Alles über Passwörter! Dieser Artikel ist der Auftakt zum Heftschwerpunkt rund um System- und Onlinepasswörter, Passwortverwaltung und Zertifikate. Hier geht es zunächst um einfache Einschätzungen, welche Kennwörter besonders sensibel sind.
Viele Nutzer von PCs und Mobilgeräten sind sich nicht bewusst, wie viele und welche Zugangsdaten sie im Alltag verwenden. Ein Log-in samt Passwort ist schnell vergeben und schnell wieder vergessen: Betriebssystem, Browser, Mail- oder FTP-Programm speichern Log-in-Namen und Passwörter und tragen sie automatisch ein, sobald ein bestimmtes Ziel angefordert wird. Wer sich ganz auf die Software verlässt, hat aber theoretisch mehrere Probleme: Die Kontrolle über die Qualität der Passwörter geht verloren. Wenn die Software fehlt, sind Sie ausgesperrt. Und nicht zuletzt: Ist der Ort der Passwortsammlung im Browser, FTP-, Mailclient wirklich sicher (insbesondere auf mobilen Rechnern)?
Welche Passwörter wofür?
Im Heimnetz sind System-Log-ins, Netzfreigaben, Verwaltungsoberflächen (Router, Access Points, Apache-Dienste) nicht sonderlich sicherheitskritisch. Hier ist es vertretbar, sich die Log-ins für mehrere Zugänge mit einem gemeinsamen Kennwort zu vereinfachen, das noch nicht mal hohe Komplexitätsansprüche erfüllen muss. Eine wichtige Ausnahme ist nur das WLAN-Passwort, das den Zutritt Fremder ins Heimnetz verhindern muss: Dieses muss und darf komplex ausfallen, zumal es auf jedem Clientgerät nur einmal eingegeben werden muss.
Einfache Passwörter sind aber nur zulässig, solange Daten und Geräte das Haus nicht verlassen: Jede Öffnung nach außen via Portfreigabe im Router erfordert für dieses Gerät sichere Passwörter und jedes Notebook, das das Haus verlässt, verdient einen gut abgesicherten Systemzugang und Verschlüsselungsmaßnahmen.
Onlinekennwörter sind ebenfalls nicht über einen Kamm zu scheren: Der Zugang zu einer Vereinshomepage ist unkritisch. Hier kann man auch ein Standardpasswort für verschiedene Zugänge nutzen. Sensibel ist hingegen das Mailkonto: Ein gehacktes Mailkonto legt nicht nur die private Korrespondenz offen (bei IMAP unter Umständen die Korrespondenz über Jahre), sondern ermöglicht zudem den Zugriff auf weitere Online-Log-ins: Denn bei den meisten Diensten genügt die Mailadresse, um sich („Kennwort vergessen?“) einfach ein neues Passwort zu beschaffen, das dann an das gehackte Mailkonto geschickt wird. Ebenfalls sensibel sind Bank-, Paypal- und Onlineshop-Log-ins, wo die Kreditkartendaten hinterlegt sind. Letztere sind die fast heikelsten Kandidaten, denn für Transaktionen beim Onlinebanking ist in der Regel eine zusätzliche TAN nötig und bei Paypal lässt sich ebenfalls eine Zwei-Wege-Authentifizierung einrichten.
Voreingestellte Standardpasswörter
Viele Spezialsysteme für Platinenrechner, Router, Access Point, NAS-Speicher werden zunächst mit Standardpasswörtern ausgeliefert. Das heißt, dass der Zugang zur Konfigurationsoberfläche bei diesen Geräten und damit deren Verwaltung mehr oder weniger jedermann offensteht. Das ist im Privathaushalt kein ernstes Problem, solange solche Geräte nicht für das Internet geöffnet werden (etwa Internetzugriff in der Fritzbox, Portfreigabe für NAS-Gerät). Trotzdem ist es überall zu empfehlen, in Firmen sowieso, typische Standards wie „pi“ und „raspberry“, „admin“ und „admin“ (auch „0000“, „1234“ oder ganz leer) durch eigene Passwörter zu ersetzen.
Wo sind die Kennwörter gespeichert?
Die Komplexität von Passwörtern spielt – scheinbar – keine Rolle, weil sich die Software die Kennwörter merkt: So landen etwa die Zugangsdaten für lokale Netzfreigaben im gnome-keyring, in Filezilla ist ein FTP-Serverzugang nur einmal samt Kennwort einzutragen, Browser wie Firefox oder Chrome speichern auf Nachfrage die Login-Daten von Onlinediensten.
