„Sesam öffne dich!“ Verschlüsselungen, Passwörter, geheime Phrasen und Codes haben eine lange und faszinierende Geschichte. Wir kennen sie nicht nur aus Märchen und Geschichten wie „Harry Potter" oder „Ali Baba und die 40 Räuber“ aus den Geschichten von 1001 Nacht.
Überall dort, wo der Wunsch nach Zugangskontrolle besteht, kommt das Passwort ins Spiel: Militär, Geheimbünde, terroristische Zellen und andere griffen und greifen darauf zurück. Heute schützen wir Online-Konten, E-Mail-Postfächer, Social-Media-Profile und Cloud-Speicher mit unseren persönlichen Bildern, sensiblen Informationen oder gespeicherten Online-Shop-Daten.

Die Passwörter zu diesen Schätzen sind heiß begehrt. Daher sollten wir ihnen unsere Aufmerksamkeit widmen und beim Erstellen einige Dinge beachten. Marco Squarcina, TUW-Experte für Internetsicherheit, gibt im Interview Einschätzungen und Ratschläge zu dem spannenden Thema Passwortsicherheit.

Sind Passwörter immer noch der beste Schutz unserer Daten?

Marco Squarcina: Um zu verstehen, worum es geht, sollten wir zuerst zwei Schritte zurückgehen: Wenn wir über den Schutz von Daten sprechen, meinen wir in der Regel den Prozess der Verschlüsselung. Verschlüsselungsalgorithmen sind mathematische Umwandlungen einer Eingabe (Klartext) in eine Ausgabe (Chiffretext) unter Verwendung eines geheimen Schlüssels. User_innen können den Klartext nur dann aus dem Chiffretext wiederherstellen, wenn sie diesen besitzen. Bei kryptografischen Schlüsseln handelt es sich um lange Bitfolgen. Computer können sie – im Gegensatz zu Menschen – leicht handhaben. Stellen Sie sich vor, Sie müssten jedes Mal Tausende von 1ern und 0ern schreiben, wenn Sie auf die in der Cloud gespeicherten verschlüsselten Bilder zugreifen!

An dieser Stelle kommt das Passwort ins Spiel: Aus einer Abfolge von Buchstaben, Zahlen und Symbolen lässt sich ein kryptografischer Schlüssel ableiten, mit dem unsere sensiblen Daten verschlüsselt werden können. Passwörter sind also nicht der beste Weg, um unsere Daten zu schützen. Vielmehr sind sie ein Hilfsmittel, das es den Menschen ermöglicht, Verschlüsselungscodes zu generieren. Darüber hinaus ermöglichen Passwörter es Authentifizierungssystemen, die Identität eines Benutzers über Authentifizierungsprotokolle zu bestätigen, d. h. über eine Abfolge von Nachrichten, bei denen das angegebene Passwort mithilfe kryptografischer Funktionen umgewandelt wird.

Passwörter sind in unserem Online-Leben so tief verwurzelt, dass alle Webseiten sie als Authentifizierungsfaktor unterstützen. Sogar verschlüsselte Cloud-Speicherdienste sind von Passwörtern abhängig und erlauben es den Benutzer_innen normalerweise nicht, ihre eigenen kryptografischen Schlüssel anzugeben.

Um die Frage nun zu beantworten: Unabhängig davon, ob sie uns am besten schützen oder nicht, werden wir Passwörter noch einige Jahre lang verwenden.

Die Verwaltung unserer unzähligen Passwörter wird immer schwieriger. Welche Tipps können Sie uns geben, um den Überblick zu behalten und uns trotzdem zu schützen?

Marco Squarcina: Die weit verbreitete Meinung, dass die sichersten Passwörter das Ergebnis komplizierter Vorgaben beim Passwortprüfungsprozess sind, ist falsch: Denn, wenn User_innen Regeln wie „das Passwort muss mindestens zwei Ziffern, einen Großbuchstaben und ein Symbol enthalten“ anwenden, folgen sie in der Regel vorhersehbaren Mustern. Diese verringern aber die Sicherheit des gewählten Passworts (mehr dazu: https://www.troyhunt.com/science-of-password-selection/, öffnet eine externe URL in einem neuen Fenster).

Das US National Institute of Standards and Technology, öffnet eine externe URL in einem neuen Fenster empfiehlt, dass Passwörter mindestens acht Zeichen lang sein müssen und nicht Teil einer vorhergehenden Datenpanne sein dürfen (hier, öffnet eine externe URL in einem neuen Fenster). Tatsächlich sollten sichere Passwörter viel länger sein und nach dem Zufallsprinzip generiert werden. Ein einfacher Vergleich: Wenn wir Klein- und Großbuchstaben des englischen Alphabets sowie Zahlen nehmen und die Länge des Passworts auf 50 Zeichen festlegen, wäre es deutlich schwieriger, das richtige Passwort zu erraten, als ein bestimmtes Atom aus allen Teilchen des Universums auszuwählen!

