[ open folder ] Thomas Hungenberg's Homepage
      [ open folder ] Informationssicherheit
            [ open folder ] Tips zum sicheren Arbeiten
                  [ document ] Sicherer Umgang mit Paßwörtern

Sicherer Umgang mit Paßwörtern


Zusammenfassung: Dieses Dokument beschreibt, welche Kriterien "gute" und "schlechte" Paßwörter auszeichnen und wie man mit seinen (nach diesen Kriterien gewählten) Paßwörtern sicher umgeht.


Paßwörter sind auch heute noch das am meisten genutzte Verfahren zur Authentifizierung von Benutzern. Auch wenn andere Verfahren zur Authentifikation im Einsatz sind, wie z. B. auf der Basis von Tokens oder biometrischen Merkmalen, so stellen diese meist nur eine Ergänzung zu konventionellen Benutzerkennungen und Paßwörtern und keinen Ersatz für diese dar.

Paßwörter sind auf den meisten informationsverarbeitenden Systemen der primäre Schutz gegen Eindringlinge. Um das (eigene) System und die eigenen Daten gegen unbefugten Zugriff und Mißbrauch zu schützen, müssen "gute" oder "robuste", d. h. ausreichend sichere, Paßwörter gewählt und diese sorgfältig behandelt werden.

Studien zeigen jedoch, daß die meisten Benutzer Paßwörter wählen, die recht einfach zu erraten sind - z. B. ihren Benutzernamen, ihre Initialen, ihr Geburtsdatum, den Namen eines Familienmitglieds oder Haustiers oder andere personenbezogenen Daten. Neben dieser Art Paßwörter, die praktisch keinen sicheren Schutz bieten, gibt es eine Vielzahl weiterer Paßwörter, die ebenfalls als unsicher anzusehen sind und dennoch oft verwendet werden. In diese Kategorie fallen auch alle Wörter, die in einem Lexikon oder Wörterbuch irgendeiner Sprache zu finden sind, wie z. B. deutsche oder englische Wörter, Namen von berühmten Personen, Tieren, Fahrzeugen oder Städten. Online-Verzeichnisse gängiger Paßwörter, wie sie z. B. im Internet zu finden sind, enthalten außerdem weitere Zeichenketten, wie z. B. Namen von Charakteren aus Filmen oder Büchern, Bezeichnungen von Gegenständen aus Science-Fiction Serien oder einfache Ziffern- und Buchstabenketten. Auch diese Wörter sollten keinesfalls als Paßwort verwendet werden.

Das Problem ist, daß ein Angreifer nicht notwendigerweise das Paßwort eines bestimmten Benutzers erraten muß, um Zugriff auf ein System zu erhalten - das Paßwort eines beliebigen Benutzers reicht ihm üblicherweise (erstmal) aus. Mit Hilfe von elektronischen Wörterbüchern ist ein Angreifer heute in der Lage, einen Großteil der Paßwörter, die Benutzer üblicherweise wählen, zu erraten. Wenn jedoch ein "gutes" Paßwort (siehe nachfolgende Erläuterungen) gewählt wird, sollte es einem Angreifer nicht möglich sein, dieses zu erraten - egal ob mit oder ohne Wörterbuch.

Auch die Länge eines Paßworts ist ein entscheidendes Kriterium für seine Robustheit. Wenn ein Benutzer ein Paßwort aus zufälligen Zeichen gewählt hat, so daß dieses nach obigen Kriterien nicht einfach zu erraten oder mit der Hilfe von Wörterbüchern zu finden ist, so muß ein Angreifer nacheinander alle möglichen Zeichenkombinationen ausprobieren, bis er das richtige Paßwort gefunden hat (sogenannter "Brute-Force-Angriff").
Natürlich wurde dieser Prozeß bereits automatisiert. Theoretisch dauert es umso länger, alle möglichen Zeichenkombinationen auszuprobieren, je länger das gewählte Paßwort ist. Der benötigte Zeitaufwand steigt dabei mit zunehmender Länge des Paßwortes exponentiell.
Bei einem Paßwort bestehend aus acht zufällig gewählten Zeichen aus der Menge aller Kleinbuchstaben, Großbuchstaben, Ziffern sowie einiger Sonderzeichen (insgesamt also ein Vorrat von ca. 80 Zeichen) gibt es ca. 1 680 000 000 000 000 mögliche Kombinationen. Mit einem System, welches eine Million Kombinationen pro Sekunde ausprobieren kann (und dies ist viel mehr, als der Computer eines durchschnittlichen Angreifers schaffen dürfte), würde es durchschnittlich 25 Jahre dauern, das richtige Paßwort herauszufinden.
Verkürzt man die Länge des Paßworts von acht auf sechs Zeichen, so gibt es nur noch ca. 262 000 000 000 mögliche Kombinationen. Das Herausfinden des richtigen Paßwortes würde mit einem Computer o. g. Rechenleistung hierbei durchschnittlich lediglich 1,5 Tage dauern.



