ArchivDeutsches Ärzteblatt44/2017IT-Sicherheit: Sicher mit starken Passwörtern

MANAGEMENT

IT-Sicherheit: Sicher mit starken Passwörtern

Dtsch Arztebl 2017; 114(44): A-2058 / B-1734 / C-1694

Czeschik, Christina

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Passwörter sind der Dreh- und Angelpunkt heutiger IT-Sicherheit. Ihre Verwaltung lässt sich mit Passwortmanagern vereinfachen. Mehr und mehr werden Passwörter jedoch durch andere Arten der Authentifikation ergänzt und ersetzt.

Foto: raccoondaydream/stock.adobe.com
Foto: raccoondaydream/stock.adobe.com

Das geheime Passwort ist die klassische Art der Authentifizierung gegenüber IT-Systemen, üblicherweise in Kombination mit einem Benutzernamen. Es handelt sich also um eine wissensbasierte Authentifizierung – jeder, der den Benutzernamen und das Passwort kennt, hat Zugang zum derart gesicherten Account.

Anzeige

Beim Wählen eines Passwortes wird von vielen Systemen gefordert, dass es sich um ein „starkes“ Passwort handelt. Das bedeutet, dass es für automatisierte Programme zum „Cracken“ von Passwörtern rechnerisch mit hohem Aufwand verbunden ist, das Passwort zu rekonstruieren. Diese Programme gehen in der Regel mit einer Kombination aus „Brute Force“ (dem stumpfen, möglichst schnellen Durchprobieren vieler Zeichenkombinationen) und Passwort-Wörterbüchern und -Datenbanken vor.

Um ein solches Programm anzuwenden, ist es in der Regel notwendig, dass der Angreifer eine Datei oder Datenbank mit Passwörtern erbeutet, die als sogenannte Hashes gespeichert sind – vergleichbar mit Quersummen der tatsächlichen Werte. Die Angreifer können aus dem Hash nicht erkennen, wie die einzelnen Passwörter lauten; wenn sie den Hash-Algorithmus kennen, können sie aber Tausende und Millionen von Passwörtern – wie oben beschrieben – durchprobieren und die Resultate mit der Hash-Liste vergleichen. In der Vergangenheit sind beispielsweise Adobe (2013) und LinkedIn (2016) Opfer solcher Angriffe geworden.

Privatpersonen können auf der Seite https://haveibeenpwned.com durch Eingabe ihres Benutzernamens oder ihrer E-Mail-Adresse prüfen, ob ihre Nutzerdaten jemals Teil eines solchen Datenlecks gewesen sind.

Was macht ein starkes Passwort aus?

Die folgenden Eigenschaften machen Passwörter besonders resistent gegenüber solchen Angriffen:

  • Länge: Je länger ein Passwort ist, desto länger dauert es für einen Algorithmus, alle möglichen Zeichenkombinationen durchzuprobieren. Einige Experten fordern daher, dass man besser von einem „Pass-Satz“ als einem Passwort reden sollte.
  • Zufällige Zusammensetzung: Wenn ein Passwort oder Teile eines Passwortes in Wörterbüchern des Deutschen, Englischen oder anderer Sprachen, oder in Datenbanken mit häufig gewählten Passwörtern auftauchen dann ist die Wahrscheinlichkeit, dass es geknackt werden kann, höher.

Diese beiden Eigenschaften führen jedoch auch zu besonders schwer zu merkenden Passwörtern. In der Praxis weit verbreitet sind daher etwa auf Notizzetteln festgehaltene Passwörter, die unter der Tastatur des Stations- oder Anmeldungs-computers „versteckt“ werden.

Solche Eselsbrücken stellen bei der täglichen Arbeit in Krankenhäusern und Arztpraxen eine wesentlich größere Sicherheitslücke dar als potenzielle Angreifer von außen, die mittels eines Passwort-Crackers vorgehen.

Eine mögliche Lösung stellen hier Passwortmanager dar – Programme, die die verschiedenen Passwörter eines Nutzers in einer verschlüsselten Datenbank speichern, die ihrerseits mit einem Masterpasswort geschützt ist. Klar ist in dem Fall: Das Masterpasswort muss besonders sorgfältig geschützt werden, da es den schwächsten Punkt des Systems darstellt.

Mehr Sicherheit mit einem Passwortmanager?

Es gibt cloudbasierte Passwortmanager sowie solche, die die Passwörter des Nutzers verschlüsselt lokal speichern. Bei Letzteren ist die Sicherheit der Passwörter vollständig in der Hand des Benutzers, wohingegen der Nutzer bei cloudbasierten Lösungen den Angaben des Anbieters bezüglich der Sicherheit der gespeicherten Passwörter in der Cloud vertrauen muss. Gleichzeitig sind cloudbasierte Passwortmanager aber komfortabler, da der Abgleich der Passwortspeicher zwischen verschiedenen Geräten eines Nutzers von Hand entfällt. Sie ermöglichen zudem die Passwortverwaltung auch für Teams – zum Beispiel für die Mitarbeiter in einer Arztpraxis – unter Kontrolle einer Teamleitung.

