Wie sicher muss ein Passwort sein?

02 Aug 2011 0 Comments , , Estimated reading time: 3 minutes read

Tom König hat sich gestern in sein­er Kolumne Warteschleife auf Spiegel Online darüber beschwert, dass jeder Dienst und jede Web­site ein­en eigen­en Login erfordert. Zudem plädiert er dafür, ein­fache Pass­wörter wie »Mutti« zu ver­wenden.

Er argu­mentiert bei den ein­fachen Pass­wörtern dam­it, dass die beson­ders sens­it­iven Ser­vices EC-Karte oder Mobil­tele­fon nur mit einem sehr ein­fachen vier­stel­li­gen Code gesich­ert sind. Königs Argu­ment­a­tion gre­ift aber hier deut­lich zu kurz. Er über­sieht ein­en ganz deut­lichen Unter­schied zwis­chen einem Dienst wie Face­book und ein­er EC-Karte: Die EC-Karte hat ein nicht zu ver­achtendes Zus­atzmo­mentum gegenüber einem klassis­chen Login — man muss die EC-Karte phys­isch besitzen und eine PIN kennen. Zudem wird die Karte nach drei Fehlver­suchen ges­per­rt. Hier reicht also nicht nur Wis­sen.

Ein klassis­cher Online Login funk­tioniert aber meist nur mit Wis­sen. Und ein Teil des Wis­sens ist meist kein Geheim­nis. Sei es E-Mail-Adresse, Ben­utzer­name oder — schon etwas geheimer — die Kun­den­num­mer. Hier muss also das Pass­wort den allein­i­gen Schutz gewähr­leisten. Folg­lich muss das Pass­wort auch mehr Kom­bin­a­tion­en als eine vier­stel­lige Zahl haben (das sind genau 10000). Diese kön­nte man in ein­er für ein­en Rech­ner recht über­schaubar­en Zeit durch­probier­en. Ähn­lich ein­fach sind auch Dic­tion­ary-Attacks, bei den­en nachein­ander Wörter aus einem Wör­ter­buch durch­probiert wer­den, zu real­is­ier­en. Ins­beson­dere, wenn man über ein Bot­netz ver­fügt. Natür­lich wer­den auch hier Sper­ren nach ein­er bestim­mten Anzahl von Fehlver­suchen seit langem imple­men­tiert, aber auch diese sind ja nur eine Ver­lang­samung des Prob­lems.

Ein wichtiges Ele­ment ist aber auch, dass man für jeden Dienst ein eigenes Pass­wort nutzen soll­te. Dies kann natür­lich nach irgendein­er merkbar­en Regel gebil­det wer­den. Dabei schließen sich leicht zu merken und sich­er nicht gegen­seit­ig aus. Oder man nutzt ein­en Pass­wort-Safe wie 1Password und Last­Pass. Ganz nach Gusto. Den­noch: ohne ein wenig Hirnschmalz, wie man mit sein­en Zugangs­daten umge­ht, geht es bei rein wis­sens­basier­ten Zugangssyste­men nicht.

Google geht mit der 2-Step-Veri­fic­a­tion wie­der­um den Weg ein­er Kom­bin­a­tion aus Wis­sen und Besitz. Und zwar in ein­er sehr kom­fort­ablen Weise. Der Besitzn­ach­weis muss nicht bei jedem Login­ver­such erbracht wer­den, es reicht die ein­m­a­lige Veri­fika­tion in einem bestim­mten Zeitraum an einem Rech­ner — bei Google alle 30 Tage.

Königs Artikel ist meines Eracht­ens nach eine große Gefahr, ruft er doch zu ein­er deut­lich zu gerin­gen Vor­sicht beim Umgang mit Pass­wörtern auf. Wird die Ben­utzer­/­Pass­wort-Kom­bin­a­tion an ein­er Stelle herausge­fun­den, können inner­halb kürzester viele andere Ser­vices bet­ro­f­fen sein. Und dann ist die Kacke am damp­fen…

Your comment

Your Gravatar