Tipps zur Passwortsicherheit

• Updates
  • 2023-05-19: Passkeys ergänzt und Microsofts Empfehlungen von 2FA-Methoden
  • 2024-03-05:
    • Passkeys und FIDO2 weiter konkretisiert
    • Millionenfacher SMS-Sicherheitscode-Leak hinzugefügt

Ich war beim Podcast Methodisch inkorrekt! in Episode 239 mit einen Audiokommentar on air, wo ich etwas zu den Themen "Wie man eine Authentifizierungs-App auswählt" und Passwortsicherheit im Allgemeinen sagen durfte. Der bezog sich auf die Diskussion zum Thema "Google" der Podcast-Episode 238 "Mö Mö", wo Reini einen etwas saloppen Kommentar zu der Thematik geäußert hat.

In diesem Artikel möchte ich den Teil mit den Tipps zum Umgang mit Passwörtern und Zweifaktorauthentifizierung (2FA) beschreiben.

1. Ausschließlich sichere Passwörter verwenden
2. Niemals ein Passwort bei mehr als einem Dienst verwenden
3. Vertrauenswürdigen Passwort-Manager verwenden
4. Wenn wo 2FA angeboten wird, immer 2FA nutzen

Natürlich gibt es hier im Detail noch interessante Dinge zu betrachten. Deshalb gehe ich in den folgenden Kapiteln auf die wesentlichen Fallstricke und Hintergründe etwas näher ein. Falls es phasenweise etwas trocken wird empfehle ich trotzdem, da zumindest einmal durchzusteigen, da die Sicherheit all deiner Daten und auch deines Geldes davon abhängt.

Ich bin ein Fan der als xkcd-Methode bekannt gewordenen Passwortgenerierungsmethode. Ein xkcd-Web-Comic machte diese Methode einer größeren Zahl von Benutzern bekannt.

Die Vorteile der Methode sind, dass die dadurch generierten Passwörter einfach vom Menschen gemerkt werden können, sich durch normale Wörter schnell tippen lassen und trotzdem nur sehr, sehr schwer geknackt werden.

Der Trick besteht darin, etliche normale Wörter zu kombinieren, die nirgendwo auf der Welt in dieser Kombination bereits verwendet wurden. Mit vier Wörtern und den entsprechenden Leerzeichen dazwischen kommt man im Schnitt bereits auf über zwanzig Zeichen. Das ergibt ein langes Passwort, das man dann auch schon als Passphrase bezeichnet. Dessen Entropie (Maß für den Informationsgehalt oder das Chaos) ist durch die Länge so hoch, dass selbst Hochleistungscomputer aktuell Jahrhunderte lang rechnen müssten, um mittels Ausprobierens das Passwort zu knacken.

Wesentlich dabei ist, dass diese Kombination wirklich einzigartig ist. Das lange Passwort "Never Gonna Give You Up" ist durch dessen Verwendung in dem gleichnamigen Song überhaupt kein sicheres Passwort mehr, da Hacker alle bekannten Phrasen aus sogenannten Rainbow Tables rasch herauslesen können. Gleiches gilt für alle Sätze aus allen Büchern, Ortsnamen und in jedem Fall Datumsangaben und Passwörter kleiner als ungefähr zehn bis zwölf Zeichen - das entwickelt sich leider durch stärkere Rechner ständig weiter.

Diverse Passwort-Manager helfen bei der Erstellung solcherart geformten Passwörter, indem sie beliebig viele Wörter aus Wörterbüchern zufällig aneinanderreihen. Dabei kommen Passphrasen wie "super Schloss Regenbogen laufen" heraus. Mit etwas Kreativität kann man sich zu solchen Passphrasen eine mnemonische Gedankenstütze ausdenken, wodurch man sich solche sicheren Passwörter auch einfach merken kann.

Das beste Passwort nützt nichts, wenn es den falschen Menschen ins die Hände fällt. Um dieses Risiko zu minimieren, ist es notwendig, ein Passwort nur für genau einen Service zu verwenden.

