Passwort-Management, nicht nur was für Profis?

Erseinmal etwas vorneweg…

Passwort-Management war bis vor einpaar Jahren eigentlich nur was für Nerd´s. Der Internet-Nutzer als Solches hatte ein Passwort für alle seine Anwendungen. In den letzten Jahren hat „die dunkle Seite“ allerdings aufgerüstet. Ging es bis vor ein paar Jahren nur um einzelne Passwörter und Konten, die abgeräumt bzw. leergeräumt wurden, befaßt sich die heutigen Cyber-Kriminalität vermehrt und gezielt mit Identitätsdiebstählen. Es werden gezielt Profile in sozialen Medien gekappert um Schadsoftware zu verbreiten und an Passwortlisten zu gelangen. Wie schützte ich also mich vor einem Passwort-Diebstahl?

 

Kennst du „PriÖff“?

Bevor Du willkürlich Passwörter änderst und dann nicht mehr weißt, wie die einzelnen Passwörter lauten, empfehle ich ein Verfahren, dass „PriÖff“ genannt wird. Beim PriÖff-Verfahren setzt sich das zu vergebene Passwort aus einem Privaten Schlüssel  und einem Öffentlichen Schlüssel zusammen. Daher der Name „PriÖff“. Dieses Verfahren ermöglicht dir sogar, dass Du deine Passwörter verschlüsselt aufschreiben kannst, damit Du immer einen Anhaltspunkt hat. Den privaten Schlüssel kennst nur Du. Um den privaten Schlüssel zu ermitteln, benötigst du einfach die Anfangsbuchstaben aus einem Zeitungsausschnitt.

Öffi
Beispiel eines öffentlichen Passwort-Schlüssels.

 

Nebenstehendes Bild ist ein Beispiel. Die ersten Buchstaben aus diesem Satz lauten: EbaoMdgsuabwwüiT. Ein sehr langer Schlüssel, daher nehmen wir nur die ersten 6 Wörter, also „EbaoMd“. Um den privaten Schlüssel noch sicherer zu gestalten, nehmen wir an der Anfangsposition noch ein Sonderzeichen dazu, also %EbaoMd. Dies ist nun unser privater Schlüssel, den nur wir kennen. Bitte den privaten Schlüssel nirgens aufschreiben, sondern konsequent auswendig lernen. Das kuriose ist in diesem Fall, je abstrakter das Paswort ist, umso leichter kannst du es anwendig lernen. Jetzt kommt der öffentliche Schlüssel. Öffentlich deswegen, weil er sich bei jedem Zugangsdatenpaar (Benutzername und Passwort) ändert. Diesen öffentlichen Schlüssel kannst du dir aufschreiben, denn wenn deine Passwortliste mal abhanden kommt, kann der Dieb damit nichts anfangen, denn er kennt ja den privaten Schlüssel nicht. Der öffentliche Schlüssel setzt sich aus 4 Zahlen zusammen. Mach dir am besten eine Zahlenliste von 1000 bis 9999 und streiche für jedes Passwort eine Kombination weg. Somit erhöhst du deine Sicherheit, denn du vergibst jedes Passwort nur einmal. Zusätzlich erhöhst du nochmals die Sicherheit, wenn du das zweite Zahlenpaar immer zwischen Buchstaben einbringst. Das fertige Passwort könnte also wie folgt lauten: 14%Eboa73Md. Ich rate dir, eine Liste mit deinen öffentlichen Schlüsseln anzulegen und diese handschriftlich anzufertigen. in unserem eben genannten Fall steht in deiner Passwortliste für das o.g Passwort nur 1473.

Warum eigentlich „handschriftlich“ und nicht als Word-Datei? Handschriftliche Aufzeichnung können online nicht entwendet werden! Cyber-Kriminalität beschäftigt sich im eigentlichen Sinne mit dem „Online-Ausspähen“ der Passwörter. Die Tatsache, dass erst ein realer Einbruch begangen werden muss, um an den öffentlichen Schlüssel zu kommen, schreckt die meisten dann doch eher ab. Aber selbst mit einem realen Einbruch hat der Dieb nur den öffentlichen Schlüssel, mit dem er ohne den privaten Schlüssel rein garnichts anfangen kann.