Schlechte Paßwörter

Das schlechteste aller Paßwörter ist gar keines. Benutzerkennungen, die nicht durch ein Paßwort geschützt sind, stellen ein hohes Risiko für die Sicherheit eines Systems und die in ihm gespeicherten Daten dar.
Ebenfalls kritisch sind (nach einem bestimmten Schema) automatisch generierte oder vom Systemadministrator vergebene Default-Paßwörter, die nicht vom Benutzer geändert wurden.

Im folgenden sind einige Beispiele aufgeführt, welche Paßwörter als "schlecht", d. h. nicht ausreichend sicher, anzusehen sind und keinesfalls verwendet werden sollten.
  • Die eigene Benutzerkennung,

  • der Vor- oder Nachname des Benutzers,

  • Namen von Familienmitgliedern, Lebenspartnern, Freunden oder Haustieren,

  • Zeichenfolgen, die sich aus dem persönlichen Umfeld des Benutzers ergeben (Geburtsdaten wie z. B. "020871", Adressen wie z. B. "PostStr42" oder Abteilungsnamen wie z. B. "Mun.Phys"),

  • einfache Buchstaben- oder Ziffernfolgen ("qwertz", "abcdef", "12345678", "08154711"),

  • Namen von Städten, Orten oder Ländern ("Hamburg", "Bodensee", "Mexiko"),

  • gängige Wörter aus natürlichen Sprachen ("Sonne", "holiday", "musica"),

  • Namen von Gegenständen oder Personen aus Filmen oder Büchern ("Enterprise", "Spock", "Romeo", "Hamlet"),

  • der Name der Institution, deren Rechner man benutzt ("RHRZ"),

  • der Name von Rechnern, auf denen das Paßwort gültig ist ("ux-2s02", "zeus")

  • Wörter, die häufig als Paßwörter für Default- oder Gastkennungen vergeben werden ( "test", "admin", "gast", "guest").


Als unsicher sind jedoch nicht nur die oben dargestellten Arten von Paßwörtern, sondern auch alle einfachen Ableitungen daraus anzusehen. Dies sind beispielsweise:
  • Der Begriff rückwärts geschrieben ("rehcisnu"),

  • der Begriff mit abwechselnden Groß- und Kleinbuchstaben geschrieben ("UnSiChEr"),

  • der Begriff, ergänzt um eine einzelne Ziffer oder ein einzelnes Sonderzeichen am Anfang oder am Ende ("Unsicher5").



Gute Paßwörter

Ein "gutes" Paßwort sollte keine der unter "Schlechte Paßwörter" genannten Eigenschaften aufweisen und außerdem folgende Kriterien erfüllen:
  • Das Paßwort sollte länger als sechs Zeichen sein. Optimal sind acht oder - wenn es das System erlaubt - auch mehr Zeichen.
    Bei vielen (Unix-ähnlichen) Systemen ist die Länge eines Paßwortes jedoch auf acht Zeichen beschränkt (was im allgemeinen jedoch eine ausreichende Sicherheit bietet, wie die Rechnung oben zeigt), auf anderen Systemen sind auch längere Paßworte möglich. (Achtung: Oft ist die Eingabe von mehr als acht Zeichen möglich, für die Überprüfung des Paßwortes sind jedoch immer nur die ersten acht Zeichen relevant, der Rest wird ignoriert!)
  • Das Paßwort sollte sowohl Groß- als auch Kleinbuchstaben sowie mindestens zwei Zeichen aus der Menge der Ziffern und Sonderzeichen ("!", "&", "-" u. ä.) enthalten.
    Vorsicht ist jedoch bei der Verwendung von Umlauten oder bestimmten Sonderzeichen geboten: Diese lassen sich nicht auf jedem Terminal problemlos eingeben (z. B. wenn das Terminal nicht über ein deutsches Tastaturlayout verfügt), was unter Umständen einen Remote-Login unmöglich macht!