Passwörter müssen außerdem eindeutig sein: Jeder Zugang sollte ein eigenes Passwort haben, das nirgendwo sonst wiederverwendet wird. Diese Praxis verhindert das Risiko eines Credential Stuffing, öffnet eine externe URL in einem neuen Fenster-Angriffs, bei dem durchgesickerte Passwörter von einer Webseite verwendet werden, um Konten auf einer anderen zu hacken. Die beste Möglichkeit, lange, zufällig generierte und eindeutige Passwörter zu bekommen, ist die Verwendung eines gängigen Passwort-Managers. Diese verwenden Verschlüsselung, um Anmeldeinformationen sicher zu speichern und ihren Inhalt für Benutzer_innen durch die Eingabe eines einzigen Passworts freizugeben und zugänglich zu machen. Gängige Browser werden inzwischen mit integrierten Passwortmanagern ausgeliefert, die es ermöglichen, Passwörter über mehrere Geräte hinweg zu synchronisieren, z. B. über Ihren Laptop und Ihr Smartphone.

Wie sieht die Zukunft des Passworts aus? Wird es durch Fingerabdrücke, Iris-Scans oder Gesichtserkennung abgelöst – und wenn ja, wann tritt diese Zukunft ein?

Marco Squarcina: Sie ist bereits Realität. Nehmen Sie zum Beispiel ein modernes iPhone: Technologien wie Apple Touch ID und Face ID ermöglichen es den Nutzer_innen, sich mit Fingerabdrücken und Gesichtserkennung an ihren Geräten zu authentifizieren. Es ist auch im Internet möglich, biometrische Authentifizierungsfaktoren zu verwenden – sich ausschließlich auf sie zu verlassen, ist jedoch keine gute Idee. Fingerabdrücke zum Beispiel sind relativ leicht zu fälschen (siehe: https://arstechnica.com/information-technology/2020/04/attackers-can-bypass-fingerprint-authentication-with-an-80-success-rate/, öffnet eine externe URL in einem neuen Fenster). Biometrische Authentifizierungssysteme können umgangen werden, wenn das Opfer schläft oder nicht bei Bewusstsein ist (siehe: https://www.forbes.com/sites/daveywinder/2019/08/10/apples-iphone-faceid-hacked-in-less-than-120-seconds/, öffnet eine externe URL in einem neuen Fenster). Auch eine Gesichtsmaske verhindert, dass Gesichtserkennungssysteme korrekt funktionieren. Zudem ist nicht sicher, dass biometrische Merkmale aufgrund verschiedener Faktoren wie durch Alterungsprozesse und Verletzungen über längere Zeit erhalten bleiben.

Trotz dieser Unzulänglichkeiten können biometrische Merkmale mit Passwörtern kombiniert werden, um die Sicherheit herkömmlicher Authentifizierungssysteme erheblich zu verbessern. Dabei handelt es sich um die so genannten Multi-Faktor-Authentifizierungssysteme (MFA), die mehr als einen Faktor für eine erfolgreiche Authentifizierung erfordern. Die drei Authentifizierungsfaktoren sind:

•  etwas, das Sie wissen (Passwort),
• etwas, das Sie haben (Sicherheitstoken),
• etwas, das man hat (Fingerabdruck).

Was geschieht, wenn unsere biometrischen Daten gehackt werden? Passwörter lassen sich ändern, biometrische Daten nicht.

Marco Squarcina: Eine ausgezeichnete Frage. Der Diebstahl biometrischer Daten führt in der Tat zu verschiedenen Problemen für die Opfer, einschließlich eines Identitätsbetrugs. Aus diesem Grund müssen biometrische Daten zur Authentifizierung so gespeichert werden, dass sie ausschließlich zur Verifizierung verwendet werden können. Es braucht eine mathematische Darstellung, die ein betrügerisches System nicht aushebeln kann, um die ursprünglichen biometrischen Merkmale wiederherzustellen. Darüber hinaus stellt der Missbrauch von biometrischen Daten, Fingerabdrücken, Iris- und Gesichtsscans usw. eine ernsthafte Gefahr für die Privatsphäre dar. Während herkömmliche Web-Tracking-Mechanismen Informationen über die Aktivitäten von User_innen sammeln und weitergeben, bieten biometrische Daten die Möglichkeit, die Identität der Person hinter einem Konto, eindeutig zu ermitteln.