Sich auf die Software zu verlassen, hat aber Nachteile und erhöht die Komplexität: Wer nur einen PC oder ein Notebook nutzt, fährt damit bequem. Bei mehreren Geräten muss man dafür sorgen, dass dieselbe Software überall bereitsteht und die Passwörter kennt. Richtig bequem ist das nur beim Browser, sofern Sie sich bei Firefox Sync oder Chrome Sync anmelden und die Passwörter synchronisieren. Dabei übermittelt der Browser die Passwörter an Mozilla oder Google. Dies geschieht verschlüsselt, schafft aber Abhängigkeit vom jeweiligen Browser.
Wer mobile Notebooks nutzt, sollte wissen, dass sich alle Passwörter unter „Einstellungen –› Sicherheit –› Gespeicherte Zugangsdaten“ (Firefox) oder „Einstellungen –› Erweiterte Einstellungen –› Passwörter verwalten“ (Chrome/Chromium) auslesen lassen. Chrome fordert dabei unter Windows das Windows-Kennwort, unter Linux stehen die Kennwörter hingegen offen. Auch Filezilla-Daten oder die Mailkennwörter unter Thunderbird lassen sich auslesen. Firefox und Thunderbird sind aber gut zu schützen, indem man das zusätzliche Masterpasswort einrichtet.
Schlüsseldateien und Security Tokens
Anstatt Passwörter einzugeben, können Zugangsberechtigungen auch in Schlüsseldateien abgelegt werden. Das ist sehr verbreitet bei der SSH-Fernwartung von Linux-Servern, wobei auf dem zugreifenden Client mit dem Tool ssh-keygen ein Schlüssel erstellt wird und der öffentliche Teil desselben dann zum Server kopiert wird. Im Prinzip ist diese Art der Legitimierung einfacher (keine Eingabe) und sicherer (abhörsicher und komplex). Bei physischem Fremdzugriff auf den Client kehrt sich der Sicherheitsvorteil aber ins Gegenteil.
Ein weiteres Beispiel, das optional Schlüsseldateien vorsieht, ist die Verschlüsselungssoftware Veracrypt. Dort ist die Schlüsseldatei jedoch ein zweiter Nachweis neben dem Passwort, also ein zusätzlicher Schutz gemäß der Zwei-Wege-Authentifizierung. Schlüsseldateien erhöhen in jedem Fall die Komplexität: Dass man nach einem Zugangskennwort gefragt wird, ist jederzeit nachvollziehbar. Dass man sich hingegen aktuell nicht anmelden kann, weil man am falschen Rechner sitzt oder weil eine Schlüsseldatei verloren ging, kann Kopfzerbrechen über die Ursache auslösen.
Gute Kennwörter
Wer die unterschiedlichen Sensibilitätsstufen berücksichtigen will, kann sich Passwortstrategien nach folgendem Muster zurechtlegen: Ein einfaches Standardpasswort dient für die meisten lokalen Anmeldungen im Heimnetz. Ein anderes einfaches Kennwort nutzen Sie für unkritische Onlineanmeldungen (Forum, Schule, Verein, Stadtwerke). Für kritische Zugänge verwenden Sie komplexe Passwörter. Um es sich einfacher zu machen, kann ein variiertes Masterkennwort herhalten. Das könnte so aussehen: wien+bonn-kiel=ltrn – wobei „wien+bonn-kiel=“ das Masterkennwort wäre und „ltrn“ jeweils den 2., 4., 6. und 8. Buchstaben der Anmelde-URL von elsteronline. de übernimmt (als Beispiel). Ein solches Schema ist bei jeder Anmelde-URL jederzeit ohne Softwarehilfe rekonstruierbar. Zweifellos ist es aber noch sicherer, für jedes kritische Konto ein unabhängiges, komplexes Kennwort zu nutzen.
Komplexe Kennwörter sind aber kein Allheilmittel: Immer wieder werden die Datenbanken von Händlern und Webdiensten inklusive aller Zugangsdaten gehackt. Dann ist das Passwort in fremden Händen – sei es schwach oder stark.
Daher ist es so wichtig, für eine halb private Vereinsseite oder einen kleinen Onlineshop, die keine anspruchsvolle Sicherheitsadministration erwarten lassen, ein anderes Kennwort zu verwenden als beim Google- oder Mailkonto.