Tips zur Wahl von guten Paßwörtern

Nachdem nun viele Kriterien genannt wurden, die ein gutes Paßwort auszeichnen, stellt sich die Frage, wie man ein solches Paßwort geschickt wählt - denn ein ansich gutes Paßwort ist auch schlecht, wenn es so schwer zu merken ist, daß es irgendwo aufgeschrieben werden muß (und schlimmstenfalls dann auf einem Zettel steht, welcher am Bildschirm oder unter der Tastatur klebt).
Nachfolgend werden drei Verfahren vorgestellt, mit denen sich gute Paßwörter erzeugen lassen, die anschließend (für den Erzeugenden, da dieser die "Eselsbrücken" kennt) einfach zu merken sind.


Collage-Verfahren
Man wählt mehrere kurze Wörter und kombiniert diese mit Ziffern und Sonderzeichen. Dabei sollten sowohl Groß- als auch Kleinbuchstaben benutzt werden.
Beispiele: "Zug+2Weg" oder "Tee!Rot5".

Alternativ kann man auch ein beliebiges Wort wählen und dies in eine andere Sprache übersetzen. Dann nimmt man von beiden Wörtern die ersten drei Buchstaben (die natürlich in beiden Wörtern unterschiedlich sein sollten) und kombiniert diese wie oben geschildert.
Beispiele: Aus "Anfang" und "beginning" wird "ANF4beg7" oder aus "Bild" und "image" wird "Ima2+Bil".


Akronym-Verfahren
Man wählt einen beliebigen Satz, den man sich selbst gut merken kann. Dabei sollte es sich jedoch möglichst nicht um ein berühmtes Zitat o. ä. handeln. Als Paßwort verwendet man die Anfangsbuchstaben der Wörter dieses Satzes und fügt an geeigneten Stellen (weitere) Ziffern oder Sonderzeichen ein.
Beispiel: Aus "Paßwort hat acht Zeichen und ist ausreichend sicher." wird "Ph8Z&ias".


Wortverfremdung
Man wählt ein Wort, schreibt dieses absichtlich falsch und ersetzt anschließend einzelne Buchstaben durch ähnlich aussehende Ziffern oder Sonderzeichen.
Beispiel: Aus "Security" wird "Se(vr1tY".



Sicherer Umgang mit Paßwörtern

Ein nach obigen Kriterien gewähltes "gutes" Paßwort gewährleistet jedoch keinen Schutz, wenn es selbst nicht ausreichend vor unbefugten Zugriffen geschützt wird und dadurch (vielleicht sogar unbemerkt) Dritte Kenntnis von dem Paßwort erlangen könnten. Nachfolgend sind einige wichtige Regeln aufgelistet, die beim Umgang mit Paßwörtern unbedingt beachtet werden sollten.

Eine obere Regel im Umgang mit Paßwörtern sollte sein:
"Behandle deine Paßwörter wie deine Zahnbürste: Benutze sie täglich, wechsle sie regelmäßig und teile sie NICHT mit deinen Freunden!" (aus dem Usenet).

Einzelne wichtige Regeln, die teilweise schon angesprochen wurden, sind:
  • Ein Paßwort sollte nur dem Inhaber der dazugehörigen Benutzerkennung bekannt sein und auch an Freunde oder Bekannte niemals weitergegeben werden.

  • Man sollte sich bei der Eingabe eines Paßwortes nicht über die Schulter schauen lassen.
    Auch wenn ein Dritter das Paßwort bei der Eingabe nicht genau erkennen kann, so ist es ihm - je nach Verteilung der in dem Paßwort vorkommenden Zeichen auf der Tastatur und dem eigenen "Tippverhalten" - durch seine Beobachtung unter Umständen möglich, den Zeichenvorrat für einen Brute-Force-Angriff (wie oben erläutert) stark einzuschränken und das Paßwort auf diesem Wege schnell herauszufinden.

  • Paßwörter sollten möglichst nie irgendwo aufgeschrieben werden - besonders nicht in der Nähe eines Systems, auf dem sie gültig sind (also keine Zettel am Bildschirm, unter der Tastatur oder in der Schublade!).
    Muß ein Paßwort aus einem besonderen Grund dennoch einmal notiert werden, so sollte es keinesfalls als solches erkennbar sein - man könnte es z. B. auf eine für Dritte nicht leicht durchschaubare Weise mit weiteren Zeichen mischen. Weiterhin sollte ein Paßwort nie zusammen mit der Benutzerkennung oder dem Namen des Systems auf dem es gültig ist aufgeschrieben werden - auch ein "verfremdetes" Paßwort nicht.

  • Paßwörter sollten niemals elektronisch gespeichert (z. B. Datei mit Paßwort-Liste auf der Festplatte) oder per E-Mail versandt werden - es sei denn, die Dateien bzw. E-Mails werden ausreichend stark verschlüsselt (z. B. mittels PGP).
    Auch die (gerade unter Windows) von vielen Applikationen angebotene Option "Paßwort speichern" sollte - auch wenn sie nützlich erscheinen mag - möglichst nie aktiviert werden, da die Paßwörter dabei meist nicht ausreichend stark verschlüsselt oder im schlimmsten Fall sogar im Klartext auf der Festplatte gespeichert werden.