Nimmt man diesen Tipp nicht ernst, passiert es leider nur allzu leicht, dass eine Sicherheitslücke bei einem Serviceanbieter (beispielsweise bei einem Essensbesteller) automatisch ermöglicht, dass alle Accounts von anderen Services (beispielsweise Firmen-Account, privater E-Mail-Account, ...) gehackt werden. Entsprechende Computerprogramme von Hackern machen das bereits vollautomatisch, wenn ein Passwort bekannt wird. Die Benutzernamen sind mittlerweile ohnehin häufig nur die (gleiche) E-Mail-Adresse und daher fällt hier das Raten des Benutzernamens weg.

Aus diesem Grunde darf man niemals ein Passwort für zwei verschiedene Zwecke verwenden.

Aus dem vorigen Punkten folgt, dass die Benutzer nun mit einer großen Anzahl an langen Passwörtern konfrontiert werden, von denen man sich meistens nur eine Hand voll merken möchte.

Hier hilft ein vertrauenswürdiger Passwort-Manager.

Ein Passwort-Manager ist eine Software, die beim Öffnen nach einem sogenanntem Master-Passwort fragt. Erst nach erfolgreichem Eingeben des Master-Passwortes öffnet sich die Anwendung und gibt Zugriff auf die darin verschlüsselt gespeicherten Passwörter und andere Informationen frei.

Ich selber habe weit über tausend Einträge in meinem Passwort-Manager, da ich auch Dinge wie Bankomatkarten-PINs, Zahlenschlosskombinationen, teilweise die Passwörter von Verwandten als Backup und so weiter speichere. Und wirklich alle haben unterschiedliche Passwörter.

Wie bereits in diesem Artikel erwähnt, fallen aus Sicht der nachweisbaren Sicherheit als auch Vertraulichkeit alle Cloud-basierten Services automatisch heraus. Es gibt keine Möglichkeit, dass unabhängige Experten den eingesetzten Source-Code als auch die Prozesse rund um einen vertrauenswürdigen Betrieb prüfen könnten.

Niemand kann garantieren, dass ein eventuell böser Angestellter Informationen an interessierte Parteien weiterverkauft. Und gerade bei Passwörtern gibt es sehr viele, extrem gut zahlende interessierte Parteien. Das betrifft alle vergangenen, aktuellen und zukünftigen Angestellten mit direktem oder indirektem Zugriff auf diese Informationen. Das sind hunderte oder tausende potentielle Kandidaten.

Weiters kann die eingesetzte Software Implementierungsschwachstellen haben oder sie wird in falscher Art und Weise verwendet. Da braucht es nicht mal einen böse Absicht, um auf diese Art alle Passwörter zu gefährden.

Bei einem der bekanntesten Passwortmanagement-Services namens LastPass war es im Dezember 2022 soweit. Es musste öffentlich zugegeben werden, das bereits etliche Monate zuvor der absolute Supergau passierte und eine Gruppe von Angreifern Zugriff auf alle Passwörter erlangt hat. Auch heise berichtete darüber. Interessant ist auch diese englischsprachige Quelle, die erklärt, was zwischen den Zeilen aus der Presseerklärung von LastPass herausgelesen werden kann.

Im Zuge des Vorfalls bei LastPass wurde auch bekannt, dass nicht alle Benutzerdaten verschlüsselt wurden. Weiters wurde bekannt, dass ein großer Teil der Passwörter entgegen der Angaben auf der Webseite nur unzureichend verschlüsselt wurde.

Dadurch muss man jedes Passwort, das jemals bei LastPass gespeichert wurde, als kompromittiert betrachten, da nun die Angreifer die abgezogenen, nur teilweise verschlüsselten Informationen in aller Ruhe knacken können. Je nach Passwort und Verschlüsselungsart kann das sehr schnell gehen.

Im Februar 2022 wurden weitere Details an der Sache bekannt, die zeigen, dass die Auswirkungen noch schlimmer waren, als bisher bekannt war.

