Nach dem großen Datenskandal im Januar 2019 durch den Hacker 0rbit fragen sich natürlich viele, ob ihre Daten überhaupt ausreichend geschützt sind.
In diesem Beitrag gebe ich einen kurzen Abriss darüber, warum man nicht mehr alleine auf Passwörter als Schutz vertrauen sollte.
Jedes Passwort kann geknackt werden
Ich stelle hier einfach mal die gewagte These in den Raum, dass absolut jedes Passwort geknackt werden kann. Egal wie lange und wie komplex.
Wie das? Wechseln wir hierfür einfach zu einem Beispiel aus dem echten Leben. Wenn ich in ein Haus einbrechen will und alle Haustürschlüssel der Welt in meiner Hosentasche habe, werde ich zwangsläufig durch ausprobieren irgendwann den richtigen Schlüssel finden. Der Unterschied liegt nur in der Zeit, die ich dafür brauche.
Bei Passwörtern ist es genauso. Ich kann jedes Passwort knacken, wenn ich einfach alle Möglichkeiten durchprobieren.
Diese Art von Attacke nennt sich brute force („rohe Gewalt“). Hier wird durch ein Programm einfach jedes Passwort von AAAAAA bis 999999 durchprobiert. Inklusive aller Sonderzeichen. Man sieht hierbei schon deutlich, dass ein längeres Passwort die Dauer so einer Attacke um ein vielfaches erhöht. Zusammen mit diversen Sicherheitsmechanismen der Anbieter würde es Jahrzehnte dauern, ein Passwort mit einer Länge von 15 oder mehr Zeichen zu erraten.
Da dies für keinen Hacker eine wirklich lukrative Methode ist um an fremde Daten zu kommen, bedient man sich einer anderen Lösung. Den sogenannten Passwortlisten. Auf diesen finden sich Passwörter, die durch Datenleaks an die Öffentlichkeit gekommen sind. Also Passwörter, die definitiv mal irgendwo gültig waren. (Wie sowas passieren kann, habe ich bereits im letzten Beitrag im Bereich „Öffentliche Passwörter“ erklärt.)
Neben den All-Time-Classics wie „12345“, „Passwort“ oder „admin“ finden sich dort dann natürlich auch speziellere Passwörter. Dies senkt die Angriffzeit um ein vielfaches, da jetzt selbst eigentlich gute Passwörter kein Problem mehr darstellen.
Deswegen wird von IT Experten immer wieder empfohlen, verschiedene Passwörter zu verwenden und diese in regelmäßigen Abständen zu ändern.
Höhere Sicherheit bei geringem Aufwand
Problematisch bei dieser Sache ist nun der Aufwand, den eine gute Passwortorganisation mit sich bringt.
Falls ich mir die unterschiedlichen Passwörter nicht merken will, muss ich eine persönliche Passwortliste führen. Und diese muss ich wiederum sicher aufbewahren, da das beste Passwort nichts nützt, wenn es offen auf dem Tisch liegt.
Genau für dieses Problem gibt es Passwortspeicher. Mit diesen Programmen kann man seine Passwörter effizient und sicher verwalten. Sie generieren für jeden Dienst sichere Kennwörter und speichern diese. Da man die Passwörter dabei nur noch kopiert und nicht mehr umständlich abtippen muss, stört es auch nicht, wenn die Passwörter recht komplex sind.
So muss man sich nur ein einziges Masterpasswort merken – jenes um den Passwortspeicher selber zu entsperren.
Passwortmanager gibt es sowohl in der Cloud als auch lokal. Als führender Cloudanbieter hat sich LastPass herauskristalisiert.
Wer es lieber lokal möchte, sollte sich Keypass2 anschauen.
Passwörter alleine reichen nicht mehr
Anbieter mussten schon immer Funktionen bereit stellen, um vergessene Passwörter neu setzen zu können. Die „Passwort vergessen“-Funktion schickt in der Regel eine eMail mit einem Link an die hinterlegte eMail Adresse. Mit diesem Link lässt sich nun das Passwort neu setzen.
Da man für verschiedene Dienste die gleiche eMail Adresse benutzt, kommen diese eMails natürlich gesammelt an einem Ort an. Das macht den eMail Account des Opfers zum lukrativsten Ziel des Angreifers.
Die wichtigste Aufgabe um einen guten Schutz zu gewährleisten, ist deshalb die Absicherung dieses eMail Accounts.
Nur ein komplexes Passwort zu haben reicht hier nicht aus!
Um unseren eMail Account zu sichern benötigen wir neben einem komplexen Passwort auch noch die Multi-Faktor-Authentifizierung, kurz MFA.
Multi-was?
MFA bedeutet nichts anderes, als dass sich nicht nur auf einen „Faktor“ (im Normalfall das Passwort) verlassen wird, sondern noch mindestens ein zweiter Faktor dazu kommt, welcher mit einem Medienbruch einhergehen muss.
