Sicherheit des Passworts

Obwohl im Web 2.0 Zeitalter fast jede Anwendung einen Benutzernamen und ein Passwort erfordert, gibt es doch sehr wenig bekannte Fälle, bei denen das Passwort tatsächlich gestohlen wurde. Das liegt hauptsächlich daran, dass außer dem Zugang zu Bezahlsystemen, der Zugriff zu Privatdaten für Hacker nicht attraktiv ist. Dabei werden auch heute noch die meisten Passwörter ohne jeglichen Schutz im Internet übertragen.

PW Übertragung

SSL wird in der Regel nur bei Banken- oder Firmennetzen eingesetzt.  Dem Benutzer wird vorgegaukelt, dass die Passwortsicherheit durch lange komplizierte Passworter (strong password) erhöht werden kann. Das ist in den meisten Fällen unsinnig. Das Passwort kann beim Benutzer (schwierige Passwörter wird man sich meist aufschreiben müssen!), beim Eingeben in den PC (Video Kamera, Key Logging), auf dem PC, bei der Übertragung oder auf dem Server abgegriffen werden. Der Benutzer weiß in der Regel nicht, ob und wie die Software in diesem System hinsichtlich der Datensicherheit ausgelegt ist.

Der Bank Pin ist z.B. trotz der vierstelligen PIN Nummer sehr sicher, weil die Übertragung vom Terminal mit einer sicheren Hardwaretastatur und einem Schlüssel gesichert wird und auch die PINs auf dem Server verschlüsselt gespeichert und in Hardware Kryptomodulen verglichen werden. Nach dreimaligem Fehlversuch bei der PIN Eingabe wird das Konto gesperrt. Der PIN wird nie außerhalb der gesicherten Infrastruktur verlangt.

Bei Internet Servern dagegen kann jede Organisation einen eigenen Algorithmus zur Verifizierung des Passworts verwenden – nicht immer sind da wirkliche Sicherheitsexperten am Werk!  Der Benutzer wird in der Regel größte Probleme haben, nachzuweisen, dass er sein Passwort wirklich geheim gehalten hat, da es so viele kritische Stellen im System gibt. Es empfiehlt sich folgende pragmatische Vorgehensweise.:

Passwörter sollten folgenden Klassen zugeordnet werden

  1. Hardware Zugriff  (PC, PDA, Handy)
  2. Arbeitgeber Netze
  3. Finanz Systeme (Bank, Paypal, … ) mit denen Geld transferiert werden kann
  4. Einkauf (eBay, Bahn, Internet Shops, … ) 
  5. Wichtige Persönliche Systeme (eMail, geschützte persönliche Daten, … )
  6. Nützliche persönliche Systeme ( Google, MSN, XING, … )
  7. Junk  

Für Hardwaresicherung sollte man nur ein Passwort und einen PIN (für Handy) verwenden. Diese sollten leicht zu merken sein. Auf keinen Fall darf der Bank PIN auch für das Handy verwendet werden!

Bei Zugriff zum Arbeitgebersystem sollte man sich streng an die Regeln halten, egal wie unsinnig sie manchmal auch sein mögen. 

Bei Systemen mit denen Geld transferiert werden kann, muss für jedes System ein seperates Passwort verwendet werden. Dies empfiehlt auch für Internetshops, in denen eine Vielzahl von Waren angeboten wird wie z.B. eBay. Bei Internetshops mit sehr speziellem Warenangebot genügt es eventuell ein gemeinsames Shop Passwort zu verwenden.  

Für die Systeme 1 – 4 sollte unbedingt eine Liste der URLs zu führen (auf keinen Fall mit Passwort!), damit man, wo überall kritische Passwörter gespeichert sind. Diese Liste sollte entweder handschriftlich geführt und zu Hause an einem sicheren Platz  aufbewahrt oder mit einem Hardware Passwort gesichert auf einer Chipkarte, einem gesicherten USB Stick oder mit dem Hardware Schlüssel verschlüsselt auf dem PC und eventuell dem Handy gespeichert werden. Ich speichere diese kritische Liste auf einer Chipkarte (mit BackUp Chipkarte)

Für wichtige persönliche Daten eMail, Zugriff zu persönlichen Servern usw sollte nur ein Passwort, das man sich gut merken kann,  verwendet werden.

Für wichtige personalisierte Systeme sollte ein weiteres Passwort verwendet werden. Für Systeme die unwichtig sind, aber trotzdem ein Passwort verlangen, sollte man ein Junk Passwort reservieren. 

Folgt man dieser Strategie, so wird ein typischer Benutzer mit etwa 10 Passwörtern auskommen, die man sich mit einem guten persönlichen Algorithmus auch noch gut merken kann. Es hängt nun vom Einzelnen ab, ob er einige Passwörter irgendwo aufschreiben oder abspeichern will, damit er nach einem längeren Urlaub ohne PC noch handlungsfähig ist. Es empfiehlt sich aber hierfür ein paar Euro für einen sicheren Datenspeicher zu spendieren. 

  

Kommentare wieder erlaubt

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s