272 Millionen Passworte =^_^=

Im Mai 2016 gab es etwas Wirbel. Ein russischer Hacker hatte sich bereit erklärt, in einem Online-Forum 1,17 Milliarden E-Mail Konten und ihre dazugehörigen Passwörter zu veröffentlichen. Die Belohnung, die er dafür wollte, war einfach – ein Loben, sozusagen auf die Schulter klopfen; ein bisschen Liebe. Als jedenfalls die Dubletten alle rausgefiltert waren, waren es auch keine 1,17 Milliarden mehr, aber 272 Millionen blieben dann doch übrig.

57 Millionen der Adressen waren mail.ru-Nutzer. Mail.ru ist Russlands größter E-Mail Dienst. Und dann waren noch 40 Millionen Yahoo-Nutzer, 33 Millionen Microsoft Mail Account Besitzer und 24 Millionen Accounts, die bei Google gehostet sind. Was macht man jetzt mit solchen Datensätzen?

Der einfachste Fall ist, man verbindet sich immer mal wieder mit diesen Mail-Konten und ruft E-Mails ab. Es lassen sich ja viele interessante Sachen herausfinden. Was sind zum Beispiel andere Dienst, die benutzt werden? – Facebook, Twitter und alle möglichen Reiseportale etc. schicken ja regelmäßig E-Mail Updates, wenn man denn bei ihnen angemeldet ist und diese Updates nicht abgeschaltet hat. Daraus lässt sich schon so manches ableiten. Auch sind solche geknackten Konten natürlich auch super, um Nachrichten zu verschicken. Spam, Porno, Phishing-E-Mails, Trojaner, die man so verbreitet. Das ist schon nicht unpraktisch.

Ein anderer Anwendungsfall ist der komplette Identitätsklau. Die meisten Passwortwiederherstellungen funktionieren ja schließlich, indem eine Wiederherstellungsnachricht an eine E-Mail Adresse verschickt wird. Somit kann man auch auf Verdacht einfach mal bei einem Dienst, der interessant ist, eine entsprechende Funktion auslösen und dann die “So stellen Sie Ihr Passwort wieder her”-E-Mail aus dem E-Mail Account phishen, den man überwacht.

Manchmal ist aber noch nicht einmal das notwendig, denn eine große Menge an Benutzern und jetzt kannst Du Dir mal selber überlegen, ob Du da vielleicht auch dazu gehörst, benutzen eigentlich überall dasselbe Passwort oder eine Variation desselben Passworts. Da wird schnell aus dem einmal vergebenen Schnuckipu11! der Generalschlüssel, der überall anders auch verwendet werden kann. Und vorbei ist es um die Sicherheit.

Wie kann man nun verhindern, dass man so zum Opfer wird, indem einmal ein Passwort irgendwo liegt und alle anderen Dienste damit komprometiert sind. Hier ein paar ganz einfache Regeln, mit denen sich das verhindern lässt:

Regel Nr. 1: Viele verschiedene Passwörter sind besser als ein Generalschlüssel. Wer nämlich überall dasselbe Passwort verwendet oder Passwörter, die nur ganz geringe Abweichungen voneinander haben und zwar Abweichungen, die auch logisch sind. Sobald eines dieser Passworte mal geknackt wurde, der macht sich viel angreifbarer als jemand, der überall ein einzigartiges Passwort verwendet.

Ja, ich weiß, das kann mühsam sein. Ja, ich weiß, es ist nervig sich an all diese Passworte zu erinnern. Aber es gibt Wege, wie man sich da behelfen kann. Zum Beispiel gibt es Tools, die man auf seinem Smartphone installieren kann, die darauf spezialisiert sind, Passwörter zu sichern und im Zweifel kann man die dann nachschlagen. Viele brauchen sowieso nur eine Hand voll Passwörter ständig und den Rest mal eben nachzuschlagen, ist eigentlich gar kein so großer Act.

Feststellung Nr. 2: Lange Passwörter sind sicherer als kurze Passwörter. Das klingt jetzt vielleicht trivial, aber ich meine wirklich, ernsthaft lange Passwörter. Ich schreibe zum Beispiel wirklich gerne komplette Sätze oder zumindest mehrere Wort hintereinander. Die haben einmal den Vorteil, dass das wirklich echte Sätze sein können und die kann man sich nunmal viel besser merken, als irgendwelche kryptischen Zeichenfolgen. Und zum Zweiten sind die eben lang genug, um ein Berechnen durch den Computer fast schon wieder auszuschließen. IchwillvierKekse! ist ein ordentliches Passwort in ausreichender Länge und schwerer zu knacken, als 4QL-21!?a. Ich versprech’s!

Und da sind wir schon bei der zweiten Achillesferse: Wir alle wissen ja, dass man diese Passwörter möglichst kryptisch machen muss oder zumindest haben jahrzehntelang Administratoren genau das von uns verlangt und uns das eingetrichtert. Nur das Problem ist: Dass eigentlich Passwörter nur dann sicher sind, wenn sie schwer zu erraten sind. Und schwer zu erraten sind sie dann, wenn sie aus einer möglichst großen Spanne von Zeichen zusammengesetzt werden. Denn wenn nämlich mal ein Angreifer hypothetisch versucht durch Durchspielen aller Kombinationen die möglich sind, ein Passwort zu erraten, ist es natürlich so, dass viel mehr Kombinationen notwendig sind, wenn mein Passwort aus allen Zeichen, die der Computer darstellen kann, zusammen gesetzt sein könnte, als wenn meinetwegen die Annahme legitim ist, nur die kleinen Buchstaben und die Zahlen von 1 bis 9.

