22 Aug

Unordnung kann nützlich sein!

Passworte – oder Kennworte, wie man auch sagt – werden überall benötigt. Zur Anmeldung auf dem Arbeitsplatzrechner zum Beispiel, aber vor allem im Internet. Keine Anmeldeseite kommt ohne sie aus. Wer das Passwort kennt, hat oft ungehinderten Zugang zum jeweiligen Angebot. Das kann ein Online-Shop sein, eine Bank vielleicht oder die Online-Terminvergabe des Hausarztes. Den oft noch verlangten Benutzernamen kann man als Außenstehender meistens leicht in Erfahrung bringen; diese Angabe trägt zur Sicherheit des Zugangs also wenig bei. So vielfältig der Einsatz von Passwörtern ist, so kompliziert ist auch der Umgang mit diesem wichtigen Sicherheitsmerkmal.

Es gab und gibt unzählige Empfehlungen und „gute Ratschläge“, um „starke“ Passworte zu finden und diese geheim zu halten. Manche davon haben bis heute ihren Sinn. Andere haben sich als nutzlos oder sogar als schädlich erwiesen. Die meisten Menschen, die täglich viele Male ihre Zugangsdaten eingeben, haben selten ein Gefühl dafür, wie sicher ihre Passworte wirklich sind. Man handelt eben nach bestem Wissen und hofft, dass „nichts passiert“.

Immer wieder werden in diesem Zusammenhang diverse Mythen „entzaubert“. Etwa, dass man Passworte häufig wechseln müsse. Muss man nicht – es sei denn, ein Unbefugter hat es mitbekommen. Oder, dass Passworte lang und kompliziert sein müssen, um Sicherheit zu bieten. Das mit der Länge stimmt in gewissen Grenzen immer noch. Bei „kompliziert“ wird‘s kompliziert: Was genau bedeutet eigentlich „kompliziert“ in diesem Zusammenhang?

In der Informationstechnik hat sich der Begriff der Entropie eingebürgert. Er beschreibt das Maß an innerer Unordnung. Je „unordentlicher“ eine Zeichenfolge ist, desto schwerer ist sie von einem Computer durch Erraten oder Ausprobieren, etwa mit einem Wörterbuch, zu ermitteln. Dabei muss man sich stets vor Augen halten, dass Passwortknacker immer Computer als Handwerkszeug verwenden. Sichere Passwörter müssen also aus der Sicht eines Computerprogramms möglichst „chaotisch“ sein. Wie dieselbe Zeichenfolge von einem Menschen empfunden wird, spielt dabei überhaupt keine Rolle. Das hat zwei wesentliche Folgen.

Erstens ergeben die meisten möglichst zufälligen Abfolgen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen tatsächlich ab einer gewissen Länge (von mehr als 10 Zeichen) ziemlich sichere Passworte. Schlecht ist aber, dass man sie nur schwer im Kopf behält und in der Konsequenz gerne gegen eine Reihe anderer Regeln verstößt (wiederholte Verwendung gleicher Passworte für verschiedene Zugänge, unsichere Verwahrung auf Post-it-Zettelchen, Rückgriff auf Trivialpassworte, …). Eselsbrücken wie etwa die Methode der Anfangsbuchstaben aus eingängigen Merksätzchen helfen da nur bedingt.

Zweitens, und das ist verblüffend, gibt es auch Kombinationen aus natürlichen Wörtern, Zahlen und Sonderzeichen, die sich durch relativ hohe Entropie auszeichnen. Die kann man sich als Mensch gut merken, aber für den „Hackerkollegen Computer“ sind sie schwer verdaulich. Das gilt sogar dann, wenn einzelne Bestandteile davon in Wörterbüchern zu finden sind! Hier sollte man übrigens auch mit dem Irrglauben aufräumen, man könne die natürliche Herkunft eines Wortes durch erfindungsreiche Abwandlungen verschleiern. Das klappt nur eingeschränkt: Aktuelle Algorithmen zum Passwort-Crack durchschauen solche Tricks spielend.

Man kann also auch mit genügend vielen natürlichen Wörtern die Entropie derart hochtreiben, dass die entstehende Zeichenkette insgesamt ein sichere Passwort bildet. Das ist das altbekannte Prinzip der „Passphrase“ – die aber nun leider für viele Eingabemasken im Internet als zu lang abgewiesen wird. Der Kompromiss besteht darin, gängige Wörter mit einzelnen Zahlen und Sonderzeichen zu kombinieren. Das Ergebnis ist meist gut zu behalten, aber nicht so lang wie eine ausgewachsene Passphrase. Und dennoch genügend sicher.
Mit etwas Übung kann man sich solche Passworte leicht ausdenken. Es gibt auch Generatoren dafür. Wer sich unsicher ist, wie viel Entropie in einem Passwort steckt, kann sich einen Orientierungswert online berechnen lassen. Der Datenschutzbeauftragte des schweizer Kantons Zürich bietet beispielsweise eine übersichtlich gestaltete Webseite hierzu an.

Übrigens: Auch zur IT-Sicherheit gehören immer zwei. Das beste Passwort nützt nichts, wenn ein Online-Shop leicht kompromittiert werden kann und die ganze Zugangsdatenbank in einem Rutsch ins Internet abfließt. Umgekehrt lassen sich durch ganz einfache Maßnahmen serverseitig hohe Hürden gegen den Missbrauch von Zugangsdaten errichten. Wird etwa ein Benutzerkonto nach mehrmaliger Falscheingabe für einen (kurzen) Zeitraum automatisch gesperrt, lassen sich auch schwächere Passworte nicht mehr so einfach durch Ausprobieren ermitteln.

Der Umgang mit Passworten bedeutet Verantwortung – auf beiden Seiten. Wer Internetangebote mit Benutzeranmeldung betreibt, tut gut daran, sie einer professionellen Website-Sicherheitsanalyse zu unterziehen. Wir prüfen dabei systematisch nach WASC-TC, einer umfangreichen Sammlung potenzieller Bedrohungen. Sichere Verarbeitung von Zugangsdaten ist natürlich auch dabei. Fragen Sie uns!