In diesem Jahr feiert der „Ändere-dein-Passwort“-Tag sein 10 jähriges Jubiläum. Es könnte sein letztes Jubiläum sein. Bevor wir aber im Detail darüber nachdenken, werfen wir noch einmal kurz einen Blick in die Geschichte der Passwortsicherheit.
Das amerikanische National Institute of Standards and Technology (NIST) veröffentlich unterschiedliche Standards und Richtlinien, unter anderem auch die Richtlinie für „Digitale Identitäten“. In der Version aus dem Jahr 2003 empfiehlt das NIST Passwortrichtlinien, die regelmäßige Änderungen der Benutzerpasswörter erzwingen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nannte in dieser Zeit entsprechende Empfehlungen in den Dokumenten des IT-Grundschutz. Für Active Directory übernahm Microsoft die regelmäßige Änderung des Passworts als Standard-Richtlinie in ihren Empfehlungen.
Die Folge dieser Richtlinie kennen wir alle. In regelmäßigen Abständen unterbrach der Dialog zur Änderung des Passworts den morgendlichen Anmeldeprozess und trieb dem ein oder anderen den Schweiß auf die Stirn. Gerade erst hatte man das aktuelle Passwort so verinnerlicht, dass man es nicht bei jeder Anmeldung nachsehen musste – so schnell sind drei Monate vorbei. Schnell wurde also aus der untersten Schublade der Zettel mit den 5 letzten Passwörtern herausgekramt. Diese dürfen für das neue Passwort nicht genutzt werden.
Da die Idee, einfach die letzten 6 Passwörter zu rotieren noch zu jung war, musste also noch einmal ein neues ausgedacht werden. Lang musste es nicht unbedingt sein, aber es musste Sonderzeichen, Zahlen sowie Groß- und Kleinbuchstaben enthalten, und es durfte dem alten Passwort auch nicht zu ähnlich sein. Der erste Versuch scheiterte an der Richtlinie, dass nicht drei aufeinanderfolgende Zeichen gleich sein durften, eine unsinnige Regel, aber anschließend wurde das sechste Passwort erfolgreich gesetzt – und es gilt bis heute.
Die 2003 enthaltene Richtlinie zur regelmäßigen Passwortänderung wurde in der Veröffentlichung der NIST-Richtlinie von 2017 wieder entfernt. Offenbar führte diese nämlich dazu, dass die Benutzer ihre Passwörter immer systematischer auswählten und diese damit schwächer wurden. Das BSI zog bereits 2020 sein IT-Grundschutzkompendium nach und fordert seitdem auch keine regelmäßige Änderung der Passwörter mehr.
Die Frage, ob Passwörter nun seit der Überarbeitung der Richtlinien durch NIST und das BSI sicher sind und deshalb nicht mehr geändert werden sollten, lässt sich nicht pauschal beantworten. Es gibt heute aber weitere Verfahren, um zum einen die Sicherheit von Benutzerzugängen zu erhöhen, aber auch die tatsächliche Sicherheit einzelner Passwörter zu überprüfen. Mit FIDO2 gibt es sogar eine Technik, die das Potential hat, Passwörter ein Stück weit aus dem Alltag zu verdrängen. Aber eins nach dem anderen:
Um auch bei einem schwachen oder kompromittierten Passwort den Benutzerzugang möglichen Angreifern nicht preiszugeben, wurde an vielen Stellen eine Mehrfaktor-Authentifikation umgesetzt. Neben dem wissensbasierten Ansatz mit einem (im Kopf gespeicherten) Passwort erfolgt in den meisten Fällen der Abgleich eines zeitbasierten Einmalpassworts (einem sogenannten Token). Das Token wird z.B. mit Hilfe einer Smartphone-Anwendung berechnet und nach der erfolgreichen Passwortprüfung abgefragt. Dabei ist vor allem in diesem Beispiel der Besitz des Smartphones zwar hinreichend, allerdings handelt es sich nicht um einen besitzbasierenden Faktor zur Authentifikation (ganz im Gegensatz etwa zu alternativen Hardwaretoken, die allerdings deutlich seltener zum Einsatz kommen). Vielmehr basiert die Berechnung des Tokens auf der Uhrzeit und einem zuvor geteilten Geheimnis zwischen Benutzer und Dienstanbieter. Kennt man dieses Geheimnis, lässt sich auch auf anderen Geräten oder in speziellen Browser-Plugins das Einmalpasswort berechnen. Das ist zwar gut für Backup-Zwecke, etwa weil das Smartphone defekt oder der Akku leer sein kann, der Sicherheit trägt es aber nur bedingt zu.
Das geteilte Geheimnis der verbreiteten Zweifaktor-Authentifikation muss im Klartext auf beiden Seiten vorhanden sein. Nur so können beide Seiten dasselbe Einmalpasswort berechnen. Sachlich gesehen handelt es sich also eigentlich nur um ein zweites Passwort, aus dem ein Wert zur Authentifikation berechnet wird. Passwörter speichern wir nun eigentlich seit Anfang dieses Jahrtausends aus gutem Grund nicht mehr im Klartext. Hier wird eine Ausnahme gemacht und damit das Benutzerkonto bei möglicherweise kompromittiertem Passwort geschützt.
Wann gilt ein Passwort als kompromittiert? Tatsächlich werden Passwörter heute nur sehr selten in Bruteforce-Angriffen gegen Authentifikations-Backends getestet. Kriminelle erbeuten Passwörter vielmehr, indem sie in die Infrastruktur und auf die Server von Dienstanbietern eindringen und die Benutzerdatenbank kopieren oder direkt auf dem Webserver die Anmeldeinformationen der Benutzer mitlesen. Einmal in einem Datenleak enthalten, finden Benutzername und Passwort ihren Weg durch unterschiedliche Foren, Handels- und Tauschbörsen in die Hände von klassischen Betrügern. Diese können mit den Daten dann ihre betrügerischen Aktivitäten durchführen, etwa im Namen eines anderen Einkaufen oder zur Vorbereitung weiterer Straftaten Domains registrieren, Kredite beantragen, etc.