Sicherheitsexperten warnten bereits Jahre vor diesem Vorfall, dass das einmal passieren wird. Menschen, die Bequemlichkeit vor Sicherheit gestellt haben, sind damit ziemlich auf die Nase gefallen und gefährdeten ihre Sicherheit als auch die ihrer Firmen, Freunde, Verwandten und so weiter.

Insofern sollte das allen Menschen eine Warnung sein, sensitive Daten bei Cloud-Anbietern zu speichern. Weiterführende Informationen dazu kann man in diesem englischsprachigen Artikel lesen. Spätestens danach kann man nicht mehr ernsthaft an vertrauenswürdige Cloud-Anbieter glauben, die nur das Gute für ihre vermeintlichen Kunden im Sinn haben. "Vermeintlich" deshalb, da sie an sich ihren Shareholdern verpflichtet sind. Wenn man den Shareholder-Value erhöhen kann, indem man die Daten der Menschen auch anderweitig nachnutzen kann, ist die Verlockung oft zu groß, hier bewusst auf sehr viel Geld zu verzichten. Data-Broker sind hier nur ein Milliarden-Business von vielen, die hier sehr intensiv locken. Und das ist nur ein einziger Aspekt von sehr vielen, die alle mit dem Verlust der Vertrauenswürdigkeit des Anbieters zu tun haben.

Es nützt nichts, wenn der Computer, auf dem der Passwort-Manager verwendet wird, nicht vertrauenswürdig ist. Spätestens ab dem legitimen Aufsperren oder bei Einlog-Vorgängen durch den Benutzer kann eine Schadsoftware an die Passwörter gelangen.

Aus diesem Grund ist es erforderlich, auch hier einige Dinge zu berücksichtigen.

Ein unabdingbares Muss ist ein aufrechter Support-Zeitraum vom Softwarehersteller als auch das kurzfristige Einspielen von allen Sicherheitsupdates. Das bedeutet, dass man keine Software betreiben soll, für die keine neuen Sicherheitsupdates mehr veröffentlicht werden, wenn Schwachstellen öffentlich bekannt werden. Das gilt insbesondere auch für Handys, sofern der Passwortspeichert auch dort verwendet werden soll. Die meisten Hersteller bieten hier leider keinen langjährigen Support an. Für Windows-Systeme kann man sich hier erkundigen.

Betreibt man ein System außerhalb des Support-Zeitraums, ist man potentiellen Angreifern schutzlos ausgeliefert, die sich aus allen in der Zwischenzeit bekannt gewordenen Schwachstellen die passenden aussuchen können.

Ich persönlich brauche nicht unbedingt einen Passwörterspeicher am Handy und synchronisiere daher nur zwischen Notebook und Desktoprechner (ohne Cloud mittels Syncthing).

Ebenfalls nicht vertrauenswürdig sind Computer, die für andere Personen zugänglich sind. Das sind beispielsweise Familienrechner, wo die Kids alles Mögliche aus dem Internet ausprobieren, geteilte Firmenrechner und insbesondere Computer in Hotels und Internet-Cafés.

Ich persönlich verwende aktuell KeePassXC mit optionalem Syncthing-Share zwischen meinen Rechnern. Doch es gibt eine ganze Reihe von Passwort-Managern, die allgemein als vertrauenswürdig gelten. Mein Artikel zur Auswahl von vertrauenswürdigen Authentifizierungs-Apps gibt Anleitungen zur Wahl solcher sicherheitskritischer Produkte.

Sicherheit ist kein Zustand, sondern ein andauernder Prozess. Zu diesem Prozess gehört es auch, möglichst proaktiv zusätzliche Hürden einem potentiellen Angreifer (Mensch oder Malware) entgegenzustellen.

Eine äußerst effektive Methode im Bezug auf Passwortsicherheit ist eine Zwei-Faktor-Authentisierung, die man auch mit 2FA (two-factor authentification) abkürzt. Dabei verlässt man sich nicht ausschließlich auf die Kombination von Benutzername ("Wer bin ich?") und Passwort ("Ich bin es wirklich"). Als zweites "Geheimnis" kommt hier etwas dazu, auf das ein potentieller Angreifer keinen Zugriff haben soll, selbst wenn das Passwort irgendwie abgegriffen werden kann.