Abschreckung ist ein wichtes Stichwort… eine 100% Sicherheit gibt es auch bei PriÖff nicht. Aber, es dem Angreifer so schwer wie möglich zu machen und ihn dazu zwingen, mehr kriminelle Energie aufzuwenden, als von Ihm eingeplant, schreckt viele Cyber-Kriminelle einfach ab. Denn der Ertrag, den es für die eingesetzte kriminelle Energie gibt, ist im Privatbereich dann doch eher überschaulich.

Du kannst PriÖff auch noch erweitern, indem du einen zweiten privaten Schlüssel verwendest. Lies einfach deinen privaten Schlüssel rückwärts, also dMoabE%. Hier setzen wir auch wieder einen öffentlichen Schlüssel zu. Das ergibt dann 58dMoab12E%. In deiner Passwortliste erscheint dieses Passwort als R5812. Das „R“ ist für dich dann die Info, dass der private Schlüssel rückwärts eingegeben wird.

Ich gebe zu, am Anfang ist das alles sehr kompliziert aber mit ein wenig Übung wirst du dir ganz schnell deinen privaten Schlüssel vorwärts und rückwärts merken können und musst dann nur noch die entsprechenden Zahlen aus deiner Passwortliste hinzufügen.

 

Passwörter in Browsern speichern?

Ein sehr heikles Thema, dass man nicht generell mit Ja oder Nein beantworten kann. Generell ist es sehr einfach, ein im Browser gespeichertes Passwort einzusehen. In Firefox z.B. kannst du deine Passwörter in den „Einstellungen“ unter „Sicherheit“ und dann über den Button „Gespeicherte Zugangsdaten“ einsehen. Unter „Gespeicherte Zugangsdaten“ dann noch auf „Passwort anzeigen“ klicken und die Sicherheitsnachfrage bejahen und schon sind die Passwörter einsehbar. In anderen Browsern ist die Vorgehensweise fast identisch, probier es einfach mal aus. Da sich die Zugangsdaten im Browser also sehr leicht einsehen lassen, empfehle ich, dort Passwörter zu hinterlegen, bei denen nur geringer Schaden angerichtet werden kann.

Eine weitere Option, speziell bei Firefox, ist die Verwendung eines sogenannten Master-Passwortes. Firefox startet erst dann, wenn das Master-Passwort korrekt eingegeben wurde. Somit sind deine Zugangsdaten dann auch erst nach der korrekten Eingabe des Master-Passwortes einsehbar. Dieses Passwort kannst natürlich auch nach dem PriÖff-Verfahren vergeben. Du solltest allerdings aufpassen, dass du nicht zuviele Passörter vergibst, sonst kann es dir leicht passieren, dass Du nur mal schnell was nachschauen willst und erst einmal 5 verschieden Passwörter eingeben musst um an deine gewünschte Information zu gelangen. Mittelmaß ist hierbei also angesagt.

zugangsdaten
So sieht das Fenster mit den Zugangsdaten in Firefox aus.

 

Passwörter regelmäßig ändern

Die nächst höhere Sicherheitsstufe erreichst du, wenn Du in regelmäßigen Abständen deine Passwörter änderst. Um zu verstehen, warum das notwendig ist, muss ich etwas ausholen…

Deine Passwörter werden bei deinem Dienstanbieter (Onlinebanking, Dating-Portal o.Ä.) verschlüsselt abgespeichert. Eine Dieb verschafft sich meist diese verschlüsselte Passwortliste und läßt die verschlüsselten Passwörter durch ein bestimmtes Programm, einen sogenannten Password-Cracker laufen. Ein Password-Cracker decodiert das Passwort durch verschiedene Verfahrensweisen, die die Wahrscheinlichkeit eines Passwortes errechnen. Ein einfaches Passwort, z.B. „Hamster“ ergibt eine einfache Verschlüsselung, da es ein bekanntes Wort ist und sogar noch das „E“ im letzten Wortteil enthält, dass sehr oft in der deutschen Sprache an dieser Stelle vorkommt (Fenster, Hausmeister, Bruder, Wolken usw.). Dadurch braucht der Password-Cracker nur die ersten 4 Buchstaben zu decodieren und kann sich dann den Rest dazudenken. Er braucht also weniger Zeit für die Entschlüsselung. Die Anwendung des PriÖff-Verfahrens macht aus deinem Passwort ein sehr sicheres Passwort, da der Password-Cracker jeden Buchstaben des Passwortes einzeln decodieren muss und keine Anhaltspunkte für ein bekanntes Wort bestehen. Außerdem sind auch noch Zahlen und Sonderzeichen enthalten, die der Password-Cracker dann auch alle einzeln durchlaufen muss. Hierfür braucht er natürlich viel länger. Du siehst also, dass es nicht nur auf ein nicht zu erratendes Passwort ankommt, sondern auch auf den Faktor Zeit. Wenn du regelmäßig dein Passwort änderst und dann auch noch zwischen 2 privaten Schlüsseln hin und her springst, dann hat der Angreifer fast keine Chance, denn er muss jedesmal den Word-Cracker neu ansetzen.

