Sie kennen das, oder? Alle 90 Tage kommt diese Mail von der IT, in der Ihnen mitgeteilt wird, dass Sie Ihr Password ändern müssen. Und es sollte bitte Kleinbuchstaben, Großbuchstaben, Sonderzeichen, Ziffern und ein Leerzeichen enthalten. Klingonische Zeichen werden Ihnen genädigerweise dieses Mal erlassen.
Späte Reue
Der Name Bill Burr wird Ihnen sehr wahrscheinlich auf Anhieb nichts sagen. Aber er ist derjenige, dem Sie die obige, hoffentlich satirisch zugespitzte, Mail verdanken. Im Jahr 2003 arbeitete er für das NIST. Das ist eine dem Handelsministerium untergeordnete Behörde, die für Standardisierungsprozesse zuständig ist. Dieser Bill Burr gab im Sommer 2017 dem Wall Street Journal ein bemerkenswertes Interview.
“Das meiste von dem, was ich getan habe, bereue ich jetzt” (Bill Burr, 2017)
Als 72jähriger Pensionär findet er die von ihm 2003 erstellten Richtlinien für starke Passwörter nicht mehr sinnvoll. Die meisten IT-Sicherheitsexperten geben ihm recht. Dieser Artikel will das erläutern und Ihnen praktische Ratschläge für wirklich sichere Passwörter geben. Vielleicht können Sie ja auch dieses Thema in Ihrem Unternehmen ansprechen, denn die Auswirkungen eines zu leicht zu brechenden Passworts werden in der digitalisierten Wirtschaft immer größer werden.
Die Basis
Sein Anhang A zur “Special Publication 800-63” des NIST war ein achtseitiges Dokument, in dem er empfahl, für Passwörter Groß- und Kleinschreibung zu mischen, Ziffern zu verwenden und vor allem auch Sonderzeichen, um vermeintlich starke Passwörter zu erhalten. Da menschliches Verhalten insgesamt recht vorhersagbar ist, war auch klar, welche Passwörter damit entstehen: ähnliche aussehende Zeichen werden durch Ziffern oder Satzzeichen ersetzt, vielleicht ein numerischer Suffix dahinter und fertig ist das Password.
Nein, P@assw0rd ist nicht sicher. Und Am3s1dS!123 auch nicht.
Das größte Problem war aber die Empfehlung Burrs, das Password in regelmäßigen, nicht zu langen Zeitabständen zu ändern, beispielsweise alle 90 Tage. Wen Sie ein Password Am3s1dS!123
haben und es ändern müssen: was wird dann höchstwahrscheinlich das Ergebnis sein? Richtig, Am3s1dS!124
. Das führt einfach nur zu anderen, im Endeffekt genau leicht zu brechenden Passwörtern, was oft noch dadurch von den Systemen forciert wird, die letzten N Passwörter nicht mehr zuzulassen. Es gibt interessante Untersuchungen, die zeigen, dass genau solchen Anforderungen dazu führen, dass Passwörter dann irgendwo notiert werden, weil man bei selten genutzten Konten nicht mehr weiß, ob jetzt 123, 124 oder schon 125 erreicht ist.
Wunderbar, wir haben das Gegenteil von dem erreicht, was wir eigentlich wollten…
Wie kam dann Mr. Burr zu seinen Schlußfolgerungen? Im WSJ-Interview gibt er an, dass der Termindruck damals relativ hoch war und es zudem kaum Literatur zu diesem Thema gab. Also benutzte er unter anderem Dokumente aus den 80ern, die sich mit sicheren Passwörtern beschäftigten. Die darin festgehaltenen Erkenntnisse erschienen logisch und schafften es so in die NIST-Empfehlung. Eine Passwortlänge von 8 bis 10 Zeichen wurde damals auch als ausreichend erachtet. Die 80er mal wieder …
Das Moore’sche Gesetz und die Passwörter
Was hat das Mooresche Gesetz mit Ihrem Password zu tun? Nun, dieses “Gesetz” besagt, dass sich die Anzahl der Schaltkreiskomponenten auf einem integrierten Schaltkreis alle 18 bis 24 Monate verdoppelt. Damit erhöht sich mit jeder Iteration auch die Rechenleistung, die für das Brechen von Passwörtern zur Verfügung steht.
