Wann man externe Dienste zum Verwalten seiner Passwörter nutzen sollte.

Ganz einfach: Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals.

Die Notwendigkeit einer Passwortverwaltung.

Ich habe gerade einmal geschaut: Der letzte Artikel, in dem ich über Passwortverwaltung mit KeePass geschrieben habe, stammt vom Juli 2007, also glatte vier Jahre her und einer der ersten Artikel in diesem kleinen, bescheidenen Weblog. An der Anleitung selbst hat sich nicht viel geändert und ich nutze KeePass immer noch als meine zentrale Passwortverwaltung, über alle Gerätegrenzen hinweg. Windows, Windows Mobile, iPhone und nun Android und alles mit ein und derselben Passwortdatei.

Warum eine professionelle Passwortverwaltung? Ein paar Argumente:

  • Man hat immer mehr Passwörter zu verwalten, als man glaubt.
    Glauben Sie nicht? Ist aber so. Wenn ich aktuell in meine KeePass-Datenbank schaue, dann sind da rund 200 Login-Einträge verzeichnet. Einfache Kundennummern, aber auch Zugänge zu allen von mir genutzten Diensten und auch Kundenpasswörter (sofern ich die wissen muss). Eine solche Basis an Passwörtern merkt sich niemand im Kopf.
  • Passwörter bzw. Logins werden immer mehr. Und mehr. Und mehr.
    Auch das ist ein Phänomen. Ich habe einmal online angefangen, da musste ich nur zwei Passwörter kennen: Das von der Modemeinwahl und das für mein E-Mail-Postfach. Heute kommen Logins quasi täglich dazu und Logins werden immer mehr. Sicherlich gibt es bei immer mehr Diensten die Möglichkeit, sich mit dem obligatorischen Facebook-Login anzumelden aber was würden sie davon halten, wenn Sie in Ihren geliebten Supermarkt nur noch hineinkommen würden, wenn Sie sich einmalig mit ihrem Haustürschlüssel registrieren und den dort auch immer zum Türöffnen einsetzen müssten?
  • Sie müssen mit anderen Leuten Passwörter teilen?
    Okay, zugegeben, das müssen die meisten Passwortbesitzer nicht, im geschäftlichen Umfeld lässt es sich jedoch nicht vermeiden, für zentrale Logins Passwörter zu vergeben, die mehrere Menschen wissen müssen und die – jetzt wird es spannend – auch unabhängig voneinander recherchierbar sein sollen. Dass nur einer das Passwort kennt und der andere ihn ja fragen könnte, prellt spätestens dann, wenn der Passwortwisser nachts aus dem Bett geklingelt werden muss oder der Passwortwisser einfach verunglückt und das Passwort nicht nennen kann.
  • Passwörter müssen zwangsläufig immer komplexer werden.
    Moderne Rechenpower ermöglicht das Ausprobieren von kompletten Zeichenräumen in immer kürzeren Zeiten. Schon heute sind sechsstellige Passwörter ein No-Go, selbst mit Zeichen aus dem Groß- und Klein-Alphabet, Zahlen und Sonderzeichen. Acht Stellen sind aktuell das Mindestmaß, zehn und mehr Zeichen wünschenswert. Das merken Sie sich weiterhin alles im Kopf?
  • Ein Passwort für alles?
    Super Sache – einfach ein Passwort für alle Dienste. Wird ja schon niemand wissen, wo man noch alles ist. Das wissen mehr Leute, als sie denken und der Rest probiert es einfach aus. Facebook, Twitter, PayPal, YouTube, StudiVZ, Ihr Mailprovider. Wo Sie überall sind, kann Ihr Bekanntenkreis mit relativ wenig Aufwand herausbekommen und wenn man es darauf anlegt, sich auch gleich überall einloggen, wenn Sie überall das gleiche Passwort einsetzen.
  • Passwortverwaltung als Zettelwirtschaft?
    Immerhin. Mit einer Zettelwirtschaft ist die Chance, unterschiedliche Passworte zu nutzen, deutlich höher, allerdings wird alles nicht wirklich besser, wenn alle Passwörter schön aufgereiht auf gelben Zettelchen rund um den Bildschirm kleben. Und auch die Schreibunterlage ist kein besseres „Versteck“. Wo Zugangsdaten im Klartext stehen, ist es gefährlich.
  • Passwortnutzung evaluieren?
    Sony hat es nach dem PS3-Hack von seinen Nutzern gefordert: Das Zugangspasswort zum PlayStation Network ändern und, falls dieses Passwort auch bei anderen Diensten eingesetzt wurde, dort entsprechend auch zu ändern. Aber wie soll man das herausfinden, wenn man nicht ein Elefantengedächtnis hat? Eine Passwortverwaltung kann das, wenn dort eine Suche auch nach Passwörtern möglich ist. So habe ich z.B. herausgefunden, dass ich tatsächlich das Passwort für das PlayStation Network auch für einen Login für einen gänzlich anderen Dienst genutzt hatte.
  • Mobilität rulez!
    Auch so eine Mär der modernen Welt: Menschen, die daherkommen und sagen, sie bräuchten unterwegs keine Passwörter. Gut, kann man tatsächlich so handhaben, dann funktioniert aber mobiles Internet eben nicht mehr. Ohne einige Passwörter wäre ich auch unterwegs im Zweifelsfall aufgeschmissen und so muss eben eine gute Passwortverwaltung auch mobil sein können. Und zwar nomadisch mobil, also mit einer verschlüsselten Datenbank auf den Geräten und nicht einer Passwortverwaltung im Web. Denn dann können Sie Ihre Passwörter auch gleich twittern und behaupten, bei Twitter seien sie ja in der Cloud und immer zugänglich.
  • Passwörter gehen ja noch – aber was machen Sie mit Schlüsseldateien? TAN-Listen?
    Ich bin kein Fan davon, auf dem Handy Bankgeschäfte zu erledigen. Aber zu wissen, dass dies ginge, beruhigt erstaunlicherweise. Mit zusätzlichen Lesegeräten, „Chip-TAN“ und TAN-Listen ist das alles schwierig und ein einfacher Scan der TAN-Liste als Bild ist inakzeptabel unsicher. Eine sichere Passwortverwaltung hat auch Platz hierfür und ist, bei entsprechend komplexem Passwort der Passwortverwaltung, sicherer, als die zu Hause abgeheftete TAN-Liste.

