Geschützte Bereiche, Systeme oder Netzwerke werden heutzutage mehrheitlich durch Passwörtern abgesichert. Genauer betrachtet ist ein Passwort dabei aber nur ein Mittel zum Zweck: Das Passwort gilt als Nachweis dafür, dass eine reale Person über eine digitale Identität verfügt. Was aber macht ein Passwort wirklich sicher?
Das Passwort als Beweis der digitalen Identität
Um die Kontrolle zu behalten, soll der Zugriff auf bestimmte digitale Objekte – zum Beispiel auf die E-Mails eines Unternehmens – nicht mit der ganzen Welt, sondern mit nur einem sehr eingeschränkten Kreis von Personen teilbar sein. Das E-Mail-Postfach wird dabei in kodierter Form, in einem persistenten Speicher abgelegt – quasi als Festplatte auf einem Objekt in der physischen Welt. Wenn nun virtuelle Daten, in unserem Beispiel E-Mails auf der Festplatte, bearbeitet werden sollen, gilt es den Medienbruch zwischen physischer und digitaler Welt zu überwinden. Dies geschieht in der Regel mit einem Computer mit Internetzugang.
Der elektronische Zugriff auf E-Mails ist dabei durch digitale Sicherheitsmechanismen geschützt. Wir reden in diesem Zusammenhang von Access Control: Anhand einer Liste, die definiert, wer auf welches E-Mail-Postfach Zugriff erhalten darf, wird der Zugriff gewährt oder abgelehnt.
Das digitale Access Control Objekt kann diese Entscheidung nur mithilfe eines weiteren digitalen Objektes treffen.. Nennen wir dieses digitale Objekt «digitale Identität», bei dem an Benutzernamen oder -konto gedacht werden kann. Access Control benötigt also eine Liste von digitalen Identitäten oder Konten, die Zugriff auf E-Mail-Postfächer erhalten sollen.
Es liegt nun am Benutzer den Nachweis zu erbringen, dass er der Besitzer einer oder mehrerer solcher digitalen Identitäten ist und diese somit kontrollieren darf, um Zugang zu den eigenen E-Mails zu erhalten. Dies erfolgt mithilfe eins weiteren digitalen Objekts, z.B. einem Geheimnis, einem Stück Information welches nur Sie kennen – Ihrem Passwort.
Der Nachweis des Besitzanspruches über eine digitale Identität wird üblicherweise «Authentisierung» genannt.
Passwort, Smartcard, und Co.: Die verschiedenen Authentisierungsmittel
Das Passwort ist lediglich eines von vielen Authentisierungsmitteln. Die weitere Optionen lassen sich in drei Gruppen klassifizieren:
- Etwas, dass der Benutzer weiss: Eine Information, ein digitales Objekt, welches nur der Benutzer kennt und das idealerweise in Kopf des Benutzers verborgen liegt. Dieses «Objekt» kann im Bedarfsfall abgerufen und angewendet werden. Ein Beispiel hierfür ist das Passwort.
- Etwas, dass der Benutzer besitzt: Ein physisches Objekt, das Informationen enthält, die bei Bedarf abgerufen werden können, z.B. eine Smartcard.
- Etwas, dass den Benutzer ausmacht: Informationen bezüglich des physischen Selbst. Diese Information kann bei Bedarf über eine geeignete Schnittstelle digitalisiert werden– z.B. die besondere Anordnung der Blutgefässe Ihrer Netzhaut.
Alle drei Alternativen haben eines gemeinsam: Sie bedienen sich einer Information,, die auf eine definierte und durch Access Control überprüfbare Art und Weise einer digitalen Identität zugeordnet ist. Heutzutage werden meist mehrere der obengenannten Optionen miteinander kombiniert, um Missbrauch zu erschweren. Wir reden in diesem Fall von Zwei- / bzw. Multifaktor-Authentisierung oder auch starker Authentisierung.
