logic.
Das führt dann dazu, dass ein Dienst mich zwingt, mindestens 8 Zeichen zu verwenden, mein Kennwort aber nur 7 Zeichen hat. Der nächste Dienst gesteht mir aber maximal 6 Zeichen zu, und wieder bei anderen darf ich keine Sonderzeichen verwenden.
Ist ein 7-Zeichen-Kennwort zwangsläufig unsicherer als ein längeres? Nein. Ich kann mir wesentlich sicherere 7-Zeichen Kennworte ausdenken, als andere Leute mit 8 Zeichen. Ein Algoritmus, so man sie denn überhaupt so nennen darf, kann das nicht überprüfen. Aber er zwingt mich dazu, von meinen eigenen Kennwortrichtlinien abzuweichen und andere Kennworte zu verwenden, die ich mir dann nicht merken kann, oder ein Kennwort einer anderen Sicherheitsstufe zu verwenden, die ich der Anwendung aber gar nicht zugestehen möchte.
Liebe Entwickler da draußen. Lasst mich mein Kennwort bitte selbst bestimmen. Es kann euch scheißegal sein, ob mein Kennwort 7, 8 oder 13 Zeichen lang ist. Es ist *mein* Kennwort. Euer Job ist es, dieses Kennwort gehasht (und idealerweise gesalzen) in die Datenbank zu legen und sicherzustellen, dass diese Datenbanken nicht in falsche Hände gelangen. That's all.
Danke.
Fundstücke aus dem Kuriositätenkabinett
Ein bekannter deutscher VOIP-Telefonieanbieter. Ich habe folgendes Kennwort verwendet: muc}ooThohz7sha\gohy9phigh6eishee4ao9eemee.y`ee4aip6mi3eanequ)ae
Sparkasse Bamberg, die Online-Banking-PIN darf höchstens 5 Zeichen lang sein.