Das habe ich jetzt komplizierter geschrieben als eigentlich nötig. Allerdings lässt sich das Prinzip ganz leicht an einem Beispiel erklären, welches jeder von uns kennt und nutzt: Die Bankkarte.
Um Geld am Automaten abheben zu können, benötige ich zwei Faktoren: Meine Bankkarte und meine Pin.
Damit hätten wir jetzt schonmal geklärt, was die beiden Faktoren sind. Aber was bedeutet in diesem Zusammenhang „Medienbruch“?
Das bedeutet ganz einfach, dass die Arten der Faktoren unterschiedlich sein müssen. Nehmen wir mal an, ich würde statt der Pin eine zweite Karte bekommen und zur Auszahlung muss ich immer beide Karten in den Geldautomaten stecken.
Wäre das sicher? Sicher nicht! Denn selbst wenn ich die Karten nicht im selben Geldbeutel aufbewahre, könnten sie beim Abhebevorgang ausgelesen werden und Kriminelle würden sich dann einfach ein neues Paar Karten mit meinen Daten erstellen.
Durch den Medienbruch, der dadurch entsteht, dass ich die Karte im Geldbeutel und die Pin im Kopf habe, bin ich schonmal deutlich besser vor Datendiebstahl geschützt. Denn eine Kopie der Bankkarte ohne die Pin nützt einem Kriminellen im ersten Moment wenig.
Arten der Authentifizierung
Bei den Faktoren unterscheidet man zwischen drei großen Bereichen: Haben – Sein – Wissen
Hier mal ein paar Beispiele, was das genau heißen soll:
1. Nochmal die Bankkarte
Hier HABE ich die Karte und die Pin muss ich WISSEN. Damit sind Haben und Wissen erfüllt.
2. Ein Türschloss mit Kartenleser und Fingerabruckscanner
Hier HABE ich die KARTE und BIN die richtige Person. Damit haben wir die Faktoren Haben und Sein erfüllt.
3. Ein Banktresor mit Kartenleser, Irisscanner und Pinpad
Ich HABE die Karte für den Tresor.
Für den Irisscanner muss ich eine authentifizierte Person SEIN
Und den Pin muss ich WISSEN
Damit habe ich alle drei Faktoren erfüllt.
Sobald mindestens zwei Faktoren eingesetzt werden, gilt eine Authentifizierung als sicher und schwer zu knacken.
Wo bekomme ich jetzt einen Fingerabdruckleser her?
Der ist gar nicht nötig. Smartphones können inzwischen sehr gut den als zweiter Faktor benutzt werden.
Bei nahezu allen großen eMail Anbietern gibt es die Möglichkeit, die MFA zu aktivieren. Meist installiert man sich hier eine App auf das Smartphone, die alle paar Sekunden einen neuen Code generiert. Diesen Code gibt man dann zusätzlich zum Passwort ein.
Um nun in einen fremden Account zu kommen, müsste der Angreifer deswegen nicht nur das Passwort WISSEN, sondern auch das Smartphone HABEN. Damit sind zwei Faktoren notwendig und unser Account ist nach aktuellem Stand der Technik geschützt.
Besonders die oben genannten Passwortspeicher MÜSSEN per MFA geschützt werden. Alles andere wäre, besonders für Firmen, grob fahrlässig.
Fazit
Es ist inzwischen gar nicht mehr so schwer, seine Accounts abzusichern. Nicht nur die Mailanbieter sondern auch Dienste wie Facebook oder Amazon bieten die MFA an.
Komfort und Sicherheit schließen sich aber leider gegenseitig aus:
Will ich es komfortabel, leidet die Sicherheit.
Will ich es sicher, muss ich mehr Daten zur Authentifizierung eingeben. Dadurch leidet der Komfort.
Hier ist es wie überall: Es ist wichtig, das richtige Maß zu finden.
Dafür sollte man sich einfach mal hinsetzen und sich überlegen, welche Accounts „wichtiger“ sind, weil sie evtl. den Zugriff auf andere Dienste freigeben könnten. Wie bereits angesprochen wären hier eMail Anbieter und Passwortspeicher die wohl offensichtlichsten. Diese müssen deshalb auch entsprechend „hart“ geschützt werden.
Falls Unternehmen in der Region ein Konzept für das Passwortmanagement benötigen, stehen wir natürlich mit Rat und Tat zur Seite 😉
Zum Abschluss noch ein Wort zur SMS als zweiten Faktor:
Manche Anbieter wie z.B. die Sparkasse bieten auch SMS als zweiten Faktor an. Diese Lösung ist allerdings nicht sehr sicher.
Sich einen Code per SMS schicken zu lassen ist besser als gar keine MFA aktiviert zu haben. Aber falls möglich, sollte ein anderer Faktor gewählt werden, da sich SMS zu leicht von einem Angreifer abfangen lassen.