Die Mär vom „sicheren“ Passwort

By | 11. August 2014

Moinsen.

Panik! Anarchie! Weltuntergang!

Man kann gar nicht dramatisch genug werden, immerhin haben sich  „Russische Hacker“ so Pi mal Daumen 1,2 Milliarden Passwörter erhackt! Nichts ist mehr sicher! Die bösen Russen wieder, kommen aus dem Nichts und machen unser schönes Internet kaputt!

Ok, wenn man mal davon absieht, dass die ganze Sache ein in meinen Augen ein bisschen „fischig“ riecht. Immerhin will die Firma, die diesen vermeintlichen Datenraub aufgedeckt haben will, Kohle damit machen. Für günstige 120$ können Seitenbetreiber dann anfragen, ob sie vielleicht betroffen sind. Ganz obskure Nummer.

Um mal vielleicht ein bisschen Realismus in diese Diskussion zu bringen, empfehle ich diesen Beitrag vom Security- und Crypto-Guru Bruce Schneier, in dem er vollkommen zurecht darauf aufmerksam macht, dass relativ wenig auf einen großen Impact dieses Diebstahls hinweist.

Zitat:“ We’re not seeing massive fraud or theft. We’re not seeing massive account hijacking. A gang of Russian hackers has 1.2 billion passwords — they’ve probably had most of them for a year or more — and everything is still working normally. This sort of thing is pretty much universally true. You probably have a credit card in your wallet right now whose number has been stolen.“

Lest euch das mal in Gänze durch, Schneier ist schon eine Instanz wenn es um  Computersicherheit geht.

Anyway, worauf ich damit eigentlich hinaus will, sind die unzähligen „So wählen Sie ein sicheres Passwort/So schützen Sie sich besser im Netz“ Artikel, die so gut wie alle Medienvertreter in der Bugwelle dieser Meldung wieder unters Volk bringen.

Prinzipiell haben alle diese Artikel ja im Kern auch Recht, trotzdem habe ich ein großes Problem damit.

Die meisten Artikel fahren die Schiene „Je länger, komplexer und zufälliger das Passwort ist, desto sicherer ist es definitiv auch.“ Diese Ansicht stimmt aber nur zum Teil und nur in einigen Fällen. Nämlich dann, wenn böse Russen, chinesische Hacker o.ä. entweder ganz gezielt einen spezifischen Account per Brute Force, sprich durch automatisches Ausprobieren möglichst vieler Username/Passwort Kombinationen, hacken wollen. Wer da ein einfaches Passwort hat, dessen Account ist in Sekundenbruchteilen offen.

Allerdings ist das wohl schon länger nicht mehr der häufigste Fall.

Die zweite Möglichkeit ist, dass die Hacker an gehashte Datenbanken von Username/Passwort gelangen. Auch hier ist derjenige klar im Vorteil, der ein möglichst zufälliges Passwort hat. Für die gängigsten Passwörter gibt es nämlich schon längst, analog zu den Wortlisten beim Brute Force, sogenannte „Rainbow Tables„, in denen bekannte Hashes für eine Unzahl an möglichen Passwörtern gespeichert sind. Wenn die erbeuteten Datenbanken nicht „gesalzen“ sind, sind mit diesen Tables und der heute verfügbaren Rechenleistung die häufigsten Passwörter ebenfalls mit sehr geringem Zeitaufwand zu knacken.

Jetzt kommen wir aber zu dem Punkt, der in der Berichterstattung imho zu kurz kommt. Oftmals gelangen Hacker nämlich ganz einfach an Klartext-Datenbanken von Passwörtern. Ob jetzt durch Können oder himmelschreiende Sicherheitslücken ist da jetzt mal egal. So ist es mir z.B. damals mit „PricewaterhouseCoopers“ ergangen, die ihre komplette Bewerberdatenbank mit allen Daten irgendwo auf einen chinesischen Server outgesourced hatten, auf den sich quasi jeder ohne großen Aufwand Zugang verschaffen konnten. Tolle Nummer.

Und in so einem Fall ist es nun mal leider scheißegal, wie lang, zufällig und komplex das Passwort ist. Geklaut ist geklaut, ob das Passwort jetzt 1234 oder Adjl§42XtrzpiÖpü heißt, ist in diesem Fall total schnuppe. Das ist nun mal einfach so, wer sich heutzutage irgendwo im Netz einen Zugang zulegt, muss davon ausgehen, dass die Daten mit relativer Wahrscheinlichkeit gehackt/geklaut werden.

Diese Gewissheit muss noch so ein bisschen ins kollektive Bewusstsein durchsickern, und ich finde es falsch, dieses Tatsache in der ganzen Berichterstattung so ein bisschen totzuschweigen. Es ist nun mal so, da helfen auch keine sicheren Passwörter.

Was ich wieder unterschreibe ist der Aufruf zum „Separieren“ von Daten.

Nicht überall die gleiche Username-Passwort Kombination verwenden, aktivieren von 2 Faktor Authentifizierung wenn es möglich ist, Verwendung von PasswordSafe oder KeePass (meine Wahl), gerne auch Einrichtung eines eigenen Mailkontos, nur für die Anmeldung an irgendwelche Dienste, bei dem keine wichtigen Daten anfallen und das man dann auch wieder dichtmachen kann, sollte das Konto gehackt werden. Nett ist auch der Trick, den Gmail anbietet, mit dem man sich quasi unbegrenzte Aliases für seine Email-Adresse anlegen kann, Details gibts z.B. hier.

So, hab ich mir mal meinen kleinen Rant von der Seele getippt. Jetzt werd ich mich mal zurücklehnen und abwarten, was aus dieser „1.2 Milliarden Passwörter“-Geschichte wird.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.