Passwortsicherheit

Vor einigen Wochen ging eine Nachricht durch die Fachpresse: Der Passwortdienst “Lastpass” war angegriffen worden, und es waren wohl eine kleine Menge Daten kopiert worden. Und im Umfeld dieses Vorfall kamen wie immer Stimmen hoch, die anmerkten, das es ja sowieso ziemlich schwachsinnig sei, seine Passworte einem Dienst im Internet anzuvertrauen.

Ich habe meine Passworte nach wie vor dort liegen, und erkläre mal warum.

Der Normalzustand

Wann immer irgendwo Passwörter im großen Stil entwendet wurden, macht sich anschließend jemand daran und analysiert die “Beute” mal statistisch nach der Qualität der Passworte. Und immer wieder kommt es dabei zu ernüchternden Ergebnissen.

Der große Teil der verwendeten Passworte sind bis zu 8 Zeichen lang, enthalten selten Sonderzeichen, steht in Wörterbüchern, oder ist so simpel zu erraten wie “123456”.

Mein bisheriges Konzept

Da machten meine Passwörter früher auch keine Ausnahme ich hatte immer drei Passwörter in Verwendung. “datica” war das simpelste von ihnen. Es ist schnell zu tippen, steht aber wahrscheinlich schon nicht mehr in Wörterbüchern. Ich habe es immer dann benutzt, wenn ich mal eben auf die Schnelle eine Mailingliste abonnieren wollte, oder ähnliche Dinge, bei denen es mir im Prinzip auch egal gewesen wäre, wenn mein Passwort entwendet worden wäre. ich denke 60% meiner Benutzerkonten liefen mit diesem Passwort.

Dann gab es da noch “R2d2C3po”. Auch prima zu merken. Es enthält aber schon mal Groß- und Kleinbuchstaben, sowie Zahlen und ist etwas länger. Ich vermute hier hilft nur noch das durchprobieren aller Möglichkeiten weiter um das Passwort zu brechen. Der Einsatz dieses Kennwortes war vor allem für Benutzerkonten gedacht, an denen mir wirklich etwas lag, und bei denen es mir unangenehm gewesen wäre, wenn dort jemand in meinem Namen agiert hätte. Ich denke das waren etwa ein weiteres Drittel der Konten.

Der Rest bekam dann das Kennwort der Art “exfgohr#3452425!yo5”. Es ist deutlich länger, enthält auch noch Sonderzeichen und ist nur für mich logisch aufgebaut (eine Jugenderinnerung) und hinter dem Ausrufezeichen war die Endung abhängig von der Domain, an der ich mich angemeldet habe. Hier zum Beispiel Yahoo.de (erster und letzter Buchstabe der Domain, sowie die Länge).

Dieses Kennwort habe ich für die handvoll wirklich wichtiger Zugänge benutzt, bei denen ein Missbrauch wirklich weh getan hätte. Z.B Bankkontenzugänge oder das Mailkonto. Das Mailkonto ist eine häufig unterschätzte Lücke, wird aber interessant, sobald man sich mal klarmacht, das man in vielen Fällen darüber an alle Kennwörter kommen kann, indem man auf den Webseiten nur “Ich habe mein Passwort vergessen” klickt. In der Regel bekommt man dann einen Link zum zurücksetzen des Passwortes zugeschickt, oder wenn ganz schlimm kommt gleich das Passwort selbst.

Das Problem

Was mich an meine Art der Passwortvergabe am meisten störte, war die Tatsache, das ich im Prinzip nur drei Kennwörter hatte. Wäre eines der System an denen ich Teilnehmer war mal gehackt worden, hätte der Angreifer gleich das Kennwort für eine ganze Reihe anderer Konten in der Hand haben können.

Ich habe mich also mal mit einigen Passwortmanagern beschäftigt, und bin am Schluss bei Lastpass hängen geblieben, weil dort ein Plugin für alle gängigen Browser existiert, und auch für alle möglichen Betriebssysteme. Keypass z.B. habe ich zwar sowohl für Linux als auch für Windows gefunden, aber für die beiden Betriebssysteme gab es nur verschiedene Versionen, die miteinander inkompatibel waren.

