Passwort-Irrsinn

Aus ichbinein.org Wiki
Wechseln zu: Navigation, Suche

Passwörter

Passwörter sind allgegenwärtig. Nahezu jeder Schutz vor fremden Eingriffen in IT-Systeme basiert auf Passwörtern. Sei es nun die PIN der Girokarte, die der SIM-Karte im Handy oder der Alarmanlage, das Passwort vor der Windows-Anmeldung oder all die Kennwörter, die man bei Anmeldungen an Webseiten eingeben muss.

Zwangsläufig stellen sich hier einige Fragen: Wie sicher sind solche Kennwörter eigentlich? Wie sollte man mit ihnen umgehen? Wie viele Kennwörter braucht man? Und wie oft sollte man sie ändern?
In diesem Artikel versuche ich, auf die verschiedenen Fragen einzugehen und verständliche Erklärungen und Lösungen zu präsentieren.

Wie sicher sind Passwörter?

Diese Frage lässt sich nicht pauschal beantworten. Es kommt vor allem auf die Umgebung und deren Sicherheitsmaßnahmen an.

Die PIN

Nehmen wir beispielsweise die vierstellige PIN, mit der man seine Bankkarte am Automaten entsperrt. Vier Ziffern, jede kann 0-9 sein. Macht 10^4 mögliche Kombinationen, das sind 10.000. Ein moderner Computer ist in der Lage, diese Kombinationen innerhalb von Sekundenbruchteilen zu berechnen und auszuprobieren.
Nun müsste dieser Computer aber die Zahlen ausprobieren, indem er sie am Automaten eintippt - man bräuchte also ein entsprechendes Interface. Da die Automaten eher schwerfällig auf Eingaben reagieren, würde auch ein Computer einige Zeit benötigen, um alle Kombinationen auszuprobieren.
Wir haben es vermutlich alle schon erlebt, was passiert, wenn man drei mal hintereinander die falsche PIN eingibt. Ein stumpfes Durchprobieren der aller PINs ist also eher unsinnig. Es bleibt also nur noch das technische oder direkte Ausspähen der PIN, also der Schulterblick oder eine unauffällige Kamera. Das ist natürlich die Schwachstelle eines jeden Kennwortes, daher ist die kurze Banking-PIN am Automaten noch relativ sicher. Das selbe gilt für die PIN beim Einschalten des Smartphones - bei zu vielen Versuchen wird die Karte gesperrt und man muss die deutlich längere PUK eingeben.

Das Betriebssystem-Kennwort

Am Anmeldekennwort für den lokalen Computer scheiden sich die Geister. Moderne Computer stehen heutzutage meistens durch eine Firewall geschützt im Internet, üblicherweise übernimmt diesen Part der Router. Damit ist es für potenzielle Angreifer ziemlich schwierig, direkt auf die Außenschnittstellen des Rechners zuzugreifen und sich dort anzumelden. Üblicherweise ist nur dort das Anmeldekennwort nützlich, wobei spätestens mit MacOS X (TODO: Recherche!) und Windows 10 Onlinekonten für die Anmeldung genutzt werden und das Kennwort damit auch auf anderen Services angreif- und nutzbar ist.
Wer seine Anmeldung rein lokal vornimmt, braucht das Passwort hauptsächlich, um zu verhindern, dass jemand "mal eben" an den PC geht und Zugriff auf private Daten bekommt oder unberechtigt Daten manipuliert. Das kann der neugierige Sprössling sein, die Mitbewohnerin, ein Partygast, der eigene Partner oder der Heizungstechniker. Ein passwort verhindert, dass unberechtigte Personen am eigenen System manipulieren.
Wenn dieses Passwort ähnlich wie die PIN nicht im Beisein von Anderen eingegeben wird (oder entsprechend verdeckt/außer Sichtweite) und nicht mit einem Online-Account verknüpft ist, sind auch relativ kurze Passwörter vertretbar. Was allerdings vermieden werden sollte: Geburtsdaten (eigene, Kinder, Eltern, Partner, Haustiere), Namen (dito), allgemein leicht zu erratende und auf einen selbst bezogene Stichwörter. Es ist erschreckend einfach, Informationen über seine Mitmenschen herauszubekommen; wer öffentlich oder im Freundes- und Familienkreis bekannte Informationen für sein Passwort verwendet, öffnet Angreifern Tür und Tor.

Online-Passwörter

Passwörter für Onlinedienste sind kritisch. Immer.