Interview mit Dr. Sven Bugiel, Leitender Wissenschaftler am CISPA Helmholtz Center for Information Security
„267 Millionen Nutzer betroffen: Facebook mit neuem Datenleck konfrontiert“, „Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht“, „Neue Passwort-Leaks: 2,2 Milliarden Accounts betroffen“ – Schlagzeilen wie diese sind mittlerweile fast alltäglich. Ein wichtiger Grund dafür, dass Hacker Zugangs- und Identitätsdaten sowie andere sensible Informationen relativ leicht erbeuten können: Viele Menschen nutzen schlechte Passwörter.
Im Gespräch gibt Dr. Sven Bugiel anlässlich des „Ändere-Dein-Passwort-Tags“ am 1. Februar Tipps, wie sich bessere Passwörter finden lassen und wie sich Nutzerinnen und Nutzer zusätzlich identifizieren können, um sicherer im Netz unterwegs zu sein. Der IT-Sicherheitsforscher leitet die Forschungsgruppe „Vertrauenswürdige Systeme“ am BMBF-geförderten CISPA Helmholtz Center for Information Security.
Wie sieht denn ein starkes Passwort aus?
Es gibt ein paar grundlegende Empfehlungen, um sein Passwort sicherer zu machen. Es sollte zum Beispiel mindestens neun Zeichen lang sein – je länger desto besser. Idealerweise enthält es auch Großbuchstaben, Sonderzeichen und Zahlen, aber wichtiger als die Komplexität ist die Länge des Passworts. Dabei sind leicht zu erratende Sätze tabu. Also: statt des Refrains eines Liedes lieber vier bis fünf zufällige Wörter aneinanderreihen oder alternativ einen merkbaren aber unsinnigen Satz oder ein langes Fantasiewort bilden.
Die meisten Menschen verwenden für ein Passwort aber eher einzelne Wörter als mehrere…
Wird keine Passphrase, sondern ein einzelnes Passwort verwendet, sollte dieses nicht ein Wort aus dem Wörterbuch sein. Auch kein Eigenname, Markenname oder Ähnliches. Selbst augenscheinlich „sichere“ Änderungen solcher allgemein bekannten Wörter ändern nichts an dieser Regel. Also zum Beispiel ein „a“ durch ein „@“ zu ersetzen oder Zahlen anzuhängen, machen diese Wörter nicht sicherer. Und ganz wichtig: auf keinen Fall ein bereits bekanntes Passwort verwenden.
Wie erfährt man denn, welche Passwörter schon bekannt sind und im Netz herumschwirren?
Ein Blick auf die Website Have I Been Pwned zeigt, ob ein Passwort bereits öffentlich ist und somit unbedingt vermieden werden sollte. Einige Onlinedienste und auch Passwortmanager haben einen solchen Check bereits in ihre Benutzer- oder Passwortverwaltung integriert. Auch Google hat eine entsprechende Funktion mittlerweile in den Chrome Browser eingefügt und prüft eingegebene Passwörter gegen eine Liste bekannter Passwörter aus Datenleaks.
Was ist noch wichtig bei der Wahl von Passwörtern?
Ganz wichtig ist, dass wir Passwörter nicht wiederverwenden. Dasselbe Passwort oder eine minimale Modifikation eines solchen sollte niemals bei verschiedenen Onlinediensten genutzt werden. Tut man es doch, sind die angesprochenen Datenleaks umso gefährlicher.
Weshalb ist das so?
Der User hat quasi alle Eier in einen Korb gelegt. Wenn man ein identisches oder sehr ähnliches Passwort bei mehreren Diensten verwendet und das Passwort bei einem Dienst geleakt wird, könnten die anderen Dienste mitbetroffen sein. Datensätze derart auszunutzen, ist eine beliebte Masche von Cyberkriminellen. Wir sprechen hier von „Credential-Stuffing-Attacken“.
Welche technischen Hilfsmittel gibt es, sichere Passwörter zu erstellen?
Ich empfehle einen Passwort-Manager und dessen Passwortgenerierungsfunktion. So lassen sich lange, komplett zufällige Zeichenfolgen für Passwörter erstellen. Browser wie Safari und Chrome machen mittlerweile auch Passwortvorschläge bei Eingaben in Passwortfelder.
Gibt es Methoden, die mehr Sicherheit schaffen als die Authentisierung nur mit einem Passwort?
Am besten ist es, eine Zwei-Faktor-Authentisierung zu aktivieren, zumindest für seine wichtigsten Onlinedienste wie E-Mail-Konten. Der Vorteil dabei ist, dass das Passwort alleine nicht mehr ausreicht, um sich anzumelden oder kritische Einstellungen und Vorgänge auszuführen. Ob der genutzte Dienst eine solche Authentisierung unterstützt, kann man in den Sicherheits- oder Anmeldeeinstellungen im Konto einsehen. Webseiten wie Two Factor Auth bieten einen guten generellen Überblick.
Und das schafft schon ein gutes Maß an Sicherheit?
Ob per SMS, mit einer Authenticator-App auf dem Smartphone oder per USB Security Key: Jede der verschiedenen Optionen für einen zweiten Faktor macht das Konto schon sicherer. Die sicherste aller Optionen ist aber die Authentisierung mit einem hardwarebasierten zweiten Faktor wie einem Security Key.
Und wie lässt sich der Dienst nutzen, wenn der zweite Faktor verloren geht?
Um beim Verlust eines Faktors wie eines Security Keys das Aussperren aus dem eigenen Konto zu vermeiden, sollten mehrere zweite Faktoren aktiviert werden. Zum Beispiel ein Security Key als Standard- und ausgedruckte Einmal-Passwörter als Reservefaktor.
Ist denn eine Zukunft ohne Passwörter denkbar?
Die Vision, dass wir Passwörter irgendwann einmal loswerden, ist auf jeden Fall da und es wird hart daran gearbeitet. Die große Herausforderung ist, eine Lösung zu finden, die zugleich benutzbar, sicher und umsetzbar ist.
Wie könnte eine solche Lösung aussehen?
Eine neue, vielversprechende Lösung ist FIDO2/Webauthn. Dies ist ein neuer Standard für hardwaregestützte Authentifizierung zu Webdiensten, und zwar mithilfe der eben genannten USB Security Keys, Smartphones oder anderer Geräte anstelle eines Passworts. In vielen Fällen unterstützt ein biometrisches Verfahren an den jeweiligen Geräten als zusätzliche Sicherheitsbarriere. Ob sich FIDO2/Webauthn flächendeckend für eine passwortlose Authentifizierung im Web durchsetzen wird, wie es die großen Tech-Firmen gerne sehen würden, wird sich noch zeigen.
Herr Bugiel, wir danken Ihnen für das Gespräch.