Die Vorteile von Lastpass

Damit habe ich jetzt eine ganze Menge Möglichkeiten, die meine Kennworte sicherer gemacht haben.

  • Alle (etwa 100) meine Kennworte sind mindestens 16 Zeichen lang und enthalten Groß- und Kleinbuchstaben, sowie Zahlen und Sonderzeichen in wilder Folge.
  • Alle Benutzerkonten haben völlig verschiedene unabhängige Kennwörter
  • Ich muss keines davon tippen, damit kann mir auch keiner auf die Finger schauen
  • das Anmelden bei Lastpass habe ich auf Zwei-Faktor-Authentifizierung eingestellt, d.h. ich tippe ein Kennwort, und lasse per Yubikey noch ein Einwegpasswort hinterher schicken.

Damit ist schon mal ein Großteil der gängigen Angriffe abgedeckt. Wenn mir z.B. mein Flickr Konto wegkommt ist keines der anderen Konten dadurch gefährdet.

Die Nachteile von Lastpass

Um jetzt mit der großen Sammlung von Kennwörtern bei einem fremden Anbieter trotzdem ruhig schlafen zu können, muss ich dem natürlich in zwei Dingen vertrauen.

1. Er ist nicht selbst der Angreifer

2. Er weiß technisch, was er da tut

Eine Abwägung

Zumindest für den zweiten Fall habe ich gerade im Fall des Zwischenfall vor kurzer Zeit einen ganz guten Eindruck gewonnen. Lastpass hat hier in meinen Augen aus der Sicherheitsperspektive heraus sehr gut agiert.

1. Sie haben offensichtlich regelmäßige Prüfungen ihres Datenverkehrs laufen, und haben selbst die relativ kleine Anomalie bemerkt.

2. Sie haben als allererste Reaktion erstmal alle Schotten dicht gemacht.

3. Nachdem klar war, das ein Angreifer eventuell (nur verschlüsselte) Daten entwendet haben könnte, haben sie alle Anwender dazu gezwungen bei der nächsten Anmeldung ihr Kennwort zu ändern. das war dann auch der Punkt, durch den die meiste Kritik entstanden ist. Wirklich gefährdet waren nur die Benutzer, die so etwas wie “123456” zur Absicherung ihrer Kennworte verwendet haben. Dadurch, das aber erst mal jeder sein Kennwort ändern musste ging der Server mit der Leistung ziemlich in die Knie, und der Service lief sehr holprig.

4. Die Kommunikation lief sehr offen, und das Problem wurde technisch genau beschrieben. Dadurch wahr ich mir z.B. sicher, das meinen Passwörtern nichts passiert, solange niemand einen Weg findet die aes2256 Verschlüsselung ohne per Brute-Force zu knacken (ja, ich weiß, die ist derzeit nur noch ca. 200 Bit stark, das reicht aus)

Mein Fazit

Bleibt also als wirkliche Gefahr für mich eigentlich nur noch, das Lastpass selbst der Angreifer wäre. Das wäre dann quasi mein persönlicher Daten-GAU. In diesem Fall würde ich dann aber davon ausgehen, dass irgendein Geheimdienst dahinter stecken würde, und dann wäre es mir lieber, er kommt auf diesem Weg an die Kennworte, als auf die gewohnte archaische Methode.

Nach Abwägung der Risiken für mich eliminiert Lastpass alle gängigen Angriffswege zu dem Preis nichts gegen Lastpass als Angreifer tun zu können. Für mich ist der Handel in Ordnung. Aber das muß jeder mit sich selbst ausmachen.

Ach ja, die Kennworte, die ich früher benutzt habe, und die oben erwähnt sind,benutze ich seither natürlich nirgendwo mehr. Aber beißt euch ruhig die Zähne dran aus, wenn euch langweilig ist.