In letzter Zeit lese ich wieder vermehrt Blog-Beiträge/Tweets/etc. zu sicheren Passwörtern und gerne wird dort über den xkcd Comic “hergezogen” (wie meist ja gut nachzulesen aber auch zu Recht ;-).
Ich stimme den Beiträgen eigentlich immer zu:
- Mindestlänge von 12 Zeichen (imho: je mehr desto besser, selbst verwende ich wenn möglich mindestens 18-22 Zeichen)
- es sollten keine persönlichen Daten enthalten sein
- Keine Wörter aus einem Wörterbuch
- Auch nicht, wenn diese abgewandelt sind (s. Liste bei schneier.com)
- Jeder Dienst sein eigenes Passwort
Eine nette Idee, welche ich früher immer angewandt habe, war die Abkürzung eines Satzes/Absatzes, sodass man inklusive Satzzeichen, Austauschen von Buchstaben mit Zahlen und gezielter Groß-/Kleinschreibung auf mindestens 12 Zeichen kommt. Ein Beispiel auf die Schnelle:
Dies ist das Wichtigstes aller wichtigen Passwörter, welche es auf der ganzen Welt überhaupt nur geben kann. Glaubt mir! = DidWawp,w3AdGWu3ngk.Gm!
Und schon hat man ein Passwort mit 23 Zeichen, Groß-/Kleinschreibung, Sonderzeichen, welches nichts mit Wörtern aus einem Wörterbuch zu tun hat und man sich relativ gut merken kann. Bei der Fülle an Diensten, für die man aber in der heutigen Zeit ein Passwort benötigt, wird dies irgendwann doch etwas lästig. Ich muss gestehen, dass ich für absolut unwichtige Dienste (TV-Programm zusammenstellen, Anime-Datenbank, oder ähnliches), also alle Dienste um die niemand trauert, wenn Sie weg sind, ein Standard-Passwort mit jeweiligen verschiedenen Abwandlung habe.
Und für alles andere nutze ich mittlerweile ausschließlich KeePass (ein kleines kostenloses Programm zur Generierung und verschlüsselten Speicherung der Login-Daten). Bei wichtigen Sachen werden nur diese Passwörter verwendet. Unter Windows kann man die Passwörter und Benutzernamen auch per Copy&Paste – mit automatischer Löschung dieser Daten aus dem Zwischenspeicher – jeweils nutzen.
Dennoch irgendetwas stört mich immer noch und immer wieder:
Was nützt es den Benutzer, wenn er die besten Passwörter der Welt hat, die er sich auch mal merken kann, wenn immer wieder Internetfirmen/Webseitenbetreiber die Passwörter nicht vernünftig speichern? Erst vor Kurzem ist mir dies beim Support von LaCie (auch hin und wieder in einigen älteren Foren) wieder aufgefallen: Wieso werden meine Passwörter bitte in Klartext auf einem Server gespeichert und wenn man auf “Passwort vergessen” klickt flattern diese per E-Mail in den virtuellen Briefkasten? Hier könnte ich mich jedes Mal wieder aufregen. Alleine da man alle paar Monate lesen darf (oder eher muss), dass ein Server kompromittiert und die Passwöter/Passwort-Hashs gestohlen wurden. In der Regel werden solche Accounts auf Servern mit Klartext-Passwort-Speicherung dann auch direkt von mir gelöscht… Und da man sowas nicht immer direkt mitbekommt, ist das auch der Hauptgrund für mich Keepass zu nutze und mir nicht mehr “fancy” Passwörter auszudenken, die ich mir gut merken kann.
Genauso rege ich mich über die Seite auf, bei denen die Passworteingabe beschränkt ist: höchstens 16 (manchmal sogar höchstens 12) Zeichen. Keinerlei Sonderzeichen, vielleicht ausnahmsweise einen Punkt. Bitte was? Hier kann man sich doch nur die Hände über dem Kopf zusammenschlagen. Was denken sich die Leute eigentlich dabei? Wie soll der “normale” Internet-Benutzer so zu sicheren Passwörtern geführt werden? Zumal: Werden dann mal Sonderzeichen erlaubt, so prüfen die meisten Passwort-Sicherheits-Prüfer nur die Anzahl der Zeichen und Verwendung verschiedener Zeichengruppen. Somit würde z.B. “maNu3ldiE.2602” als sicher bis sehr sicher einstufen werden (ja bereits selbst sehr häufig “zum Spaß” getestet). -.- Betrachtet man die “Anatomie” des Passwort wie in den weiterführenden Links von Schneier, erkennt man aber, dass dies mit eines der unsichersten Passwörter schlechthin sein dürfte. Nur noch getoppt von “password” und dem aus Spaceballs bekanntem “12345”…
Ich wünsche mir einmal Webseiten, welche mir die Auswahl der Verschlüsselung meiner Daten/Passwörter geben: SHA-256, SHA-512, Blowfish, etc.pp., natürlich mit den entsprechenden Parametern. Hier reicht ja auch eine kleine Abfrage “Wie soll ihr Passwort verschlüssel werden: gut, stark, sehr stark, zu stark? Bitte beachten Sie: Je stärker die Verschlüsselung ist, desto länger benötigt der Login.” Aber was interessiert mich eine Login-Zeit von 60 statt 3 Sekunden, wenn ich dafür weiß, dass meine Passwörter sicher gespeichert sind? Selbst wenn Unbefugte an meinen Passwort-Hash gelangen dauert dann jeder Vergleichs-Versuch vielleicht zwischen 30-60 Sekunden. Leider ist das alleine wirtschaftlich wohl nicht umsetzbar. Aber wer weiß, auf einen Versuch käme es an. Viele Nutzer sind bequem und möchten den schnellen Login eher. Andere die starke Verschlüsselung.
Ein Minimum für mich wäre die Transparenz der Webseiten, die mir sagen, dass mein Passwort verschlüsselt gespeichert wird und wenn möglich auch mit welchem Verfahren, denn “passwords are like underwear” und gehen auch keinen System-Admin etwas an.
PS: Mein eigener, kleiner Online-Passwort-Generator (s. im Menü rechts oder unter http://pass.manuel-dietrich.de) steht standardmäßig auf 16 Zeichen, allerdings ohne Sonderzeichen, da diese im Web leider immer noch häufig nicht angenommen werden 🙁 .
Eigentlich fehlt jetzt aber in Deinem Beitrag noch was zu multi-factor authentication 😉
^.^ prinzipiell ist das auch eine gute Idee und hab deswegen auch extra für meine eigenen Webseiten einen Web-SMS-Service.
Allerdings sehe ich die Gefahr, dass die Otto-Normal-Benutzer mit diesen Diensten eher zu Passwort-Recyclern werden und diese (vermutlich auch nicht sooo sicheren) Passwörter auch dort nutzen, wo es keine Two-Factor-Auth gibt. Und wenn die Passwörter nicht vernünftig gesichert sind, oder sogar im Klartext bei einigen Webseiten…. Ach, ich reg mich irgendwie gerade wieder auf 😀
Das wollte ich jetzt nicht, dass Du Dich aufregst.
Ich dachte nur, wenn Du eh drüber schreibst, wäre das eine interessante Fortsetzung des letzten posts.
das ist jetzt ie