Warum man 1 Passwort nie mehrfach verwenden sollte...

Man kann von Ashampoo-Software halten, was man will, ihr Umgang mit dem Hack (Nachrichten an die User, Info-Warnseite) ist überdurchschnittlich gut. Ich will auch gar nicht groß drauf rumreiten, nur zwei Aspekte als Fragen heraus greifen, die mir von Laien bei Passwörtern immer wieder gestellt werden. Profis können bitte was anderes lesen, das hier sind Basics, die aber weniger sicherheitsbewusste Anwender selten wahrhaben wollen.

Warum muss ich denn überall ein anderes Passwort verwenden?

Angenommen, Sie sind bei Ashampoo der Benutzer Max_Mustermann mit dem Passwort 112SEEsam778. Das ist keine schlechte Kombi, ein sicherer Zugang.

Angenommen, Sie sind auch bei Amazon, GMX & Co der Benutzer Max_Mustermann mit dem Passwort 112SEEsam778. Auch keine schlechte Kombi, auch ein sicherer Zugang.

Nun stiehlt ein Datendieb bei Ashampoo die Datei zugangsliste.txt, in der die Kombinationen von Passwort und Benutzernamen drinstehen, plus einer E-Mail-Adresse, damit man Ihnen einen Wiederherstellungslink schicken kann, wenn Sie Ihr Passwort vergessen. Diese Liste sieht (stark vereinfacht) so aus:

Erika_Musterfrau 3453LosAngel!! erikam@yahoo.de
Max_Mustermann 112SEEsam778 Max_Mustermann@gmx.de
ilse.aigner sesam ilse203@web.de

(Stark vereinfacht ist das deswegen, weil ein Zugangskontrollsystem aus Sicherheitsgründen diese Liste nicht so unverschlüsselt ablegen würde. Fakt ist aber, dass es keine Seltenheit ist, dass es trotzdem genau so passiert. Und selbst wenn doch ... siehe Rainbow-Tables)

Nun kann der Datendieb ganz einfach probieren, ob das Shop-Passwort 112SEEsam778 vielleicht zufälligerweise auch für das Mail-Konto Max_Mustermann@gmx.de gilt. Denn das liegt ja nahe. Und von dort ausgehend kann er alle weiteren Zugänge prüfen, denn beim GMX-Konto laufen möglicherweise auch die Bestellbestätigungen von Amazon und anderen Shops auf...

Anders gesagt: Wurde ein Konto gehackt, also die Zugangsdaten dieses Kontos bekannt, und der Nutzer hat überall dieselben oder ähnliche Zugangsdaten, dann kann man davon ausgehen, dass alle Konten gehackt sind.

Dagegen hilft: Bei jedem Konto ein anderes Passwort verwenden.

Können helfen: Password Manager wie der von Kaspersky

Das ist, ich gebe es zu, schwer durchzuhalten. Und geht nur mit einem Passwort-Buch oder einer (verschlüsselten) Passwortdatei. Welche dann wiederum nie die eigenen vier Wände verlassen sollten, was wiederum schwer durchzuhalten ist. Es empfehlen sich zumindest Passwortmanager, wie sie inzwischen auch in einigen Virenschutz-Suites (etwa Kaspersky PURE,kaspersky.de,  oder einzeln als Kaspersky Password Manager) zu finden sind (hier ein lesenswerter secuteach.de-Beitrag zum Passwortmanager von Kaspersky Pure 2010; weitere Passwortmanager - auch kostenlose - listet heise.de im Software-Verzeichnis).

Und es gibt Tricks. Zum Beispiel muss dass Passwortbuch oder eine (verschlüsselte) Passwort-Datenbank gar nicht die kompletten Passwörter enthalten. Jedes Passwort könnte einen identischen Teil enthalten, sagen wir: die ersten fünf Buchstaben, die bei allen Passwörtern gleich sind. Ihre Passwörter wären also maus17lap!99 und maus112SEEsam778, im Buch stünden aber nur 7lap!99 und 12SEEsam778.
Ein anzunehmender Angreifer, der in den Besitz des Buches gelangt, würde die Passwörter ausprobieren, sie würden nicht funktionieren, er würde aufgeben, gewonnen! (Unter der Bedingung, dass ihm nicht am Ende doch mindestens eines der echten Passwörter bekannt ist, woraus er die Schummelei ja rekonstruieren könnte.)