Praktisches Beispiel: der schnellste Rechner der Welt war 1997 ASCI RED. Über 9000 Prozessoren in endlosen Racks auf über 200 Quadratmeter Rechenzentrum für über 500 Millionen Dollar.
2013 konnte man die gleiche Rechenleistung beim Elektronikmarkt des Vertrauens mit nach Hause nehmen: das Ding heißt Playstation 4 und kostete damals 399€!
Dazu kommt noch die Art und Weise, wie Passwörter üblicherweise abgelegt wurden bzw. zum Großteil immer noch werden. Gespeichert wird nicht das jeweilige Passwort im Klartext (ausser Sie sind ein österreichischer Mobilfunkanbieter, aber das ist eine andere Geschichte), sondern ein sogenannter Hash-Wert, eine mathematische Funktion, die für jede Zeichenkette idealerweise eine eineindeutige Art Prüfsumme erzeugt (alle IT’ler bitte weglesen, ich simplifiziere hier). Wenn Sie also Ihr Passwort eingeben, dann berechnet der Computer dieses Hashwert und dieser wird mit der Datenbank der Hashwerte aller Passwörter verglichen.
Was nun seit Jahren bereits übliche Praxis (bei den guten und den bösen Hackern) ist, ist das Erstellen von vorberechneten Hashwerten zu bestimmten Zeichenketten (übliche Paswörter oder alle Kombinationen aus Buchstaben und Ziffern mit 14 Zeichen etc.). Damit müssen nur noch die Hashwerte verglichen werden. Zusätzlich lässt sich diese Suche auch noch durch Rainbow Tables erleichtern, das würde aber den Rahmen dieses Artikels sprengen.
Nur weil’s alle tun, ist es nicht unbedingt richtig
Der Cartoonist Randall Munroe hat bereits 2011 einen Comic-Klassiker veröffentlich, in dem er das Problem (und eine mögliche Lösung) pointiert zeigt:
Entscheidend für die Güte eines Passworts ist heutzutage vor allem die Länge (wie beim Segeln, “Länge läuft”). Stellen Sie sich vor, Sie haben ein Password mit 8 Zeichen aus Buchstaben (klein und groß), Ziffern und Sonderzeichen. Alles zusammen sind das grob (26 * 2)+10+10, also aufgrundet 80 Symbole, aus denen ein Password gebildet werden kann. Bei einer Länge von 8 Zeichen ergibt das maximal 1.6 * 10^15 Kombinationen. Ja, liebe IT-Kollegen, mir ist bewusst, dass bestimmte Kombinationen ausgeschlossen werden, aber das verringert ja die Zahl der Kombinationen und erhöht sich nicht. Und ich wage mal zu behaupten, dass in den entsprechenden Kreisen längst vorberechnete Hashes/Rainbow Tables für alle Windows-Passwörter mit bis zu 12 oder 14 Zeichen existieren.
Als Alternative schaffen wir diesen Sonderzeichen-Zoo jetzt mal ab und verwenden nur Groß- und Kleinbuchstaben sowie das Leerzeichen, den Punkt und das Ausrufezeichen, insgesamt aufgerundet 50 Zeichen. Dafür schreiben wir einen Satz aus Wörtern, den sich ein normaler Mensch merken kann, sagen wir mal mit im Schnitt 32 Zeichen. Das nennt man dann passphrase und meine sind länger als 32 Zeichen :-)
Damit ergeben sich dann 50^32 Kombinationen, das sind 2.3 * 10^54, also Dutzende Zehnerpotenzen mehr! Wie Randall Munroe in seiner Grafik zeigte.
Das Wörterbuch-Dilemma
Ein Kennwort wie im Cartoon (“correct horse battery staple”) ist aber nun nicht so sicher, wie der bisherige Text vermuten lässt. Denn es gibt Wörterbuchattacken, also Vorberechnungen für Passwörter, die aus “häufigen” Wörtern bestehen (diese lassen sich auch aus den im Internet verfügbaren Listen von geknackten Passwörtern oder Marken- und Unternehmensnamen ergänzen). Daher sollte man nicht einfach häufige Wörter nutzen, sondern seine “persönliche” passphrase haben. Wenn dann noch innerhalb des Satz in leicht merkbarer Weise die Sprache gewechselt wird, sind wir schon wesentlich sicherer, z.B. “Siamo stato in Italien in unserem Honeymoon!” – 45 Zeichen und meiner Meinung deutlich besser merkbar als “!PaZuK12GGc0p”.
