Passwortmanager? Zettel, Stift, Kühlschrankmagnet

Über Passwörter und Sicherheit - Teil 1 von 3

von Dr. Tomás Silveira Salles
Lesedauer ca. 4 Minuten

Über den Autor

Dr. Tomás Silveira Salles

... ist nicht nur IT-Sicherheitsexperte sondern auch Nutzer zahlreicher Online-Accounts und ein Passwort-Hasser mit schlechtem Gedächtnis.

Es ist 2019: Bots können uns Frisörtermine buchen, im Weltall fliegt irgendwo ein Tesla herum und doch haben wir immer noch keine gute Alternative zum Konzept des Passworts um uns bei Online-Diensten anzumelden. Das Volk hat gesprochen! Und es hat gesagt ,,wir können uns nicht merken ob jetzt das 'I' durch eine '1' oder ein Ausrufezeichen ersetzt wurde".
Warum ist das so ein schwieriges Thema? Versuchen wir am besten, das Problem erstmal zu verstehen und dann schauen wir wie eine Lösung aussehen könnte.

Fangen wir an mit der Frage: Was macht Online-Dienste unsicher?

Oma will twittern

Für jeden Angriff auf persönliche Daten gibt es ein Kosten/Nutzen Verhältnis dass zu Ungunsten des Hackers ausfallen sollte

Karsten der Klugscheißer ist bei Oma Kathrin zu Besuch. Die hat neulich zum 110. Geburtstag einen Laptop geschenkt bekommen und sich seit dem überall angemeldet: GMail, Twitter, seanconneryfanclub.com ... und vieles mehr. Dann hat sie alle ihre Passwörter auf einen Zettel geschrieben und den mit einem Magneten an den Kühlschrank geheftet. Sofort heißt es von Karsten: ,,Oma, bist du verrückt?! Das geht gar nicht!". Eine halbe Stunde lang redet er auf Oma ein. Sie läßt ihn reden und sagt schließlich nur ,,aber Karsten, wenn dein Passwort-Manager gehackt wird, kriegt der Angreifer auch alle deine Passwörter, und das kann er von zu Hause aus machen, anonym, mit viel weniger Risiko verhaftet zu werden als wenn er in mein Haus einbrechen würde. Außerdem kann er mit so einem Angriff direkt auf tausende von Benutzer zielen und bei Erfolg viel mehr Geld verdienen oder viel mehr Chaos verursachen."

Nun, da Karsten eine Weile so gar nicht weiß was er sagen soll, nimmt sich Oma die Zeit Ihren Gedanken auszuführen: Ja, es wäre durchaus möglich ihre Passwörter zu klauen, aber man muss es nicht unmöglich machen, sondern nur ungünstig.

Ein Angreifer müsste erstmal über Oma Kathrin recherchieren und herausfinden, dass sie ihre Passwörter aufgeschrieben hat und wo. Dann müsste er in ihr Haus einbrechen - wobei er ertappt werden oder Spuren hinterlassen könnte. Dann müsste er alle von Omas Accounts blockieren, indem er alle Passwörter und Sicherheitsfragen ändert. Dann würde er vielleicht die Daten kopieren um endlich von Oma Lösegeld dafür zu erpressen.

Bei manchen Accounts könnte Oma Kathrin einfach anrufen, die Situation erklären und alles wiederherstellen. Bei manchen anderen würde sie sagen ,,ist mir egal, behalt' die Daten". Am Ende würde der Angreifer, wenn er Glück hätte, vielleicht 1.000 € bei der Aktion verdienen. Wenn er Pech hat, würde er sogar ein Paar Jahre im Gefängnis verbringen. Sehr großer Aufwand, sehr hohes Risiko mit sehr schwerwiegenden möglichen Konsequenzen und geringe Chancen überhaupt Erfolg zu haben mit Aussicht auf einen geringen Gewinn.

,,Dabei könnte er als selbstständiger App-Entwickler in einem Wochenende, ohne Risiko und mit weniger Arbeit, mehr Geld verdienen", beendet Oma schließlich Ihre Ausführungen. Dazu kommt die Tatsache, dass der Angreifer so eine Aktion nicht beliebig oft durchführen könnte, sonst würde er auf jeden Fall irgendwann dafür bezahlen.

Oma Kathrin hat also garnicht erst versucht, einen Angriff unmöglich zu machen - nur umständlich. Zu umständlich für ein Angriffsziel wie sie, die nicht viel Geld besitzt, keinen politischen Einfluß hat und auch keine wirtschaftliche Macht.

Ähm... ist das ein ernsthafter Vorschlag?

Es wäre ein großer Schritt, wenn Passwort-Diebstahl sich zumindest nicht mehr automatisieren ließe

Nein, natürlich nicht. Die Geschichte mit dem Zettel soll uns nur zum Nachdenken anregen, was wir überhaupt erreichen wollen wenn es um Online-Sicherheit geht. Der ernsthafte Vorschlag ist eher: Lasst uns dafür sorgen, dass Angriffe nicht mehr automatisiert werden können, dass Angreifer nur einzelne User erreichen können, statt tausende oder Millionen gleichzeitig, indem für Angriffe physische, risikoreiche Arbeit vor Ort erforderlich ist und letztendlich, dass der Gewinn bei erfolgreichen Hacks möglichst minimiert wird. Diese Maßnahmen würden unsere Online-Leben schon dadurch schützen, dass sie einen normalen Job als Entwickler attraktiver machen als, den "Blackhat" Lebensstil.

Und das ist alles gar nicht so schwierig zu erreichen, wenn man sich mit IT-Sicherheit auskennt. Es hat aber einen hohen Preis, der für die allermeisten Benutzer unbezahlbar ist: Umständlichkeit. Wir dürfen nicht vergessen, wie unfassbar praktisch Passwörter sind und wie ungnädig die Menschen mit Technologien sind, die ihr Leben schwieriger machen. Bequemlichkeit gewinnt immer gegen Sicherheit.

Ein Beispiel: Jeder weiß, man soll immer unterschiedliche Passwörter für unterschiedliche Accounts benutzen. Das sorgt für den letzten Punkt der obigen Wunschliste, nämlich dass der Gewinn bei einem erfolgreichen Angriff gering bleibt, weil der Angreifer auch nur auf einen Service zugreifen kann, wenn er nur aus einem Service die Passwörter geklaut hat. Doch das macht natürlich fast kein Mensch, weil es so umständlich ist. Heute, wo Passwort-Manager populär sind, fangen viele Menschen an, ihre Passwörter zu verändern. Dafür benutzen sie aber ein Masterpasswort für den Manager, welches niemals geklaut werden darf. Heißt, man muss dem Passwort-Manager absolut vertrauen. Ob man nun einen Passwort-Manager benutzt oder nicht, am Ende hat man in der Praxis also fast immer ein Masterpasswort, oder zwei oder drei sehr mächtige Passwörter.

Die Lösung?

Gute Frage. Wenn es einfach wäre, dieses Problem zu lösen, hätten wir oder jemand anders es bereits getan, und dann könnten wir uns auch wieder bei Skype anmelden nachdem wir durch ein Update automatisch abgemeldet wurden! (Wie war das nochmal? Ich glaube es war doch ein Ausrufezeichen...)

Aber keine Sorge: Aufgegeben haben wir noch nicht. Hier weiterlesen...

Mehr Insights