Kommentar: Sicherheit
Passwörter bleiben unsicher
Längere und komplexere Passwörter verzögern nur das unvermeidliche Aus der klassischen Computer-Sicherheit. Dies bedeutet jedoch auch, dass künftig die Sicherheit der Systeme und Anwendungen nie wieder so einfach zu realisieren sein wird.
Eine Analyse der gestohlenen Zugangsdaten von Wordpress kommt zu der Erkenntnis, dass Google-Mail-Nutzer einige Mühe darauf verwenden, entsprechend sicherer Passwörter zu wählen. In der Praxis werden diese Bemühungen oft dadurch untergraben, dass den Nutzern nicht klar ist, wie ein sichereres Passwort zu gestalten ist.
Es ist eine unabänderliche Tatsache, dass Computer-Nutzer schwache Passwörter wählen. Dies lässt sich auch nicht durch Aufklärung und Appelle an die Anwender ändern oder beeinflussen. Im Jahr 2014 tauchten 10 Millionen Gmail-Passwörter auf einem russischen Bitcoin-Forum auf. Diese wurden vom Forscher Mark Burnett analysiert. Wie erwartet, waren die 50 am häufigsten genutzten Passwörter leicht zu erraten. Das berühmt-berüchtigte „12345“ verteidigte souverän seinen ersten Platz.
Ein interessantes Problem stellt die große Anzahl von Benutzern dar, die ein Passwort einfach durch eine Reihe angehängter Zahlen verbessern will. In der Regel sind das nur zwei Zahlen. Etwa 8,4 Prozent der untersuchten Passwortdateien endete mit einer Zahl zwischen 0 und 99. An 20 Prozent der Passwörter wurde nur eine Zahl angehängt.
Es ist jedoch nicht bekannt, warum die Anwender diese „Passwortverbesserungen“ wählen. Einige Analysten spekulieren, dass die Benutzer dasselbe Passwort in mehreren Anwendungen nutzen. Durch das Addieren von Zahlen zu den Ziffern hängen die Nutzer wahrscheinlich eine Variable an, die für sie einen Unterschied zwischen den genutzten Passworten schafft.
Ein durchschnittliches Google-Mail-Passwort ist acht Zeichen lang und weist ein relativ geringes Maß an Unordnung (Entropie) auf. In der Praxis erreichen die gängigen Google-Mail-Passworte nur eine Entropie-Punktzahl von 21,6, wobei Null keine Entropie und 100 eine extrem hohen Entropie darstellt. Es gibt jedoch keine einheitliche Methode zur Messung der Entropie. In der oben erwähnten Analyse der Passworte wurde der Zxcvbn-Estimator von Dan Wheeler genutzt.
Es ist auch erwähnenswert, dass auf der Wheeler-Skala offenbar Passwörter wie "gue55able" (neun Zeichen lang und acht verschiedene Zeichen) ziemlich schlecht abschneiden, da bei diesen ein leicht zu erratendes Muster verwendet wird. Die Entropie fordert die Vermeidung solcher Muster.
Einen weiteren schlechten Einfluss übt die QWERTZ-Tastatur aus. Die von den Menschen auf dieser Tastatur scheinbar zufällig erdachten Zeichenketten (beispielsweise „ qwertyuiop“, „asdfghjkl“ oder "zxcvbnm“) generieren, lassen sich ganz und leicht auch ohne Passwort-Cracker erraten.
Bei der Absicherung der Passwörter drehen wir uns immer noch im Kreis und keine praxistaugliche Lösung ist in Sicht. Es ist eine Tatsache, dass Kennwörter mit alarmierender Regelmäßigkeit „geknackt“ werden. Dabei müssen wir jedoch bedenken, dass dies passiert, obwohl Google-Mail die Passwörter innerhalb von Google verschlüsselt. Diese Passwörter kommen über andere Kanäle, die nicht mit den Google-Diensten verbunden sind, an die Öffentlichkeit. Die Nutzer verwenden die gleichen Passwörter mehrfach und erhöhen dadurch zwangsläufig die Gefahr der Aufdeckung selbst von komplexen Passwörtern.
Auch ist es nicht schwer, ein Passwort mit einer realen Person zu verbinden. Ohne große Mühen konnten 78.000 Nutzer der 10 Millionen Gmail-Passwörter des russischen Bitcoin-Forums ermittelt werden. Unter den so entdeckten Nutzern gehörten viele zu den leitenden Angestellten vieler Unternehmen. Dies gibt auch Hinweise darauf, was die Ursache für die Hacks auf hochkarätige Promi-Accounts sein kann.
Daher ist es kein Wunder, dass Yahoo kürzlich beschlossen hat, die klassischen Passwörter durch zeitkritische Telefonzugangscodes, die vom Nutzer jedes Mal bei der Anmeldung angefordert werden mussten, zu ersetzen. Natürlich ist auch dieses Zugangsverfahren nicht zu 100 Prozent sicher, denn Kriminelle könnten die Telefone bereits vor der Generierung des Zugangscodes kompromittiert haben. Trotzdem gilt dieses System als wesentlich sicherer als das klassische Nutzer/Passwort-System. Letzteres wird zunehmend verschwinden, da das Nutzerverhalten trotz aller Apelle sich nicht grundlegend ändern wird.
Lesen Sie mehr zum Thema
