Digitale Identitäten und Passwortsicherheit – Teil 2

Chance und Zankapfel Passwortpolicy

Im ersten Teil dieses Posts haben wir uns verschiedenen Authentisierungsmittel und deren Aufgaben auseinandergesetzt. Im zweiten Teil möchten wir uns nun etwas praktischer mit dem Thema Passwortsicherheit beschäftigen. Dazu müssen wir uns zuerst die Frage stellen, wie wir die Sicherheit eines Passwortes überhaupt beurteilen wollen.

Ein Passwort hat eine einzige, eigentlich ziemlich simple Aufgabe: Den Nachweis (oder eben die Authentisierung) von Besitzerschaft und damit der legitimen Ausübung von Kontrolle über eine digitale Identität. Wenn wir von «Sicherheit» eines Passwortes reden, dann meinen wir damit eigentlich die Fähigkeit eines Passwortes, seine Aufgabe zu erfüllen. Ein Passwort, welches zulässt, dass eine Person die Kontrolle über eine digitale Identität erlangt, welche dieser Person nicht gehört, würden wir somit als unsicher bezeichnen.

Es existieren eigentlich nur zwei unterschiedliche Möglichkeiten, wie eine unbefugte Person, ein Angreifer, in den Besitz eines Passwortes kommen und damit in unerlaubter Weise Kontrolle über eine digitale Identität ausüben kann:

  1. Das Passwort wird von einem Angreifer erraten.
  2. Das Passwort wird von einem Angreifer gestohlen.

Die Wahrscheinlichkeit, dass einer dieser Fälle eintritt, hängt von verschiedenen Faktoren wie z.B. Länge und Komplexität von Passwörtern ab.

Aussagen zu Länge, Komplexität oder auch der Erneuerung von Passwörtern sind üblicherweise Bestandteil von Passwortpolicies. Erfahrungsgemäss existieren bezüglich dieser Passwortpolicies mindestens so viele Ansprüche und Meinungen wie Mitarbeiter und technische Massnahmen zur Durchsetzung sorgen regelmässig für rote Köpfe und überlastete Helpdesks. Auch einschlägige Standards (z.B. NIST oder BSI) helfen nicht immer weiter, da diese teilweise ebenfalls unterschiedliche Aussagen machen.

Wir möchten deswegen im Folgenden ein paar Überlegungen anstellen, die in die Definition einer zweckmässigen Passwortpolicy einfliessen sollten. Dabei betrachten wir die obigen beiden Fälle getrennt:

1. Erraten von Passwörtern

Die Kombination (!) aus Länge und Komplexität eines Passworts bestimmt massgeblich, wie schwierig bzw. aufwendig es für einen Angreifer ist, dieses zu erraten:

  • Der Aufwand für das Erraten eines Passworts erhöht sich exponentiell mit der Länge des Passworts.
  • Die Komplexität des Passworts bestimmt dabei, wie «stark» exponentiell dieser Aufwand mit steigender Länge wächst. Mit Komplexität ist hier die «Zufälligkeit» des Passwortes gemeint; für ein komplett zufälliges Passwort wird ein Angreifer statistisch gesehen im Mittel die Hälfte aller Kombinationen einer bestimmten Länge durchprobieren müssen. Da wir nicht wissen, an welchem «Ende» einer Sequenz von Kombinationen der Angreifer anfängt zu raten bzw. wie er seine Sequenz ordnen wird, existiert (wiederum im statistischen Mittel) kein besseres als ein komplett zufälliges Passwort.

Der Aufwand für das Erraten des Passwortes ergibt sich durch die Anzahl der kombinatorischen Möglichkeiten: m^L, wobei m die Anzahl unterschiedlicher Zeichen, die zur «Auswahl» stehen und L die Länge des Passworts bezeichnen. Werden z.B. alle Gross- und Kleinbuchstaben sowie Ziffern von 0-9 zugelassen ergeben sich für m = 2*26+10 = 62 und für ein Passwort der Länge L=3,  bereits m^L = 62^3 = 62*62*62 = 238328 kombinatorische Möglichkeiten. Ein handelsüblicher Laptop ist in der Lage all diese Kombinationen innert Sekunden zu berechnen.

Lassen Sie uns ein erstes Fazit aus Sicht «Erraten von Passwörtern» ziehen:

Grundsätzlich erhöhen Länge und Komplexität absolut gesehen, den Aufwand um ein Passwort zu erraten, und damit die Passwortsicherheit

2. Das Passwort wird von einem Angreifer gestohlen.

In einer älteren Version der «Digital Identity Guidelines» der amerikanischen NIST-Behörde wurde empfohlen, Passwörter regelmässig zu wechseln. Dieser Aussage liegt die Annahme zugrunde, dass Passwörter von Zeit zu Zeit kompromittiert, also einem Angreifer zugänglich gemacht (oder auch  erraten) werden. Diese Annahme ist leider nach wie vor absolut zutreffend. Man denke an Vorkommnisse wie den Diebstahl von 3 Milliarden (!) Benutzeraccounts bei Yahoo aus dem Jahr 2014. (Besonders gravierend in diesem Beispiel ist, dass dieser Vorfall erst rund zwei Jahre später im September 2016 bekannt wurde.) Solche gestohlenen Datensätze tauchen anschliessend häufig in Untergrundmarktplätzen zum Verkauf auf und können anschliessend (unter bestimmten Voraussetzungen) für missbräuchliche Zugriffe genutzt werden.