Passwörter verwalten – Sicherheit unter Kontrolle behalten
Ein Passwort hat eine einzige, scheinbar einfache Aufgabe: Die Authentisierung von Besitzerschaft und damit der legitimen Kontrolle über eine digitale Identität. Wenn wir von «Sicherheit» eines Passwortes reden, dann meinen wir damit eigentlich die Fähigkeit eines Passwortes, seine Aufgabe zu erfüllen. Ein Passwort, dass zulässt, dass eine fremde Person die Kontrolle über eine digitale Identität übernimmt, wäre entsprechend ein unsicheres Passwort.
Es existieren nur zwei Möglichkeiten, wie eine unbefugte Person, in den Besitz eines Passwortes kommen und damit in unerlaubter Weise die Kontrolle über eine digitale Identität übernehmen kann:
- Das Passwort wird von einem Angreifer erraten.
- Das Passwort wird von einem Angreifer gestohlen.
Die Wahrscheinlichkeit, dass einer dieser Fälle eintritt, hängt von verschiedenen Faktoren beispielswiese der Länge oder der Komplexität des Passwortes ab.
Aussagen zu Länge, Komplexität oder auch Erneuerung von Passwörtern sind üblicherweise Bestandteil von Passwort-Policies. Wir gehen daher im auf die Definition einer zweckmässigen Passwort Policy ein und betrachten die beiden obigen Fälle:
Erraten von Passwörtern
Die Kombination (!) aus Länge und Komplexität eines Passworts bestimmt massgeblich, wie schwierig bzw. aufwendig es für einen Angreifer ist, ein Passwort zu erraten: Der Aufwand für das Erraten eines Passworts erhöht sich exponentiell mit der Länge des Passworts.
Die Komplexität des Passworts bestimmt dabei, wie «stark» exponentiell dieser Aufwand wächst. Mit Komplexität ist hier die «Zufälligkeit» des Passwortes gemeint; für ein komplett zufälliges Passwort wird ein Angreifer statistisch gesehen durchschnittlich die Hälfte aller Kombinationen einer bestimmten Länge durchprobieren müssen. Da wir nicht wissen, an welchem «Ende» der Kombinationen der Angreifer zu raten beginnt bzw. wie er seine Sequenz ordnen wird, ist die Wahl eines komplett zufälligen Passwortes die Optimalvariante.
Der Aufwand für das Erraten des Passwortes ergibt sich durch die Anzahl der kombinatorischen Möglichkeiten: m^L, wobei «m» die Anzahl unterschiedlicher Zeichen, die zur Auswahl stehen und «L» die Länge des Passworts bezeichnen. Werden z.B. alle Gross- und Kleinbuchstaben sowie Ziffern von 0-9 zugelassen ergeben sich für m = 2*26+10 = 62 und für ein Passwort der Länge L=3, bereits m^L = 62^3 = 62*62*62 = 238328 kombinatorische Möglichkeiten. Ein handelsüblicher Laptop ist in der Lage all diese Kombinationen innert Sekunden zu berechnen.
Lassen Sie uns ein erstes Fazit aus Sicht «Erraten von Passwörtern» ziehen: Grundsätzlich erhöhen Länge und Komplexität den Aufwand, um ein Passwort zu erraten und im Umkehrschluss erhöht sich damit die Passwortsicherheit.
Diebstahl von Passwörtern
In einer älteren Version der «Digital Identity Guidelines» der amerikanischen NIST-Behörde wurde empfohlen, Passwörter regelmässig zu wechseln. Dieser Aussage liegt die Annahme zugrunde, dass Passwörter von Zeit zu Zeit kompromittiert, also einem Angreifer zugänglich gemacht (oder auch erraten) werden. Diese Annahme ist leider nach wie vor absolut zutreffend. Man denke an Vorkommnisse wie den Diebstahl von drei Milliarden Benutzeraccounts bei Yahoo 2014. Solche gestohlenen Datensätze tauchen häufig in virutellen Schwarzmärkten zum Verkauf auf und können anschliessend für missbräuchliche Zugriffe genutzt werden.
