secuteach-Logo
Direkt zu den Informationen über Computersicherheit Follow secuteach on Twitter oder Antivirus–Tools  


[Ralph Dombach]  Infos vom Experten zum Experten – das hilft wirklich! 

Bessere Passworte für alle!

Ohne Passworte geht es nicht! Aber der Anwender wird immer wieder schwache Passworte wählen, wenn er nicht vom Systembetreiber bzw. der Sicherheits–Abteilung intensiv unterstützt und geschult wird.

    Am Anfang schuf der Hersteller das Betriebssystem und er gab ihm einen Namen damit die Jünger dem Systemnamen auf T–Shirts und Caps huldigen können.
Danach schuf er Prozesse, Strukturen, Kommunikationsebenen, Schnittstellen, Kernelprogramme und APIs um eine vielfältige Nutzung seines Werkes zu ermöglichen. Und der Hersteller sah dass es gut war.
Um dem User den Zugang zum Betriebssystem zu ermöglichen schuf er die Kennung und schützte sie mit dem PASSWORT.
Und der Hersteller sah dass es – funktionierte.

Seit diesen Tagen muss sich jeder Anwender mit einem Passwort herumschlagen. Es gibt Mechanismen, die einen Zugang besser und sicherer autorisieren als ein Passwort. Vor allem aber Anwenderfreundlicher! Aber Passworte sind immer noch die erste Wahl. Egal ob es der Zugang zum Betriebssystem ist, zu einem Anwendungsprogramm, zu einer Web–GUI, dem E–Mail–Client oder einer gehosteten Internetanwendung, überall legitimiert man sich mit einem Passwort.

Wo vor Jahren ein oder zwei Passworte genügten um seiner Arbeit Systemloginnachzukommen, benötigt man heute ein Dutzend und mehr Passworte.
Verschieden sollen sie sein, schwer zu erraten, variable Zeichenketten enthalten und periodisch ausgetauscht werden. Eine echte Herausforderung für jeden Anwender! Da der Mensch aber erfindungsreich ist und der IT User im Besonderen, findet er natürlich Mechanismen, um sich den Umgang mit Passwörtern zu erleichtern. Angefangen vom Zettel mit dem Passwort der unter der Tastatur klebt, über Passworte bei denen man nur periodisch die letzte Ziffer hochzählt, bis hin zum universellen Passwort, dass generell bei allen zugangsgeschützten Systeme verwendet wird.

Diese Tricks führen aber leider oft zu einer Art Wettrüsten, bei dem sich der IT User und die Sicherheitsabteilung erbittert gegenüber stehen. Denn die Kollegen der Security kontern mit Passwort–Historien (Dieses Passwort haben Sie schon mal verwendet – wählen Sie bitte ein anders), Wörterbuch–Prüfungen (Bitte verwenden Sie keine Trivialpasswörter) und umfangreichen Qualitätsregeln (Ihr Passwort enthält keine Großbuchstaben, Sonderzeichen und ist zu kurz).
Neben genervten Mitarbeitern (hüben wie drüben) bleibt vor allem die Sicherheit auf der Strecke, denn schlechte Passwörter gefährden nicht nur den einzelnen, sondern i.d.R. das ganze System.

Die Frage lautet also, was kann man tun um die Sicherheit voran zu bringen und bessere Passworte zu verwenden? Generell bieten sich hier die nachfolgenden thematischen Ansatzpunkte an:
  • Security Awareness
  • Optimieren der Betreiber–Optionen
  • Anwenderunterstützung
  • Qualitätsvalidierung

Security Awareness

Vereinfacht gesagt geht es bei Security Awareness darum, die Einstellung des Endanwenders zur Sicherheit zu verändern. Er soll Sicherheit nicht als Hemmschuh verstehen, sondern als Bestandteil seiner Arbeit, der ihn und die beteiligten Komponenten schützt. Die Möglichkeiten die sich durch Security Awareness bieten, werden leider oft durch eine mangelhafte Umsetzung verspielt.
Dabei ist gerade in diesem Umfeld ein hohes Potential vorhanden!

