Sichere Kennwörter
Artikel erschienen in Swiss IT Magazine 2007/12
Fast jede Authentifizierung im IT-Bereich funktioniert heutzutage über die Eingabe eines Benutzernamens und eines Kennwortes. Viel zu oft legen Benutzer dabei kaum ein Augenmerk auf die Sicherheit des von ihnen gewählten Kennwortes, statt dessen greifen sie auf leicht merkbare, aber unsichere Alternativen zurück.
Die einfachste Form eines Kennwortes ist die Verwendung eines einzelnen Wortes, aufgrund der gewünschten Bequemlichkeit bei der Eingabe zudem vollständig in Kleinbuchstaben – wie beispielsweise «susanna». Dieser Ansatz birgt zwei Risiken: Zum einen gibt es durch die ausschliessliche Verwendung von Kleinbuchstaben nicht all zu viele verschiedene Varianten, zum anderen lassen sich solche Kennwörter unabhängig davon leicht knacken.
Da Benutzer solche Wörter häufig aus ihrem persönlichen Umfeld wählen, lassen sie sich leicht erraten. In der Praxis sehr oft anzutreffende Beispiele hierfür sind der Name des Partners, des Haustieres oder der favorisierten Automarke. Kennt ein Angreifer den persönlichen Hintergrund des anvisierten Benutzers, stehen die Chancen nicht schlecht, dem Kennwort auf diese Art auf die Schliche zu kommen.
Gelingt es einem Angreifer nicht, ein Kennwort zu erraten, kann er bei dermassen einfach gewählten Kennwörtern auf einen weiteren Trick zurückgreifen: ein Wörterbuch. Mit Hilfe eines Programmes, dem ein Wörterbuch zugrundeliegt, kann ein Angreifer auf einfache Art eine grosse Zahl an Kennwörtern automatisiert durchprobieren, bis er Erfolg hat. Da diese Wörterbücher für alle gängigen Sprachen verfügbar sind, wird durch die Verwendung einer Fremdsprache keine bessere Sicherheit erreicht.
Auch einfache Tricks wie das Umkehren des Kennwortes («annasus») oder das Voranstellen oder Anhängen einzelner Sonderzeichen oder Zahlen («susanna!», «susanna1981» oder «19susanna81») nützt wenig, da auch diese Varianten von den einschlägigen Programmen überprüft werden.
Dies soll allerdings nicht heissen, dass Zahlen oder Sonderzeichen an sich nicht verwendet werden sollten – nur nicht auf einfallslose Art! Da die Zahl der verwendeten Zeichen und damit die Vielfalt der potentiellen Kennwörter durch den Einsatz von Zahlen und Sonderzeichen steigen, bietet es sich an, diese an bestimmten Stellen in das Kennwort einfliessen zu lassen oder – was noch besser ist – gewisse Buchstaben durch entsprechende Zahlen zu ersetzen.
Hierfür bietet sich zum Beispiel ein «e» an, das durch die optische Ähnlichkeit des Grossbuchstabens «E» durch eine «3» ersetzt werden kann. Anregungen für solche Ersetzungen finden sich zuhauf in der sogenannten Leetspeak, die beispielsweise Spammer gerne nutzen. Allerdings sollte nach Möglichkeit auch mit persönlichen Abwandlungen gearbeitet werden («su54nna»), und eine Kombination mit den vorherigen Techniken ist anzustreben («!su#54nna81»). Einen zusätzlichen Schutz bietet ausserdem die Verwendung von beliebig eingesetzter Gross- und Kleinschreibung («!Su#54nNA81»).
Das Problem mit solchen Kennwörtern ist in der Regel, dass sie nicht mehr allzu gut merkbar sind, prinzipiell könnte man genausogut ein sinnloses Zufallskennwort von einem Computer generieren lassen und dieses auswendig lernen («hn7w#9bMa1») – wobei anzumerken ist, dass diese Kennwörter auf Grund ihrer Zufälligkeit sehr sicher sind.
Es gibt allerdings eine weitere einfache Methode, lange, gut merkbare Kennwörter zu erzeugen, die nicht aus einem ursprünglichen Wort entwickelt werden, indem die Initialen eines Merksatzes verwendet werden, wobei Gross- und Kleinschreibung erhalten bleiben und die vorherigen Regeln wieder greifen («1kmKd9m,w5a1Mb!» aus «Ich kann mir Kennwörter dann gut merken, wenn sie aus einem Merksatz bestehen!»).