Es kann sich nun die Frage gestellt werden, ob der regelmässige Wechsel von Passwörtern die richtige Strategie ist. Die Antwort liegt wiederum in der Frage nach der Aufgabe eines Passworts, die wir am Anfang des Beitrags stellten: Ein Passwort soll zur Authentisierung von Besitzerschaft über EINE und eben nicht MEHRERE digitale Identität verwendet werden.
Der regelmässige Wechsel eines Passwortes (z.B. alle drei Monate) ist das richtige Mittel wenn es darum geht den Schutz einer digitalen Identität, deren zugehörigeAuthentisierungsmittel gestohlen wurden, wiederherzustellen.
Die Problematik verschärft sich massiv, wenn Passwörter mehrfach, d.h. für unterschiedliche Identitäten, wiederverwendet werden. Es reicht in diesem Fall aus, nur eine Identität zu kompromittieren, um Zugang zu allen Identitäten zu erhalten, die das gleiche Passwort verwenden. Es gilt somit im Sinne des Erfinders, dass pro digitale Identität ein unterschiedliches Passwort zu wählen ins.
Wir ziehen ein zweites Fazit aus der Sicht «Diebstahl von Passwörtern»: Datendiebstahl kann dazu führen, dass eine Identität kompromittiert wird. Werden Passwörter wiederverwendet, erhöht sich Risiko natürlich erheblich und sogar zur Folge haben, dass sogar mehrere Identitäten davon betroffen sind, ausbreiten, auch wenn diese nichts mit dem eigentlichen Datendiebstahl zu tun haben.
Passwort Policy definieren: Passwort Manager oder Passphrase?
Um eine geeignete Passwort Policy zu definieren, müssen die Wechsel- und vor allem auch die Nebenwirkungen der verschiedenen Faktoren gegeneinander abgewogen werden.
Die getroffenen Massnahmen wie eine erhöhte Länge, Komplexität oder regelmässigen Wechsel von Passwörtern können zu unvorsichtigem Verhalten im Alltag verleiten: Die Benutzer sind geneigt die Passwörter aufzuschreiben oder die gleichen Zeichenkombinationen für unterschiedliche Identitäten zu verwenden.
Unter der Annahme, dass genügend komplexe Passwörter eingesetzt werden, stellt die Mehrfachverwendung von Passwörtern die grösste Gefahr dar für das Passwort als solches dar, da Passwörter heutzutage sehr häufig entwendet werden.
Die zweite Gefahr ist das Aufschreiben von Passwörtern in elektronischer Form auf dem gleichen Gerät. Hierfür braucht es nur geeigneten Werkzeuge und schon ist das Passwort ausspioniert.
An dritter und vierter Stelle der Gefahrenliste stehen das Aufschreiben eines Passwortes auf Papier (kann entwendet werden) und das Inkrementieren von Passwörtern (Test, ob «Passwort2» funktioniert, wenn bekannt ist, dass das bisherige Passwort «Passwort1» war.)
Bei der Passworterstellung können zwei scheinbar einfache, aber sehr wirksame Ansätze verwendet werden:
- Verwendung einer Passphrase, von dem sich der Benutzer nur den jeweils ersten Buchstaben merkt und die Kombination dieser ersten Buchstaben als Passwort verwendet.
- Verwendung eines Passwort Managers. Ein Passwort Manager kann «zufällige» Passwörter (also solche mit hoher Komplexität)erzeugen und für den Benutzer verwalten.
Lesen Sie auch: FIDO 2.0 – die passwortfreie Authentsierung
Erstellung von Passwort Konzepte & Consulting von United Security Providers
Interne Fachspezialisten für das Thema «Passwort Policy» sind häufig leider Mangelware. So werden allfällige Risikofaktoren möglicherweise nicht oder zu spät erkannt und die Gefahren eines Identitätsdiebstahls wird konkret.
Das Consulting Team von United Security Providers unterstützt Sie gern mit dem notwendigen Fachwissen– von der Bedarfsanalyse, über die Erarbeitung von Strategien und Konzepten bis hin zu Umsetzung der eruierten Massnahmen.