  • Wird bekannt, daß ein Dritter - absichtlich oder versehentlich - Kenntnis von einem Paßwort erlangt hat, so sollte das Paßwort umgehend geändert werden.

  • Alle Paßwörter sollten in angemessenen Abständen geändert werden.
    "Angemessen" hängt dabei von den Anforderungen an die Sicherheit des Systems und den darauf gespeichertden Daten ab. Üblicherweise ist ein Intervall von drei bis sechs Monaten bei normalen Benutzerkennungen und ein Intervall von ein bis zwei Monaten bei priviligierten Konten ausreichend.

  • Für verschiedene Benutzerkennungen auf dem gleichen System bzw. für Kennungen auf verschiedenen Systemen sollten unbedingt auch verschiedene Paßwörter gewählt werden.
    Werden viele Paßwörter benötigt, so empfiehlt es sich - um sich diese merken zu können und nicht aufscheiben zu müssen - "Familien" von Paßwörtern anzulegen. Diese Paßwörter sollten auf eine für den Inhaber systematische, nach außen aber nicht offensichtliche Weise erzeugt werden. Es könnte beispielsweise nach einem der oben vorgestellten Verfahren ein sechs Zeichen langes Paßwort erzeugt werden, bei dem dann an zwei bestimmten Stellen je ein Zeichen eingefügt wird, welches sich aus dem Namen, der IP-Adresse o. ä. des Rechners ableitet, auf dem das Paßwort gültig ist.

Neben diesen für alle Benutzer wichtigen Regeln sollten Systemadministratoren außerdem auch die folgenden Regeln beherzigen:
  • Jede Benutzerkennung sollte mit einem Paßwort versehen sein. Es sollte keine Anmeldung unter irgendeiner Benutzerkennung ohne die Eingabe eines Paßwortes möglich sein (auch nicht bei "Gast"- oder "Test"-Konten).

  • Auf einem neu installierten oder vorinstalliert gelieferten System sollten alle evtl. vorhandenen Default-Paßwörter geändert werden, bevor das System zur Anmeldung für Benutzer freigegeben wird. Dies gilt insbesondere für alle priviligierten Konten sowie für alle "Test"- und "Gast"-Konten mit Benutzerkennungen wie "root", "Administrator", "test", "demo", "guest" usw.

  • Außer in Fällen, bei denen keine andere Möglichkeit besteht, sollte es unbedingt vermieden werden, "Gruppenkennungen" einzurichten, bei der sich mehrere oder alle Mitglieder einer Arbeitsgruppe unter der gleichen Benutzerkennung und mit einem einzigen allen Mitgliedern bekannten Paßwort am System anmelden.
    Gruppenkennungen können u. a. zu folgenden Problemen führen:
    • Eines der Gruppenmitglieder macht versehentlich oder absichtlich (Saboteur) einen Fehler. Dieser wirkt sich bei einer Gruppenkennung schnell auf den kompletten Datenbestand der Arbeitsgruppe aus.
    • Im Fehlerfall ist es schwierig, den Verursacher zu identifizieren, wenn dieser sich nicht freiwillig meldet.
    • Mit wachsender Anzahl von Mitgliedern der Arbeitsgruppe, d. h. auch der Anzahl von Personen, denen das gemeinsame Paßwort bekannt ist, steigt die Gefahr, daß das Paßwort an Dritte weitergegeben wird.
    • Man verliert schnell den Überblick, wem das gemeinsame Paßwort - z. B. auch noch nach dem Ausscheiden aus der Arbeitsgruppe - bekannt ist und wem nicht.

  • Scheidet ein Mitarbeiter aus dem Unternehmen aus, so sollte - soweit keine besonderen Gründe dagegen sprechen - das Paßwort seines Benutzerkontos umgehend geändert bzw. das Konto deaktiviert oder gelöscht werden.


Weitere Informationen zum Thema IT-Sicherheit, Tips zum sicheren Arbeiten, Literaturhinweise sowie das "Online-Lexikon der IT-Sicherheit" finden sich unter http://www.hungenberg.net/th/home/sicherheit/




[ HTML 4.0 validated ] [ Best viewed with ANY browser! ]
http://www.hungenberg.net/th/home/sicherheit/sicheresarbeiten/passwoerter.phtml
Hinweise (Impressum, Urheberrecht, Haftung) zu dieser Homepage.