Basisschulungen bzgl. Sicherheit sind zwar heute an vielen Stellen etabliert, werden aber oft über einen längeren Zeitraum hinweg nach dem gleichen Schema abgehalten. Es fehlt oft an Aktualität und Kommunikation mit der Zielgruppe. Ein Referent der die 10 wichtigsten Passwort–Regeln herunterleiert wird keine Verhaltensänderung beim Anwender erreichen, weil einfach ein Bezug zur Umgebung fehlt.
Darüber hinaus ist der Anwender normalerweise nicht mit der Sicherheits–Materie vertraut, um komprimierte Hinweise wie 10 Regeln, ohne entsprechende Hintergrund–Erklärungen zu verstehen. Für den Referenten ist es Allgemeinwissen – für den Anwender unbekanntes Neuland.
Oft zeigt sich auch, dass veraltete Empfehlungen ausgesprochen werden oder solche, die realitätsfremd sind. Der Empfehlung bzw. die Vorschrift Passworte nicht aufschreiben ist schlichtweg realitätsfremd! Kein Anwender wird sich mehrere (komplexe) Passworte merken, die er auch noch periodisch austauschen muss. Eine aktuelle Empfehlung zur Gestaltung von sicheren Passwörtern ist da schon viel hilfreicher ( http://www.microsoft.com/ switzerland/security/de/ privat/rules /passwords.mspx).

Expertenwissen über Passwort–Cracking trägt auch dazu bei, die Notwendigkeit starker Passworte zu verstehen. Zu sehen, wie schnell maschinengestützte Brute–Force–Attacken ablaufen verändert die Sicht der Dinge. Generell gilt, dass Erlebtes, etwas das visuell präsentiert würde, viel besser im Gedächtnis bleibt, als die reine Erzählung.

Wer es versteht, Expertenwissen anschaulich an den Anwender weiterzugeben hat gewonnen. Dies kann auch ein Video sein, welches die 10 häufigsten Passwörter vorstellt (http://www.youtube.com/ watch?v=Kee0ggcBaI8). Ergänzendes Material lässt sich üblicherweise in den gängigen Videoportalen finden.

Eines der menschlichen Grundbedürfnisse ist die Kommunikation. Oftmals wird die Kommunikation mit bzw. über Sicherheit erschwert weil es am Ansprechpartner fehlt. IT Sicherheit ist ein Ding, welches den Menschen braucht. Und der Mensch braucht den Menschen. Wenn aber nur eine anonymisierte E–Mail–Adresse für Rückfragen zur Verfügung steht und der der Vortragende ein externer Referent ist, fällt es schwer zu sich auszutauschen. Security braucht ein Gesicht! Security braucht einen Menschen, der hinter dem Thema steht, dieses vorantreibt und für den Fragenden/Anregungen als einfach zu erreichender Kontakt verfügbar ist! Erfüllen Sie diese Grundanforderung und sie haben die Chance zum Dialog und damit auch zu erfahren, wo es klemmt und wie ihre Security–Awareness–Maßnahmen wahrgenommen werden.

Betreiber–Optionen

Bei dem Begriff Business–Enabler denken die wenigsten an Security. Ganz im Gegenteil – die Sicherheit wird eher immer als Verhinderter wahrgenommen. Unbestreitbar ist, dass aus Sicherheitsgründen einige feste Vorschriften und Regeln eingehalten werden müssen!

Einen Computer ohne Virenschutz zu betreiben ist nicht tragbar auch wenn der Virenscanner–Schutz einiges an Performance kostet.
Umso wichtiger ist, es in Fällen wo man als Betreiber ein positives Signal setzen kann dies auch zu tun. Eine Vereinfachung einzuführen, ein Verfahren noch Best–Practice auszurichten und auf Anwenderwünsche einzugehen ist sinnvoll und entspricht auch dem Dienstleister–Gedanken.