Passwörter, die so brachial erraten werden, werden mit der sogenannten Brute Force Methode erraten. Und diese Brute Force Methode lebt von Statistik. Dass nämlich Angreifer sehr wohl ganz gut wissen, was bequem ist und was wir gerne als Passwörter benutzen. Beispielsweise benutzen wir Zahlen, aber meistens am Ende von Worten. Und beispielsweise sind vorne ganz gerne mal echte Worte, nicht irgendwelche zufälligen Kombinationen, sondern Worte, die wir uns merken können. Zum Beispiel der Name der Ehefrau oder ein Tier oder ein Monatsname, also etwas, was man in einem Wörterbuch nachschlagen kann und was aus Buchstaben besteht.

Genauso ist es statistisch sehr wahrscheinlich, dass der Großbuchstabe, der uns oft abverlangt wird, gleich als allererstes in diesem Passwort auftaucht und es eben auch statistisch sehr wahrscheinlich, dass das Sonderzeichen, welches natürlich ein Sonderzeichen ist, dass über den Zahlentasten ist – keines der anderen Sonderzeichen – dass dieses Sonderzeichen eben am Ende des Passworts verwendet wird.

All diese Annahmen, die so ein Angreifer völlig berechtigt treffen kann, senken die Anzahl der Durchläufe, die wir brauchen um ein Passwort zu erraten – und zwar massiv. Wie sehr, das macht ein kleines Gedankenexperiment deutlich: Nehmen wir mal an, Du vergibst ein Passwort. Dieses Passwort darf nur zwei Stellen haben und muss eine Zahl sein. Du benutzt Dein Geburtsdatum, damit Du es Dir besser merken kannst. Du bist am 16. April geboren, deswegen nimmst Du die 16. Dein Freund wiederum, der wählt diese Zahl komplett zufällig aus. Der nimmt die 42. Einfach, weil ihm diese Zahl am liebsten ist. So ein Zufall – mir auch!

Jedenfalls, ein Angreifer, der jetzt nunmal Passwörter errät, der geht vielleicht davon aus – vielleicht sogar berechtigt – dass viele, die diese zweistelligen Passwortpins vergeben, sich der Einfachheit halber ihres Geburtsdatums bedienen. Und bei Geburtsdaten – per Definition – immer aus maximal 31 Zahlen bestehen können, braucht er schonmal keine 99 Zahlenkombination durchprobieren, sondern kann einfach mal statistisch in den Bereich von 01 bis 31 bleiben. Das verkürtzt die Zeit, die er braucht, um zu raten massiv.

Wenn Du also schon ein kryptisches Passwort vergeben möchtest, dann bitte richtig kryptisch. Sonderzeichen, die mittendrinn im Passwort sind. Zahlen, die keine Geburtszahlen sind und die vielleicht auch an mehreren Stellen auftauchen. Dasselbe mit Groß- und Kleinbuchstaben. Und die Sonderzeichen, die Du verwendest, vielleicht nicht gerade die Sonderzeichen, die über den Zahlentasten 1 bis 9 liegen, sondern welche von den anderen Sonderzeichen.

Boah, das ist aber mal furchtbar zu merken, gell? Was da helfen kann ist, sich selber eine Art Algorithmus – ein Regelwerk – aufzustellen, mit dem man solche Passworte wieder herleiten kann. Ich zum Beispiel greife ganz gerne hinter mir ins Bücherregal, ziehe dort ein Buch heraus, in meinem Fall stehen da auch ein paar Programmierhandbücher drin, und suche mir da ein Passwort, dass ich dann abtippe. Wenn das eine Programmierzeile ist, sind da Sonderzeichen und zwar auch ungewöhnliche Sonderzeichen automatisch inklusive.

Auch schöne Quellen für kryptische Passwörter sind Packungsaufdrucke oder Packungsbeilagen von Medikamenten. Oder man nimmt einfach den ersten Satz, der auf dem Bildschirm steht; nimmt davon die Anfangsbuchstaben, tippt die abwechselnd groß- und kleingeschrieben ein und dazwischen immer Zahl, Sonderzeichen, Zahl, Sonderzeichen, Zahl, Sonderzeichen. Du verstehst was ich meine. So einen Algorithmus ist jedenfalls schwerer zu erraten als Schatziputzi99.

Last but not least: Viele Dienste bieten an, eine zusätzliche Sicherheitsmaßnahme zu ergreifen, nämlich einen Code, der an ein Handy geschickt wird, sobald jemand versucht das Passwort zu ändern. Das ist eine super Idee, schalte das ein! So wird es nämlich wirklich schwer für jemanden, der einfach mal Dein E-Mail Konto plötzlich überwachen kann, auch bei anderen Diensten dann das Passwort zu ändern.

Und dann bleibt noch ein allerletzter Hinweis: Ändere Dein Passwort von Zeit zu Zeit. Und bei “Von Zeit zu Zeit” meine ich nicht alle paar Jahre mal, sondern sagen wir mal, alle acht bis zwölf Wochen. Dann wird es nicht nur relativ unwahrscheinlich, dass jemand Dein Passwort errät und in Deinen Account eindringen kann. Es ist auch recht unwahrscheinlich, dass lange Schaden angerichtet werden kann oder der Schaden sich ausweitet von einem Account zu einem anderen Account und zum dritten Account usw. Und damit hat man eigentlich einen ganz guten Kompromiss getroffen.

Bis bald.