Aus all diesen Gründen ist die Sorge um die biometrische Authentifizierung berechtigt. User_innen sollten trotz der offensichtlichen Vorteile für die Benutzer_innenfreundlichkeit vorsichtig sein, wenn sie sie aktivieren.

Eine abschließende Frage: Wie ist ihr persönlicher Umgang mit Passwörtern?

Marco Squarcina: Eine gute Passwortstrategie ist eine Kunst, die je nach den eigenen Prioritäten ein Gleichgewicht zwischen Sicherheit, Benutzer_innenfreundlichkeit und Datenschutz herstellt. Ein Patentrezept, das für jeden funktioniert, kann ich daher leider nicht geben.

Ich verwende den in meinem Browser integrierten Passwortmanager, um die Passwörter auf meinen drei Geräten (Laptop, PC zu Hause und Smartphone) zu synchronisieren. Auf diese Weise brauche ich mir nur das Passwort zu merken, um den Passwortmanager zu entsperren, mit dem ich die Anmeldedaten der meisten meiner Konten bekomme. Natürlich hat jedes Konto sein eigenes, zufällig generiertes Passwort, das länger als 20 Zeichen ist und das ich mir unmöglich merken kann. Auf Webseiten, die MFA unterstützen, verwende ich ein Sicherheits-Token als zusätzliche Sicherheitsmaßnahme. Für kritische Dienste verwalte ich einen zweiten Passwortmanager, in dem ich sogar Informationen über Kreditkarten, PIN-Codes und andere sensible Daten speichere.

Manche Menschen finden es bequem, Single Sign-On-Systeme (SSO) zu verwenden, um sich auf einer Webseite wie example.com über einen Identitätsanbieter wie Facebook oder Google zu authentifizieren. Das hat den Vorteil, dass kein zusätzliches Benutzername-Passwort-Paar bei example.com erstellt werden muss, während man sich auf die zuverlässige Authentifizierung bei Google verlässt. Trotz der Vorteile haben SSO-Lösungen auch einige Nachteile: Nehmen wir an, der Identitätsanbieter ist von einem Ausfall betroffen. In diesem Fall könnten die User_innen aus ihren Konten ausgesperrt werden, wie es erst vor zwei Monaten bei Facebook der Fall war (siehe: https://www.theverge.com/2021/10/4/22708989/instagram-facebook-outage-messenger-whatsapp-error, öffnet eine externe URL in einem neuen Fenster). Außerdem kann der Identitätsanbieter auf den Navigationsverlauf von User_innen auf verbundenen Webseiten zugreifen – ein Risiko für die Privatsphäre. Aus diesen Gründen versuche ich immer, Webseiten so weit wie möglich zu entkoppeln, indem ich unnötige SSO-Links vermeide.

Hinweis: Sie können unter https://haveibeenpwned.com/Passwords, öffnet eine externe URL in einem neuen Fenster überprüfen, ob Ihre Passwörter sicher sind, aber verwenden Sie diese Dienste nicht, wenn Sie nicht wissen, was Sie tun! Senden Sie NIEMALS Ihr Passwort, Ihre Kreditkarte oder andere personenbezogene Daten an irgendwelche Webseiten, um zu überprüfen, ob diese Daten Teil einer Sicherheitslücke sind.

Marco Squarcina ist Universitätsassistent (Postdoc) an der TU Wien, wo er Ende 2018 nach seiner Promotion in Informatik (Universität Ca' Foscari, Venedig) tätig wurde. Seine Forschungsinteressen fokussieren auf den Bereich Netzsicherheit; die Ergebnisse seiner Forschung werden regelmäßig in hochrangigen Fachzeitschriften publiziert. Als langjähriger Teilnehmer an den renommierten internationalen Hacking-Wettbewerben hat er kürzlich mit der Agentur der Europäischen Union für Cybersicherheit, öffnet eine externe URL in einem neuen Fenster (ENISA) zusammengearbeitet, um jungen Talenten Fortbildungen zu ermöglichen. Marco hält derzeit eine Reihe von Lehrveranstaltungen zum Thema Cybersecurity an der TU Wien und ist einer der Koordinatoren des lokalen akademischen Hacking-Teams (https://w0y.at/, öffnet eine externe URL in einem neuen Fenster).

Auf seinem Twitteraccount teilt Marco Squarcina Neuigkeiten u. a. zum Thema Cybersicherheit: https://twitter.com/blueminimal, öffnet eine externe URL in einem neuen Fenster