Man kann sich nun die Frage stellen, ob der regelmässige Wechsel von Passwörtern die richtige Strategie ist, um diesen Voraussetzungen zu begegnen. Die Antwort liegt wiederum in der Frage nach der Aufgabe eines Passworts welche wir uns am Anfang dieses Posts gestellt haben: Ein Passwort soll zur Authentisierung von Besitzerschaft über eine digitale Identität (und eben nicht mehreren Identitäten!) verwendet werden. Der regelmässige Wechsel eines Passwortes (z.B. alle drei Monate) ist also das richtige Mittel um den Schutz einer digitalen Identität, deren zugehörige Authentisierungsmittel gestohlen wurden, wiederherzustellen.

Es besteht hier immer eine gewisse Wahrscheinlichkeit, dass ein Diebstahl direkt am Anfang einer Periode stattfindet, in welcher das gleiche Passwort für die Authentisierung verwendet wird. Üblicherweise nimmt man dieses Risiko in Kauf.

Die Problematik verschärft sich aber massiv, wenn Passwörter mehrfach, d.h. für unterschiedliche Identitäten, wiederverwendet werden. Es reicht in diesem Fall aus, nur eine von vielen Identitäten zu kompromittieren um Zugang zu allen Identitäten zu erhalten, welche das gleiche Passwort verwenden. Passwörter sollten also im Sinne des Erfinders genutzt werden, so dass immer genau eine Identität genau einem Passwort zugeordnet werden kann.

Wir ziehen ein zweites Fazit aus der Sicht «Diebstahl von Passwörtern»:

Datendiebstahl kann dazu führen, dass eine Identität kompromittiert wird. Werden Passwörter wiederverwendet, erhöht sich die Wahrscheinlichkeit, dass dies passiert massiv und kann sich sogar auf Identitäten ausbreiten, welche nichts mit dem geschehenen Datendiebstahl zu tun haben.

Und welche Grundsätze gehören nun in eine Passwortpolicy?

Um eine geeignete Passwortpolicy zu definieren, müssen die Wechsel- und vor allem auch die Nebenwirkungen der verschiedenen Faktoren gegeneinander abgewogen werden. Massnahmen wie erhöhte Länge, Komplexität oder häufiger Wechsel von Passwörtern können beispielsweise schädliches Verhalten wie Aufschreiben und die Wiederverwendung von Passwörtern für verschiedene Identitäten fördern.

Vorausgesetzt, es werden generell genügend komplexe Passwörter eingesetzt, stellt die Mehrfachverwendung von Passwörtern in den meisten Fällen die grösste Gefahr dar, da heutzutage relativ häufig Passwörter entwendet werden. Dies wird an zweiter Stelle gefolgt, vom Aufschreiben von Passwörtern in elektronischer Form auf dem gleichen Gerät, denn dies kann mit geeigneten Werkzeugen ausspioniert werden. Das Aufschreiben auf Papier (kann entwendet werden) und das Inkrementieren von Passwörtern (ein Angreifer wird relativ schnell ausprobieren, ob «Passwort2» funktioniert, wenn er das alte «Passwort1» kannte) folgen auf dritter und vierter Stelle.

Als Benutzer, oder Autor einer Passwort-Policy, stehen Ihnen verschiedene Möglichkeiten zur Verfügung, mit Hilfe derer Sie sich in diesem Spannungsfeld positionieren können. Im Folgenden zeigen wir Ihnen zwei Möglichkeiten auf:

  1. Verwendung einer Passphrase von welcher Sie sich nur jeweils den ersten Buchstaben merken und die Kombination dieser ersten Buchstaben als Passwort verwenden.
  2. Verwendung eines Passwortmanagers. Ein Passwortmanager kann «zufällige» Passwörter (also solche mit hoher Komplexität, z.B. «PZxDF2m?Vne,-_CokaWUCb») erzeugen und für Sie verwalten.

Grafik PasswortsicherheitDie Consultants von United Security Providers unterstützen Sie gerne dabei, basierend auf den obigen Aussagen systematisch, unter Berücksichtigung Ihrer speziellen Situation, eine für Ihr Unternehmen geeignete Passwortpolicy zu erarbeiten.

Details zum Autor

Mischa Obrecht

Mischa Obrecht

Kommentar hinterlassen?