Dieses Prinzip ist schon sehr alt und kam im zweiten Weltkrieg sogar schon zu Einsatz. Nazi-Deutschland entwickelte eine Codierungsmaschine, names Enigma (1). Die Engländer versuchten  den Code der Enigma zu entschlüsseln. Das Codierungsverfahren an sich war eigentlich sehr simpel. Das Wort „Hallo“ wurde einfach nur phasen-verschoben geschrieben. Eine 1-phasige Verschiebung macht aus „Hallo“ ein „alloH“, eine zweiphasige Verschiebung macht daraus „lloHa“. Was die Decodierung so schwierig machte, war die Tatsache, dass die Phasenverschiebung täglich in einer zufälligen Reihenfolge verändert wurden. Hatten die Engländer endlich die passende Phasen-Verschiebung gefunden, um die Texte zu decodieren, mussten Sie am nächsten Tag von neuem beginnen, um die korrekte Phasen-Verschiebung herauszufinden. Der Empfänger hatte eine Liste mit Datum und Phasenverschiebung und musste dann nur die jeweils gültige Phasenverschiebung an seiner Enigma einstellen, um den Klartext lesen zu können. Genau dieses Prizip solltest du auch anwenden. Ein Word-Cracker hilft wenig, wenn du dein Passwort regelmäßig änderst, denn dann muss der Angreifer erneut das neue Passwort herausfinden.

 

Was kannst du sonst noch unternehmen?

Neben der o.g. beschriebenen Passwortsicherheit gibt es noch einige Regeln, die Du beachten solltest.

  • Bei Verwendung von PriÖff: Nie privaten und öffentlichen Schlüssel zusammen aufschreiben!
  • Schalte dein Hirn ein! Kein seriöser Anbieter wird dich im Internet jemals nach deinem Passwort fragen.
  • Lade dir Internetprogramme nur von seriösen Portalen, die dir bekannt, sind herunter. Diese Programme sind meist auf Schadsoftware geprüft.
  • Wenn du unbedingt Seiten mit zwielichtigem Inhalt anschauen möchtest, dann leg dir ein Tablet mit Mobilfunk-Datenflat zu. Wenn du dir dort etwas einfängst, bleibt es dort, solange du das Tablett nicht mit deinem WLAN verbindest. Du solltest generell darauf achten, dass Geräte mit kritischen Inhalten nicht physisch (also per WLAN oder LAN) mit deinem privaten Netzwerk verbunden werden.
  • Lade dein Handy nur über den Strom-Adapter des USB-Kabel. Die Verführung ist groß, das Handy im Büro einfach an den USB-Port vom Büro-Rechner zu laden. Damit schleppst du allerdings potentielle Schadsoftware von deinem Firmenrechner über dein Handy in dein privates Netzwerk. Also Finger davon lassen oder. ggf. einen Strom-Adapter mit in die Firma nehmen.
  • Verwende im Zweifelsfall immer eine kabelgebunde Tastatur. Die Funksignale deiner Tastatur machen an deiner Hauswand keinen Halt. Es ist ein leichtes, diese Funksignale abzufangen und auszuwerten. Stichwort: Passwort-Eingabe!!!

 

Quellennachweis:

(1) = https://de.wikipedia.org/wiki/Enigma_(Maschine)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.