Nebenbei bemerkt ist das auch der Grund, weshalb man möglichst diesen zweiten Faktor nicht mit dem ersten Geheimnis gemeinsam speichern soll. Wenn man am Handy sowohl Passwortmanager als auch Authentifizierungs-App hat, sind bei einem Angriff auf das Smartphone automatisch auch beide Faktoren kompromittiert. Besser wirklich getrennte Faktoren verwenden.

Bei der Auswahl zum zweiten Faktor gibt es durchaus Qualitätsunterschiede. Meine empfohlene Reihung ist:

1. FIDO2 mit physischem USB-Token
   • Es gibt aktuell nichts(!) Besseres in Punkto Sicherheit und Vertrauen.
2. Passkeys
   • Sofern man dem Service-Provider absolut vertraut, da im Gegensatz zu FIDO2 das persönliche Geheimnis (für mehr Bequemlichkeit) gewollt in die Cloud hochgeladen werden kann.
3. TOTP
4. Proprietäre Authenticator-App
5. Einmalcodes per SMS oder E-Mail

Nur FIDO2 und Passkeys schützen vor Phishing-Attacken. Das ist eine sehr wichtige Eigenschaft.

Update 2023-05-19: Laut diesem heise-Artikel sieht Microsoft die Prioritäten folgendermaßen:

1. befristete Zugriffspass
2. zertifikatsbasierte Authentifizierung
3. FIDO2-Sicherheitsschlüssel
4. Push-Benachrichtigungen durch den Microsoft Authenticator
5. zeitbasierte Einmalkennwörtern (TOTP)
6. klassische Telefonie (SMS und Sprachanrufe)

Nicht meine persönliche Meinung.

FIDO2 ("Fast IDentity Online", Version 2) ist ein offener Standard zur Authentifizierung hauptsächlich gegenüber Web-Services.

Dabei braucht es ein vertrauenswürdiges Ding, auch Token genannt, das einen geheimen Schlüssel gespeichert hat. So ein FIDO2-Token bekommt man ab ungefähr 15 Euro (bis ca. 100€). Super investiertes Geld. Perfekt als Geburtstagsgeschenk.

Ein FIDO2-Token sieht aus wie ein kleiner USB-Stick, der beim Einloggen in den Computer gesteckt wird (USB) oder auch per NFC ans Handy gehalten werden muss.

Beim Authentifizierungsvorgang gibt es einen beidseitigen Austausch zwischen dem Web-Service und dem FIDO2-Token. Im Gegensatz zu allen anderen verbreiteten Authentifizierungsmethoden wird hier nicht nur der geheime Schlüssel des Tokens durch den Web-Service verifiziert, sondern auch der Web-Service vom Token indirekt verifiziert.

Dieser vielleicht schwer verständliche Absatz ist auch für den unbedarften Benutzer superspannend, da dadurch eine Phishing-Attacke nicht mehr möglich ist. Es kann also keine Webseite erfolgreich dem Token vortäuschen, eine andere zu sein. Das ist der Grund, weshalb FIDO2 mit Abstand die aktuell beste 2FA-Methode darstellt.

Smartphones bieten vermehrt auch an, als FIDO2-Token zu fungieren. Doch aus den weiter oben besprochenen Gründen bevorzuge ich ein separates USB-Token, da sonst zu viele Dinge vom Smartphone erledigt werden und dem Angreifern die Sache deutlich erleichtert wird.

Mit Passkeys steht hier eine Erweiterung von FIDO2 in den Startlöchern, wo man sogar das Passwort weglässt und neben dem Benutzernamen nur noch das meistens durch Biometrie abgesicherte Passkeys-Token am Handy benötigt. Die Werbung verspricht, dass dadurch das Passwort ersetzt wird.

Klarerweise entspricht Passkeys einer Variante von FIDO2, wo etwas an Sicherheit und Kontrolle zu Gunsten der Bequemlichkeit gepofert wurde.