Der Paranoide verwendet übrigens nicht nur bei jedem System ein anderes Passwort, sondern auch noch einen anderen Benutzernamen. Der besonders Paranoide verwendet für jedes System nur eine E-Mail-Adresse. Es fällt ihm leicht, er meldet sich nämlich nirgendwo an.
Woraus man die Lehre ziehen kann: Es erhöht die Sicherheit, möglichst wenig Konten zu haben...

Warum soll ich alle 30 Tage mein Passwort ändern?

Hier sind wir schon im Bereich der Mythen und der Viel-hilft-viel-Sicherheitslücken.

Die Theorie: Angenommen, der oben genannte Datendieb ist in den Besitz der zugangsliste.txt oder auch nur Ihrer Zugangskombination, also Max_Mustermann 112SEEsam778 Max_Mustermann@gmx.de gelangt. Dann könnte er natürlich sofort allerlei Unfug anstellen. Allerdings würde Ihnen das möglicherweise schnell auffallen. Nun kann es aber im Interesse eines Angreifers liegen, nicht aufzufallen. Das ist vor allem bei allen Arten von Datenspionage der Fall, daher gibt es einige Unternehmen, die ihre Mitarbeiter dazu zwingen, alle XX Tage ein neues Passwort einzurichten.
Denn in dem Augenblick, wo Sie ein neues Passwort einrichten, verliert der unsichtbare Lauscher automatisch seinen Zugang zu Ihrem Konto (sofern nicht, wie oft zu sehen, der Dienst das Passwort im Klartext durch die Gegend mailt...).

So weit, so gut.
Funktioniert auch.
ABER. Was passiert, wenn Sie sich alle 30 Tage ein neues Passwort ausdenken müssen? Viele Administratoren wissen es: Statt schwierigen Passwörter wie 112SEEsam778 wählen Sie bald einfache wie sesamJUNI11 oder katze6. Das ist völlig normal und nur menschlich. Dann aber hat die Nach-30-Tagen-Passwort-ändern-Regel ihren Sinn verloren und im Gegenteil den Zugang einfacher und daher unsicherer gemacht.

Ergo: Vergessen Sie die Regel, wonach man alle 30 Tage sein Passwort ändern sollte, es sei denn, Sie ziehen das wirklich mit langen Passwörtern durch, denn nur dann wirkt das.

Wenn das nicht geht, ändern Sie statt dessen die verbundenen Passwörter nur dann (aber sofort), wenn Sie bemerken, dass sich etwas merkwürdiges tut. Oder wenn bekannt wurde, dass ein System gehackt wurde, das Sie nutzen.
Oder wenn Sie eine aktive Malware auf Ihrem System finden - das ist besonders dann der Fall, wenn Sie Ihre Passwortdateien mit dem Browser speichern; die so gespeicherten Passwortdaten lassen sich mit geringem Aufwand ruckzuck auslesen, sofern eine entsprechende Software in Ihr System gelangen konnte.

Dilbert.com

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

2 Antworten

  1. Hallo Andreas,

    Guter Beitrag,
    ich kannn Dir nur zustimmen!

    Vor allem die 30-Tage-Passwort-Wechsel-Folter hat in der heutigen Zeit nicht unbedingt noch den Stellenwert wir vor einigern Jahren. Denn bei dutzenden vvon Passwörtern, die man sich merken muß, ist es nur klar das man zu "Eselsbrücken" greift. Damit werden aber die Passwörter schwächer, denn man will sich diese ja noch merken müssen.

    Würde man bei den Systemen z.B. fordern, ein 12-stelliges-Passwort, mit einem Muss-Wechsel alle 8 Monate wäre es für den User einfacher zu nutzen und ggf. auch sicherer.
    Aber "alte Zöpfe" in der IT-Security abschneiden der auch mal zu überdenken, ist mitunter eine schwierige Sache.

    Trotzdem "Frohe OSetern" udn Danek für Deinen Beitrag.

    Grüße Ralph