Dienste wie Have I Been Pwned (HIBP), das Hasso-Plattner-Institut (HPI) oder die Universität Bonn bieten sogenannte Identitäts-Leakchecker an. Mit der Eingabe Ihrer E-Mail erhalten Sie Informationen darüber, ob Daten von Ihnen in einem Leak enthalten waren. Während der australische Anbieter HIBP Ihnen die Ergebnisse einfach auf der Webseite anzeigt und damit vermutlich gegen gute Datenschutzpraxis verstößt, senden das HPI oder die Universität Bonn eine E-Mail mit weiteren Informationen an die eingegebene Adresse. Hinweise auf das konkret in einem Leak enthaltene Passwort bekommen Sie dabei nur beim Identitäts-Leakchecker der Universität Bonn. Dort enthält die E-Mail das erste und das letzte Zeichen des Passworts, das reicht aus, um das eigene Passwort wiederzuerkennen, schützt aber davor, dass ein Krimineller mit Zugangsdaten zum E-Mailpostfach weitere Passwörter erhält.
Mit den Leakcheckern verschieben Dienstanbieter eine Pflicht zur regelmäßigen Prüfung der Passwortsicherheit in Richtung der Benutzer. Da dies nicht zielführend ist, schließlich müsste man zum einen von solchen Diensten wissen und diese zum anderen regelmäßig verwenden, bietet das Bonner Universitäts-Spin-Off und Mitglied des Bonner Cyber Security Clusters Identeco eine Lösung für Dienstanbieter, um Mitarbeiter- und Benutzerkonten im Hinblick auf die Passwortsicherheit zu überprüfen. Damit liegt die Verantwortung wieder bei den Dienstanbietern. Identeco sammelt dafür systematisch Leakdaten in allen Bereichen des Internets und stellt diese den Dienstanbietern datenschutzkonform zur Verfügung. Diese können so alle eigenen Benutzerkonten überwachen und, falls ein Treffer mit gültigen Logindaten auftaucht, das Konto einschränken oder sperren und den verantwortlichen Benutzer informieren. Gemeinsam mit ihren Kunden hat die Identeco bereits Millionen akut gefährdeter Konten, also solche, bei denen ein Login mit geleakten Zugangsdaten möglich war, geschützt und die Benutzer entsprechend informiert.
Einen Login ganz ohne Austausch von Passwörtern ermöglicht der FIDO2-Standard auf Basis von Public-Key-Crypto. Dafür benötigt der Benutzer ein Schlüsselpaar, wie Sie es vielleicht von verschlüsselten E-Mails oder Smartcard-Zertifikaten kennen. Im sicheren Speicher von Computern, Smartphones oder Smartcards legen Benutzer für jeden Dienst, den sie verwenden, einen privaten Schlüssel ab. Der zugehörige öffentliche Schlüssel wird für das Benutzerkonto beim Dienstanbieter hinterlegt. Bei jedem Anmeldevorgang schickt der Dienstanbieter nun eine sogenannte Challenge, das kann eine zufällig gewählte Zeichenkette sein, an den Benutzer. Dieser signiert diese Challenge mit seinem privaten Schlüssel und sendet das Ergebnis zurück an den Dienstanbieter. Mit dem öffentlichen Schlüssel lässt sich nun die vorliegende Signatur prüfen und die Authentifikation ist abgeschlossen. Um mehrere Geräte, z.B. den Computer und das Smartphone für den Login zu verwenden, muss der Benutzer mehrere Schlüsselpaare registrieren. Mit aktueller Hardware im Computer und einem halbwegs modernen Smartphone lässt sich dieser Vorgang für den Benutzer sehr einfach umsetzen. Leider sind noch nicht viele Dienstanbieter zur Benutzung von FIDO2 übergegangen.
Ein pauschaler „Ändere-dein-Passwort“-Tag, an dem einmal im Jahr möglichst umfangreich Passwörter geändert werden sollten, ist heute nicht mehr zeitgemäß. Passwortmanager sind ein gutes Mittel, um Password-Reuse, also die Verwendung desselben Passworts bei unterschiedlichen Diensten, zu verhindern. Gegen den Diebstahl von Klartext-Passwörtern bei den Dienstbetreibern selbst, schützt leider auch ein Passwort-Manager nicht.
Tatsächlich müssen also die Benutzerkonten vor allem durch Verantwortliche in Unternehmen und bei Dienstanbietern geschützt werden. Das bedeutet, dass unabhängig vom Benutzer regelmäßige Prüfungen der hinterlegten Passwörter stattfinden und bekannte oder geleakte Passwörter nicht mehr zur Authentifikation genutzt werden dürfen. Benutzer müssen zuverlässig gewarnt werden und sollten beim Reset des Passworts nicht einfach das alte Passwort wieder verwenden (können), weil es so einfach zu merken war.
Dr. Matthias Wübbeling ist geschäftsführender Gesellschafter der Identeco GmbH & Co. KG und seit 2012 als Forscher im Bereich IT-Sicherheit aktiv. Als Akademischer Rat lehrt und forscht er an der Universität Bonn. Zudem ist er freiberuflich unter anderem Autor für Fachzeitschriften und Speaker im Bereich Identitätsdiebstahl.
Seit Januar 2022 ist Dr. Matthias Wübbeling zudem Vorstandsmitglied des Cyber Security Clusters Bonn e.V.