Nicht nur ein Passwort verwenden
Nicht eines für alle, sondern eines für jeden! (frei nach den Musketieren)
Geben Sie es zu, auch Sie haben ein und dasselbe Passwort für mehr als einen Zugang. Manche Leute benutzen genau ein Password (no risk, no fun), andere haben für jedes Benutzerkonto ein eigenes Passwort (the paranoia approach). Spaß beiseite: stellen Sie sich vor, Ihr Passwort wird aus irgendeinem Grund bekannt. Damit wären beim ersten Ansatz alle Ihre Zugänge mit dem gleichen Benutzernamen (oder einem anderen, den man Ihnen leicht zuordnen kann) kompromittiert. Haben Sie aber nun für verschiedene Systeme verschiedene Passwörter (und idealerweise nicht leicht korrelierbare Benutzernamen), dann ist nur ein Zugang gebrochen.
Es gibt auch Password-Manager, die starke, sehr sehr lange Passwörter generieren, aber dieser Password-Manager benötigt natürlich ein Master-Passwort, damit Sie Zugang bekommen und damit sind wir wieder an der gleiche Stelle (abgesehen davon, dass ein Knacken des Password-Managers den ganzen Schatz öffnet, weshalb ich persönlich nicht zu viel von solchen Tools halte).
Aus diesem Grund sollte (wie zu Anfang des Artikels Bill Burr bereits einsah) auch nicht das sinnlose, regelmäßige Wechseln von guten, nicht gefährdeten Passwörter erzwungen werden. Wir sprechen nicht von einem begründeten Verdacht auf einen Hack des Passworts, dann rigiros sofort neue Passwörter, sofort. Aber einfach nur weil “man es alle 90 Tage tut” ein Password wechseln, geht an der Problematik vorbei. In vielen IT-Abteilungen erinnert diese Thematik aber an die Einstellung “nobody ever got fired for buying IBM”, so dass eisern an mehr als 30 Jahre alten Regeln festgehalten wird. Besser wäre es, durch entsprechendes Training und das sofortige Abweisen beim Ändern (s.o., das ist keine rocket science) mit einem entsprechenden Hinweis an die Benutzer ein entsprechendes Problembewusstsein zu schaffen.
Fazit
Viele heute noch aktuelle Passwortrichtlinien basieren auf Daten und Erkenntnissen, die mittlerweile über 30 Jahr alt sind. In der IT ist das mittleres Neolithikum. Wir sollten in diesen Zeiten mehr über Passwörter und ihre zeitgemäße Handhabung nachdenken. Man kann allen, die die Prinzipien und die technischen Grundlagen nicht vermittelt bekommen haben, keinen Vorwurf machen. Es ist die Verantwortung von uns, die wir über das entsprechende Know-How verfügen, diese Problematik anschaulich für das private und berufliche Umfeld zu verdeutlichen.
Links zum Thema
- Englischer Artikel zum Thema: https://www.passwordping.com/surprising-new-password-guidelines-nist/
- Die neuen Richtlinien: https://pages.nist.gov/800-63-3/sp800-63b.html
- Noch ein guter Artikel: http://daleswanson.blogspot.de/2010/04/picking-good-password.html
- Das WSJ-Interview mit Bill Burr: https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
- Deutsche Zusammenfassungen des Interviews:
- https://www.derstandard.de/story/2000062463061/sonderzeichen-ziffern-und-co-erfinder-bereut-passwort-regeln
- https://www.deutsche-handwerks-zeitung.de/warum-das-perfekte-passwort-eigentlich-ganz-simpel-ist/150/3101/356574
- http://www.sueddeutsche.de/digital/it-sicherheit-der-mann-der-schuld-ist-am-passwort-wahnsinn-bereut-sein-werk-1.3623586