Hierbei ist allerdings zu beachten, dass keine allgemein bekannten und verbreiteten Sätze wie beispielsweise Liedtexte oder Zitate aus bekannten Büchern verwendet werden sollten, da diese den einschlägigen Programmen natürlich ebenfalls bekannt sind («DaidPK!» für den bekannten Spruch «Das also ist des Pudels Kern!» aus Goethes Faust).
Prinzipiell gilt auch hier: Je länger und vielfältiger ein Kennwort, desto besser. Allerdings gibt es bei einigen Systemen Längenbeschränkungen. So können beispielsweise Kennwörter für die in WLANs häufig eingesetzte WPA-Verschlüsselung nicht länger als 63 Zeichen sein, und das verbreitete Sicherheits-Framework RADIUS macht bereits bei 15 Zeichen Schluss. Das heisst allerdings nicht, dass Passwörter nur diese Länge haben können – vielmehr werden nur die ersten 15 Zeichen berücksichtigt.
Unabhängig von der Stärke des Kennwortes gibt es einige Regeln, die im Umgang mit Kennwörtern beachtet werden sollten, damit sie nicht nur sicher sind, sondern dies auch bleiben. Die wichtigste Regel lautet hierbei, für jeden Dienst ein eigenes Kennwort zu verwenden. Wird – aus welchem Grund auch immer – ein Kennwort kompromittiert, so betrifft dies dann nur einen einzigen Dienst, so dass der Schaden zumindest in einem gewissen Rahmen bleibt.
Ausserdem sollte ein Kennwort regelmässig geändert werden, um einem Angreifer nicht theoretisch unendlich viel Zeit zum Knacken
zu lassen. Je nach Sensibilität der geschützten Daten kann dieser Wechsel seltener oder häufiger notwendig sein, eine allgemeingültige Faustregel gibt es hierfür nicht. Wichtig ist in diesem Zusammenhang vielmehr, keine Kennwortrotation zu betreiben, indem zyklisch immer wieder die gleichen Kennwörter genutzt werden.
Da die meisten Kennwörter fast täglich genutzt werden, fällt das Auswendiglernen komplexer Kennwörter gar nicht so schwer, wie man zunächst vermuten könnte, zumal es nur einige wenige Regeln sind, die nach einer Weile in Fleisch und Blut übergehen. Für diesen etwas höheren Aufwand erhält man dann allerdings auch eine deutlich bessere Sicherheit.
Zur Verwaltung von Kennwörtern finden sich bei den einschlägigen Shareware-Anbietern zahlreiche Softwareprodukte. Aber auch in Standardsoftware sind Passwort-Manager zu finden:
· In Windows Vista integriert ist Windows CardSpace (WCS), mit dessen Hilfe sogenannte digitale Identitäten für Webseiten und Web Services verwaltet werden können. Da WCS im Gegensatz zu beispielsweise Passport nur die Infrastruktur zur Identitätsverwaltung zur Verfügung stellt, steht und fällt der Erfolg mit der Akzeptanz durch Drittanbieter, die WCS implementieren. Insofern ist WCS zumindest in vollem Umfang derzeit nur eingeschränkt nutzbar. WCS ist ausserdem als zusätzlicher Download auch für Windows XP und Windows Server 2003 verfügbar.
· Der Internet Explorer enthält einen sehr einfachen Kennwortmanager, der sich zu besuchten Webseiten Benutzernamen und Kennwort merkt. Ein Masterkennwort, das den Zugriff auf die gespeicherten Kennwörter reglementiert, gibt es nicht – wer den Browser starten kann, hat Zugriff auf alle Kennwörter. Dies ist in Umgebungen, in denen jeder Benutzer über ein eigenes Konto in Windows verfügt, akzeptabel, für den privaten Haushalt, in dem sich oft mehrere Personen einen Computer und ein Konto teilen, eher untauglich.
· Ebenso enthält Firefox einen entsprechenden Kennwortmanager, der im Gegensatz zu dem des Internet Explorer sowohl über ein Masterkennwort geschützt werden kann wie auch über eine brauchbare Benutzeroberfläche verfügt, um Einträge zu modifizieren oder zu entfernen. Insofern ist der Firefox in dieser Hinsicht besser ausgestattet als der Internet Explorer.
Generell stellt sich aber die Frage nach Sinn und Unsinn einer solchen Anwendung auch wenn die Datei, in der die Kennwörter abgelegt werden, verschlüsselt wird, auch wenn der Zugriff über ein Masterkennwort geschützt ist die Sicherheit ist dennoch nicht so hoch wie bei nur im Kopf behaltenen Kennwörtern. Je nach Sensitivität der zu schützenden Daten empfiehlt es sich daher, trotz dem potentiellen Komfortgewinn zugunsten der Sicherheit auf eine solche Anwendung zu verzichten.