Es gibt daneben auch die Möglichkeit, die verschlüsselten Passwortspeicher eines Passwortmanagers mit lokaler Speicherung über einen davon unabhängigen Clouddienst zwischen verschiedenen Geräten zu synchronisieren – dies ist jedoch eher eine Lösung für Bastler.

Sowohl cloudbasierte als auch lokale Passwortmanager lassen sich in der Regel auch in die gängigen Webbrowser integrieren. Beliebte cloudbasierte Passwortmanager sind Dashlane (www.dashlane.com) und Password (www.password.com); Passwortmanager mit lokaler Speicherung sind etwa KeePass (https:// keepass.info), KeePassX (www.keepassx.org) und Password Safe (www.pwsafe.org).

Es handelt sich bei einem Login per Passwort um eine sogenannte
Single Factor Authentication (Einzelfaktor-Authentifizierung) – also eine Authentifizierung, die nur anhand eines einzigen Faktors, nämlich des Passwortes, durchgeführt wird. Werden mehr Faktoren hinzugenommen, spricht man von Zwei- oder Mehrfaktor-Authentifizierung.

Die weiteren Faktoren, die hinzugenommen werden können, müssen nicht wissensbasiert sein wie das Passwort. Bei E-Mail-Anbietern, so zum Beispiel GoogleMail (https://mail.google.com) und Posteo (www.posteo.de), setzt sich immer mehr die Zweifaktor-Authentifizierung durch, bei der als zweiter Faktor der Besitz des Smartphones des Benutzers geprüft wird. Hierzu muss der Besitzer beim Einloggen wie gehabt sein Passwort eingeben, bekommt aber zusätzlich eine SMS mit einem Sicherheitscode geschickt, der ebenfalls eingegeben werden muss. Kennt also ein Angreifer das Passwort, besitzt aber nicht das Smartphone des Accountinhabers, ist ein Zugriff nicht möglich.

Auch mit der Zweifaktor-Authentifizierung kann keine hundertprozentige Sicherheit erreicht werden, denn SMS und E-Mails können ebenfalls von einem Angreifer abgefangen werden. Dies erfordert jedoch einen hohen Aufwand, sodass das Konto bei der Mehrfaktor-Authentifizierung zumindest schon einmal sicherer ist als bei der Verwendung von nur einem Passwort. Immer beliebter werden sogenannte Token für die Zweifaktor-Authentifizierung, beispielsweise der YubiKey (www.yubico.com). Diese sind weniger angreifbar als ein Smartphone.

Biometrische Faktoren zur Authentifizierung

Zusätzliche Faktoren, die etwa bei einer Mehrfaktor-Authentifizierung hinzugezogen werden können, sind biometrische Faktoren wie Iris- oder Fingerabdruckmuster oder die Gesichtsform, die in der Anwendung oft komfortabler, jedoch nicht vollständig resistent gegenüber Diebstahl und Fälschung sind.

Neueste Entwicklungen sind sogenannte verhaltensbasierte Faktoren, beispielsweise der charakteristische Rhythmus, mit dem ein Computernutzer seinen Namen oder einen beliebigen Text auf der Tastatur eingibt.

Dr. med. Christina Czeschik

Das Erstellen
von Passwörtern

  • Starke Passwörter sind lang und enthalten keine Wörter, die in Wörterbüchern zu finden sind. Das führt aber auch dazu, dass sie sich schwerer merken lassen.
  • Tipp: Ein Passwort lässt sich einfach aus den Anfangsbuchstaben eines Merksatzes zusammenbauen, mit Zahlen und Sonderzeichen. So wird beispielsweise aus dem Satz „Schon am frühen Morgen operieren wir eine Gallenblase! Wer noch?“ das Passwort „SafMow1G!Wn?“.
  • Einige Experten bezweifeln mittlerweile, dass das regelmäßige Ändern eines Passwortes wesentlich zur Sicherheit beiträgt (siehe „3 neue und wichtige Richtlinien für Passwörter“ auf dem IT-Sicherheit-Blog www.andresilaghi.com). Es führe vielmehr dazu, dass das aktuelle Passwort dann doch wieder an einer unsicheren, gut zugänglichen Stelle aufbewahrt werde.
  • Wichtig ist dagegen die Verwendung einzigartiger Passwörter. Das heißt, für jeden
    Account sollte ein anderes Passwort genutzt werden.
  • Je mehr verschiedene Benutzernamen und Passwörter verwaltet werden müssen, desto eher lohnt sich der Einsatz eines Passwortmanagers. Cloudbasierte Lösungen sind komfortabel und bieten Features für die Passwortverwaltung im Team. Lösungen mit lokaler Speicherung werden dagegen gemeinhin als sicherer angesehen.
  • Die Verwendung eines Passwortes allein – also einer Einzelfaktor-Authentifizierung – ist weniger sicher als die Verwendung von zwei oder mehr Faktoren. Solche zusätzlichen Faktoren können der Besitz eines bestimmten Smartphones oder eines YubiKey sein.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.