Doch das würde ich aus diesem Grund nicht empfehlen. Ich bin mir selber zumdem noch unklar, wie sehr sich hier ein Diebstahl vom Smartphone oder der Cloud-Daten auswirken wird.

Weiters muss man bei Passkeys auch ohne aktivierter Cloud-Synchronisation blind den Passkeys-Betreibern (aktuell: Google, Microsoft oder Apple) vertrauen, da das Geheimnis im Gegensatz zu FIDO2 ganz in der Hand der Betreiber liegt und ich dadurch nicht mehr abschätzen kann, ob es zu einem unvorhergesehenen Zugriff gekommen ist oder nicht.

Da bin ich doch viel lieber noch weiterhin bei der Kombination von dem FIDO2-Token in Zusammenhang mit dem Passwort, das getrennt davon gespeichert ist.

TOTP (kürz für "Time-based One-time Password Algorithmus") ist eine relativ sichere Authentifizierungsmethode, die in den meisten Fällen ohne zusätzliche Kosten verwendet werden kann. Eine Smartphone-App, auch Authentifizierung-App genannt, wird mit einem Geheimnis versehen, das in Form eines QR-Codes übermittelt wird. Ab diesem Zeitpunkt kann dann diese Authentifizierungs-App in Kombination vom Geheimnis mit der aktuellen Uhrzeit Einmal-Codes in Form von sechsstelligen Zahlen generieren.

In meinem Artikel zu TOTP-App-Auswahl gehe ich stärker auf diese Methode ein. Bitte lies dir diesen Artikel durch, wenn du mit TOTP arbeiten möchtest.

Diese Methode biete einen recht guten Schutz, solange man aufpasst, Einmalcodes nicht den falschen Personen oder Webseiten (Phishing) versehentlich zu verraten. Das gilt aber für alle Einmalcodes, die man wo eingibt.

Proprietäre Authentifizierungs-Apps, die von den Web-Anbietern direkt zur Verfügung gestellt werden und auch nur für dessen Service Einmal-Codes verschicken, können zwar nicht auf ihre Sicherheit geprüft werden, sind aber immerhin noch besser als gar kein zweiter Faktor.

Banken nutzen diese Authentifizierungsart sehr gerne, da sie aus irgendwelchen, mir nicht erschließbaren Gründen offenbar nicht auf gut getestete Standards setzen wollen.

Ganz unten auf der Vertrauenswürdigkeits-Skala im Kontext von Authentifizierungssystemen stehen das Versenden von Einmalcodes via SMS (smsTAN, mTAN) oder E-Mail. Beide Übertragungswege sind unverschlüsselt und mit relativ einfachem Aufwand für einen engagierten Angreifer zu knacken. Bei diesem Vorfall wurden Millionen von SMS-Sicherheitscodes von Google, WhatsApp und Facebook veröffentlicht.

Ich persönlich bin überzeugt, dass Serviceanbieter gerade die für sie kostenpflichtige, unsichere SMS-Methode nur deswegen verwenden, da sie an deine Telefonnummer gelangen wollen, die für sie viel Geld wert ist. Für die Serviceanbieter wäre TOTP als auch FIDO2 ohne Kosten einfach einzusetzen und sie würden deutlich bessere Sicherheit bieten.

Wenn ich aus irgendwelchen Gründen alle obigen Authentifizierungs-Methoden nicht verwenden kann oder möchte, sind sogar Einmalcodes per SMS oder E-Mail noch besser als gar keine Zweifaktor-Authentifizierung.

Ich hoffe, ich konnte hier einen groben Überblick über die wichtigsten praxisrelevanten Dinge rund um Passwortsicherheit geben.

Bei dem eingangs erwähnten minkorrekt-Audiokommentar erzählte ich auch noch über meine Empfehlungen zur Auswahl von sicheren Apps zur Authentifizierung. Das kannst du bei diesem Artikel lesen, wo auch mit guten Quellen gezeigt wird, dass man die beliebteste TOTP-App "Google Authenticator" nicht verwenden soll.