Interview: „Bei der Passwort-Sicherheit ist noch Luft nach oben.”

„QWERTZ“, „9876“ oder „schatzi1“ – dass solche simplen Passwörter keinen echten Schutz für die eigenen Internetkonten bieten, ist inzwischen ein alter Hut. Aber sind Fingerabdruck oder Retina-Scan wirklich sicherer? Sollte man seine Passwörter alle sechs Monate wechseln – oder kann man darauf verzichten, wenn das Passwort lang und komplex genug ist? Und wie schützen wir in Zukunft unsere Daten? Christian Schäfer-Lorenz, Leiter E-Mail-Sicherheit bei WEB.DE, beantwortet zum Tag der Passwort-Sicherheit fünf Fragen rund um sichere Log-ins und den Schutz der digitalen Privatsphäre.

20. März 2018 von Christian Friemel

Lang und individuell: So sollte ein gutes Passwort sein. (c) Shutterstock

F: Wo stehen wir im Jahr 2018 in Sachen Passwörter?

A: Ganz klar erkennbar ist der Trend zu immer mehr Onlinekonten: Die Mehrheit von uns nutzt inzwischen rund 15 anmeldepflichtige Dienste im Netz, von denen alle einen Benutzernamen und ein Passwort erfordern. Da steigt natürlich das Risiko, nachlässig zu werden. Wichtige Grundregeln dürfen auf keinen Fall außer Acht gelassen werden: Vor allem für jeden Dienst ein eigenes Passwort verwenden und dabei auf simple Wörter aus dem Lexikon verzichten. Parallel zur mangelnden Passwort-Sicherheit sind die Nutzer immer mehr dazu bereit, auch sensibelste Daten wie die eigene Bankverbindung, private Videos und Fotos, Geo-Locations oder auch persönliche Dokumente wie Ausweis- oder Vertragsunterlagen auf einen Online-Speicher oder in ein soziales Netzwerk hochzuladen – ohne dabei wirklich zu wissen, was der Plattformbetreiber mit diesen Daten tut oder was eben im Fall eines Hacks oder Datendiebstahls alles passieren kann. Auch beim persönlichen „digitalen Sicherheitsbewusstsein“ ist also noch deutlich Luft nach oben.

 

F: Können uns technische Entwicklungen wie biometrische Scanner oder eine Zwei-Faktor-Authentifizierung weiterhelfen?

A: Das muss man differenziert betrachten. Biometrische Log-in-Verfahren, wie sie beispielsweise heute bei einigen aktuelleren Smartphone-Modellen zum Einsatz kommen, tun im Prinzip nichts anderes, als ein vorhandenes Passwort mit einem biologischen Merkmal zu verknüpfen: Man scannt also den Fingerabdruck oder andere biometrische Merkmale des Anwenders ein, und diese Information wird gespeichert. Das System gleicht dann bei jedem Authentifizierungsversuch die aktuell eingegebene biometrische Information mit der hinterlegten ab. In erster Linie wird so also nur der Prozess der Passwort-Eingabe abgekürzt. Verwendet man trotzdem ein einfaches, also unsicheres Passwort, kann das immer noch gehackt werden. Und diese oberflächliche Bequemlichkeit suggeriert, dass man sich noch weniger um die eigenen Passwörter kümmern müsse. Zusätzlich werfen biometrische Techniken weitere Sicherheitsfragen auf: Wer genau hat mein Retinamuster oder meinen Fingerabdruck? Wo werden diese Daten gespeichert? Und was kann man im Falle eines Datendiebstahls alles damit anfangen? Passwörter lassen sich im Notfall einfach und beliebig oft ändern. Die Anzahl der biometrischen Merkmale eines Menschen ist jedoch limitiert. Bei der Zwei-Faktor-Authentifizierung ist es eher umgekehrt: Hier wird ein Log-in-Prozess mit einem zweiten, zufällig generierten Merkmal abgesichert. Zusätzlich zum Passwort am eigenen Rechner braucht man dann zum Beispiel einen Code, den man per Smartphone-App generiert. Da ist die Bequemlichkeit gerade die Herausforderung: Kann ein Dienstanbieter die Erstellung des zweiten Faktors so einfach gestalten, dass der Nutzer ihn auch wirklich annimmt und regelmäßig verwendet? Wenn ja, dann ist damit definitiv ein zusätzliches Maß an Sicherheit gegeben. Nichtsdestotrotz kommt man auch hier um ein komplexes Passwort nicht herum.

 

F: Als tonangebend in Sachen „sichere Passwörter“ gelten im Allgemeinen die Empfehlungen des National Institute of Standards and Technology, kurz NIST. Im vergangenen Jahr wurden sie zum ersten Mal geändert. Wie schätzen Sie die neue Situation ein?