Schwache Passwörter beim RIPE.

Im (gedruckten) SPIEGEL 19/2009 findet sich auf Seite 126 folgender Artikel:

Internet
Fahrlässiger Umgang mit Passwörtern

Selbst große Konzerne schützen ihre Websites mit allzu simplen Passwörtern, die sich sogar von Amateuren in Minuten knacken lassen. Dem SPIEGEL liegt eine vertrauliche Liste mit Hunderten von Firmen-Passwörtern vor, die Sebastian Schreiber von der Sicherheitsfirma Syss mit ‘sehr wenig Aufwand’ aus einer Internet-Datenbank des Adressverzeichnisses namens Ripe gefischt hat. Unter den Firmen befinden sich ein Nahrungsmittelriese, eine Bank eine Wirtschaftsberatungsagentur, ein großer Webdienst-Anbieter. Sie alle hätten eine Menge zu verlieren durch einen Hackerangriff. ‘Es wäre ein Leichtes, den Webtraffic dieser firmen illegal abzuwürgen, umzuleiten oder E-Mails heimlich mitzulesen’, sagt Schreiber. Sichere Passwörter sollten aus über einem Dutzend Buchstaben, Zahlen und Sonderzeichen bestehen. Stattdessen wimmelt es in der Ripe-Datenbank von Passwörtern wie ‘adventure’, ‘TestTest’, ‘4664’. Eine große Versicherung vertraut auf ‘beruhigt’, ein Institut für Ernährungssicherheit auf ‘Karotte’, ein Flughafen auf ‘purgatory’ – englisch für Fegefeuer. Doch viele Ertappte reagierten nicht einmal, als sie auf die Nachlässigkeit hingewiesen wurden; und auch die Verwaltung der Ripe-Datenbank hat es trotz mehrerer Nachfragen monatelang versäumt, von den Nutzern bessere Passwörter einzufordern.

Was ist hier los? Sicherheitsloch? Zumindest teilweise, aber fangen wir von vorn an:

Das RIPE ist eine so genannte Regional Internet Registry, die für die Zuteilung und Verwaltung von IP-Netzparametern für die europäische Region zuständig ist. Dazu gehören IP-Adressen, aber auch Routing-Parametern. Traditionell ist es so, dass diese Informationen frei zugänglich sind, das Editieren der dort verzeichneten Einträge jedoch gesichert sind. Dazu gibt es zwei Möglichkeiten: Eine Sicherung mit einem Passwort und einem PGP-Key. Letzteres ist ein absolut sicheres Verfahren, während ersteres deutlich praktischer ist.

Damit der Spaß mit dem Herauslesen von Passwörtern nicht ganz so einfach ist, müssen zu hinterlegende Passwörter einmalverschlüsselt werden. Das bedeutet, dass der Originator des Eintrages sein Passwort nicht in Klartext hinterlegt, sondern zunächst mit einem Einwegverschlüsselungsverfahren bearbeitet – im Falle der RIPE-Datenbank wird das Verfahren MD5 eingesetzt – und dieses Ergebnis dann hinterlegt. Die Einwegverschlüsselung stellt sicher, dass die verschlüsselte Nachricht nicht mehr dechiffriert werden kann.

Der Ansatz ist nun, dass man das Passwort zwar nicht mehr dechiffrieren kann, es aber weiterhin durch einen anderen Ansatz zum Passwortknacken verwundbar ist, nämlich durch Wörterbuchattacken. Wörterbuchattacken basieren darauf, dass man eine ganze Liste von vordefinierten Wörtern schlicht einfach mal durchprobiert, in der Hoffnung, dass jemand ein einfaches Passwort verwendet, das just in dieser Wörterbuchliste vorkommt. Im Falle von einem einwegverschlüsselten Passwort muss lediglich sichergestellt werden, dass auch die Wörterbuchliste die Wörter entsprechend mit dem Einwegverschlüsselungsverfahren chiffriert sind.

Und das dürfte dann auch der Ansatz gewesen sein. Da die RIPE-Datenbank frei zugänglich ist, hat ein findiger Mensch einfach eine Wörterbuchliste genommen, die dort vorkommenden Wörter nach dem gleichen Verfahren einwegverschlüsselt, wie es das RIPE tut und dann einfach nach den Chiffraten in der RIPE-Datenbank gesucht. Äußerst einfach und leider offensichtlich auch hin und wieder wirksam.

Immerhin hat das RIPE reagiert und die Suche nach einwegverschlüsselten Passwörtern insofern erschwert, dass eine Suche nach Sonderzeichen nicht möglich ist, Sonderzeichen aber in den Chiffraten zwingend vorkommen. Sinnvollerweise kann man aber nach wie vor immer nur empfehlen, gänzlich auf die Passwortautorisierung zu verzichten und die PGP-Autorisierung einzusetzen oder zumindest ein hinreichend komplexes und langes Kennwort zu nutzen.