Internetkriminalität : Das Zeitalter des Passworts neigt sich dem Ende zu

Das Passwort ist die Versicherung im Netz – vor modernen Angriffen bietet es dennoch kaum Schutz. Google und andere Firmen tüfteln bereits an einer passwortfreien Welt.
Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll. © Taller de Imagen (TDI) / Cover / Getty Images

Wer sich ein neues Passwort ausdenkt, geht jedes Mal eine Wette ein. Er wettet gegen die wachsende Rechenleistung und den Erfindergeist potenzieller Angreifer. Mit jedem neuen Konto gilt es deshalb, sich ein möglichst kryptisches Passwort auszudenken, zu merken und nach einiger Zeit zu ändern. Das Passwort ist der Ausgangspunkt jeder Sicherheitsstrategie im Netz. Aber die Anforderungen daran sind so hoch wie nie.

Anders als in den Anfangszeiten des Internets schützen Nutzer heute nicht nur ihr E-Mail-Konto und ihren Internetzugang, sondern eine Vielzahl an Diensten wie Facebook, Twitter, Spotify und vielleicht auch noch die AppleID. Wer darüber hinaus noch Wert auf die Verschlüsselung der Festplatte und weitere Sicherheitsmaßnahmen legt, kommt leicht auf noch mehr Passphrasen, die es sich zu merken gilt. Sie alle zu verwalten, ist mit herkömmlichen Methoden kaum noch möglich, zumindest aber umständlich.

Das zeigt auch eine aktuelle Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Demnach wissen zwar 70 Prozent der Deutschen, dass ein sicheres Passwort aus willkürlich zusammengewürfelten kleinen und großen Buchstaben, Zahlen und Sonderzeichen besteht. Oder, wie es bei Twitter scherzhaft heißt, "Ihr Passwort muss Großbuchstaben, Zahlen, Satzzeichen, das Zeichen einer Gang, ein ausgestorbenes Säugetier und Hieroglyphen enthalten."

Viele nutzen das eine ausgedachte Passwort aber einfach zur Absicherung mehrerer Konten. Wird es von einem Angreifer erraten, hat der sofort Zugriff auf alles.

Die neuen Konzepte sind bei Unternehmen schon bekannt

Seit Twitter am vergangenen Wochenende 250.000 Nutzer auffordern musste, ihre Passwörter zu ändern, stellen sich auch große IT-Firmen die Metafrage: Welche Sicherheit können einfache Passwörter überhaupt noch garantieren? Google denkt bereits darüber nach, wie man das ganze Konzept überarbeiten könnte.

Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird. Auch gegen die Weitergabe von Passwörtern durch Mitarbeiter kann sich ein Unternehmen nie vollständig schützen. Neue Ideen zur Netzsicherheit sind daher gefragt.

Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmen eingesetzt. Eines davon ist die sogenannte Two-Factor-Authentication. Statt wie bisher nur ein Passwort für den Zugang zu verwenden, braucht man bei diesem Konzept zwei Schlüssel: einen, den sich man sich merkt – also das Passwort – und einen, den man auf dem eigenen Rechner besitzt. Der Zugang zu einem Dienst wird damit an ein bestimmtes Gerät gekoppelt.

Verlagsangebot

Hören Sie DIE ZEIT

Genießen Sie wöchentlich aktuelle ZEIT-Artikel mit ZEIT AUDIO

Hier reinhören

Kommentare

34 Kommentare Seite 1 von 5 Kommentieren

Wichtiger Punkt

Direkt vor dem Lesen des Artikels beschloss ich einen Kommentar mit Keepass und eben diesem XKCD-Comic zu schreiben, beides hat sich jetzt erübrigt :-) Schön, dass vor allem der Comic einen so prominenten Platz gefunden hat.

Wer KeePass nicht nutzen will könnte immer noch eine handschriftliche Passwortliste führen, so sicher wie die Server der meisten Anbieter ist das allemal …

Was die Sache mit den gleichen Passwörtern angeht: Für Webshop 1–100 (gefühlt zumindest) habe ich auch nur eins, besonders gut ist das nicht, aber sehr praktisch.

Ein Passwort muss nicht kryptisch sein

Seh ich ganz genauso, allerdings aus einem anderen Grund.
Ich kann problemslos ein einfaches PW nutzen,sollte allerdings nicht im Wörterbuch zu finden sein. Der Webseitenbetreiber muss bloß implementieren, dass nach 3 Loginversuchen 30s gewartet werden muss. Dann wieder nach 3 Loginversuchen 1 Minute .. usw
wie zb bei Linux realisiert. Das ganze aber Account gebunden und nicht IP-gebunden. So kann auch keiner ein PW alla "H4n5Z" cracken. Oder seh ich da was falsch?

Login-Sperren sind für diese Angriffe wirkungslos

Bruteforce und Wörterbuch-Attacken werden i.R. nicht gegen die Login-Maske im Browser gefahren. Bei zurückliegenden Fällen war es meistens so, dass ein Angreifer durch andere Sicherheitslücken an die Datenbank gelangt ist. Es kommt also drauf an, wie die Passwörter gespeichert sind.

Wenn die Passwörter in der Datenbank nur mit einfachen Hash-Verfahren gesichert sind, dann kann der Angreifer jetzt in aller Ruhe alle möglichen Passwörter durchprobieren. Je nach Rechenleistung schafft er dabei abertausende Kombinationen pro Sekunde. Eine Login-Sperre ist für diese Art von Angriff wirkungslos. Nur vernünftige Hash-Verfahren (siehe anderen Kommentar) können hier schützen.

Aha ?

Wieso sollte eine "Wörterbuch-Attacke" die Krypotografie aushebeln können mit der Dateien verschlüsselt werden ?

War mehr rhetorisch gefragt, ich muß nicht alles verstehen.

Ich verstehe auch die Rechung in #25 nicht, denn wieso sich aus 50 000 Wörtern, eine Anzahl von 3*10^23 ergibt, wenn man 5 Wörter beliebig auswählt, scheint mir doch so willkürlich wie die "Zonkmathematik". Irgendwas mit Wahrscheinlichkeit, könnte sein, aber an sich gibt es eine bestimmte Anzahl an verwendbaren Zeichen und eine Anzahl an Stellen. Wieviele Buchstaben, somit Stellen, die 5 Wörter ergeben, steht nirgends.
Wenn irgendwo der gesamte ASCII mal zur Verfügung stehen würde, dann wären das bei 11 Stellen 1,5*10^23 und beschränkt man sich da auf die Hälfte der Möglichkeiten, also 52 Buchstaben und 12 weitere bekannte Zeichen (was schon schwierig ist) sind 3*10^23 auch nur erstaunliche 13 Stellen.
Ein bisschen wenig für 5 Worte. Egal, ich finde Schachspieler haben's leichter, wenn die sich einfach Zugfolgen merken können, denn kryptisch ist nur was einem selbst nicht geläufig ist.
Beim Kryptografie Quiz hatte ich 67,etwas %, dabei wußte ich nur 3. und 6. und 2. nur sehr dunkel (nicht geraten & auch nicht gewußt) dabei sieht man gerade bei so historischen Bezügen wie lange es schon mit sowas etwas auf sich hat.