Eine der interessantesten Überlegungen in den neuen NIST-Empfehlungen ist der Wegfall des regelmäßigen Passwortwechsels. Wenn man einen Nutzer dazu anhält, sein Passwort alle paar Monate willkürlich zu wechseln, ist die Wahrscheinlichkeit hoch, dass er aus Bequemlichkeit einfach nur eine Stelle alternierend ändert. So wird aus einem ohnehin eher sicheren Passwort wie „W4terLo01985?“ schlicht und ergreifend „W4terLo01986?“. Aus IT-Sicherheits-Sicht ist dadurch nicht viel gewonnen. Auf der anderen Seite steigt aber bei einem Nutzer, der 15 oder mehr Passwörter alle sechs Monate ändern soll, das Risiko, dass er den Überblick verliert – oder dann doch dazu übergeht, ein Passwort, das er sich gut merken kann, mehrfach zu benutzen.
Deutlich sinnvoller ist es, pro Nutzerkonto ein wirklich sicheres Passwort mit Ziffern, Groß- und Kleinschreibung sowie Sonderzeichen zu verwenden – und es konsequent zu ändern, wenn man erfährt, dass es kompromittiert wurde. Für die Passworterstellung sind die Empfehlungen des NIST nach wie vor die gleichen: Je länger und komplexer, desto sicherer.

 

F: Wenn für jedes Konto ein eigenes Passwort genutzt werden soll, sind dann Passwortmanager eine Lösung?

A: Prinzipiell schlecht ist das Passwortmanagement mit einer solchen Software sicher nicht, sie hilft auf jeden Fall dabei, die „Ein-Passwort-pro-Dienst“-Regel auch wirklich einzuhalten. Allerdings sollte man auch beim Einsatz eines Passwortmanagers auf einige Dinge achten. So sollte zum Beispiel geprüft werden, ob der Einsatz des Programms plattformübergreifend sowohl auf dem PC als auch auf dem Tablet oder Smartphone möglich ist. Falls ja, bedeutet das, dass die Passwörter in irgendeiner Form zu einem Cloud-Dienst übertragen werden müssen. Dann sollte man sich anschauen, ob diese Übertragung und Speicherung der Daten verschlüsselt stattfindet und wo genau der Dienstanbieter die Passwörter ablegt – auf einem Server in Deutschland oder im Ausland. Dort können ganz andere rechtliche Zugriffsbedingungen gelten als hier. Und letztlich stellt sich natürlich noch die Frage: Was passiert, wenn man sich zum Beispiel an einem fremden Rechner, auf dem der Passwortmanager nicht installiert ist, ins eigene E-Mail-Konto einloggen will? Für diese Situation sollte man in jedem Fall zumindest das eigene, komplexe E-Mail-Passwort auswendig wissen.

 

 F: Wie sieht es denn jetzt aus, das sichere, perfekte Passwort 2018?

A: Das perfekte, unknackbare Passwort gibt es nicht. Wer genügend Ressourcen, also vor allem Zeit und Rechenleistung aufwendet, wird irgendwann jedes Passwort knacken können. Es kommt viel mehr darauf an, es den Online-Kriminellen so schwer wie möglich zu machen, damit dieser Ressourcen-Aufwand in keinem Verhältnis zur möglichen Beute steht. Dazu sollten die eigenen Passwörter auf jeden Fall komplex und lang genug sein. Um das zu bewerkstelligen, haben wir zum Tag der Passwort-Sicherheit die wichtigsten Tipps in einer Checkliste zusammengefasst. Damit lassen sich die eigenen Passwortgewohnheiten überprüfen, und der Tag der Passwort-Sicherheit ist dafür sicher eine gute Gelegenheit. So kann man eine Menge Risiken für die eigene digitale Privatsphäre von vornherein ausschließen.

 

Kategorien: News, Sicherheit
Schlagworte: E-Mail, Online-Dienste, Passwort, Sicherheit

Verwandte Themen

Earth Day: Vier Schritte zu mehr Nachhaltigkeit bei E-Mail-Nutzung

Die E-Mail ist der Dreh- und Angel-Punkt im digitalen Alltag: Wir nutzen E-Mail-Adressen, um uns bei digitalen Diensten anzumelden, Waren in Online-Shops zu bestellen oder Newsletter zu abonnieren. Der Tag der Erde am 22. April ist eine gute Gelegenheit, sich mit dem Einfluss zu beschäftigen, den unsere digitalen Gewohnheiten auf die Umwelt haben. In vier einfachen Schritten können wir unsere E-Mail-Nutzung nachhaltiger gestalten. mehr

WEB.DE hebt Anforderungen für Passwort-Qualität an

Der E-Mail-Anbieter informiert Nutzerinnen und Nutzer im Laufe der kommenden Wochen per Mail über die Umsetzung einer neuen Passwortrichtlinie. Neue Passwörter werden künftig verstärkt mithilfe technischer Algorithmen auf Qualität, Länge und Komplexität hin überprüft. Die Überprüfung findet unter den gleichen strengen Sicherheitsbedingungen wie die Passworteingabe beim Login statt. mehr