Passwort–Gültigkeitsdauer – meistens ein Wert zwischen sechs und zehn Wochen. Subjektiv gesehen, ein Zeitraum der immer zu schnell Hinweis auf Passwortwechselvergeht (Was denn, ich muss mir schon wieder ein neues Passwort ausdenken!). Die wenigsten Betreiber arbeiten mit dynamischen Regeln.
Weshalb wird der Anwender, der sich ein gutes und sicheres Passwort ausdenkt, nicht damit belohnt, dass er es länger verwenden kann? Erreicht das Passwort ABcd12.! einen Qualitätsfaktor von 5 Punkten bekommt der Anwender für kZD%§–ü.#W einen Faktor von 9 Punkten.
Diese Punkte kann man in eine Gültigkeitsdauer umrechnen. So ist bei 5 Punkten nach 8 Wochen ein neues Passwort erforderlich, während bei 9 Punkten erst nach 12 Wochen gewechselt werden muss. Der Anwender wird belohnt und im gleichen Zug wird auch die Fehlerquote bei Passwortwechseln reduziert – denn je seltener es gewechselt werden muss, umso geringer ist die Anzahl der Anrufe beim Helpdesk bzgl. „Ich habe mein Passwort gewechselt, jetzt geht nichts mehr“.

Passwortwechsel–Probleme treten immer wieder auf. Man vertippt sich, hat Caps–Lock aktiv oder prellende Tasten und damit doppelte Falsches PasswortBuchstaben. Nichts besonderes, dass kommt vor! Peinlich ist dann aber oftmals das nachfolgende Prozedere, um die Kennung zu entsperren oder das Passwort zurückzusetzen. Mal muss man ein Fehler–Ticket eröffnen, mal bei der Hotline anrufen – oder auch zusammen mit einem Kollegen von dessen PC aus (der eigene ist ja gesperrt) eine E–Mail schreiben. Alles ist kompliziert und oftmals auch entwürdigend. Mitunter ist der Prozess auch nicht zu Ende gedacht. Denn wie soll der Reisende, dessen Notebook gesperrt ist eine Anforderung per E–Mail schicken oder sich durch einen Kollegen verifizieren lassen?

Hier ist Kreativität und Einfühlungsvermögen der Betreiber gefragt!
Suchen Sie nach Lösungen, die sicher sind und ein Höchstmaß an Komfort für den User bieten, ohne ihn zu drangsalieren oder zu erniedrigen.

Serviceorientierung ist heutzutage in der IT das Maß aller Dinge. Aber wie sieht es damit bei Passworten aus? Menschen eignen sich Handlungen an und entwickeln Vorlieben. Bei der Aufforderung, sich ein neues Passwort auszudenken, werden oft nur minimale Veränderungen am Vorgängerpasswort vorgenommen oder es werden bestimmte Zeichenfragmente immer wieder benutzt.
Enthielt das alte Passwort am Ende zwei Ausrufezeichen, so sind diese auch beim neuen Passwort zu finden. Oder die Zeichenfolge opi kommt irgendwo vor, weil man sie so nett eintippen kann.
Weshalb implementiert man nicht eine Routine, die dem Anwender auch ein neues Passwort vorschlägt! Über Regelmechanismen kann man Passworte automatisch generieren, die sehr sicher sind, aber trotzdem einen Rhythmus haben, den sich der Mensch leichter merken kann. Der Anwender muss es ja nicht übernehmen, aber meistens ist ein vorgeschlagenes Passwort viel sicherer, als das, welches sich der Anwender selbst ausdenkt.

Anwenderunterstützung

Universalgenies wie Aristoteles, Leonardo da Vinci oder Edison trifft man höchst selten. Für normale Menschen ist es daher naheliegend, sich auf ein Thema zu spezialisieren. Leider übersieht man dabei oft, das eigene Fachwissen entsprechend allgemeinverständlich aufzubereiten.
Möchte der Security–Beauftragte, dass der Anwender bessere Passworte verwendet, so muss er sein Fachwissen in nutzbarer Form weitergeben!
Passworteingabe WebServer
Flyer – die klassische Methode, um komprimiertes Wissen weiterzugeben. Ein Faltblatt mit Hinweisen über die genutzte Passwortstrategie, Rücksetz–Mechanismen und Hilfemaßnahmen ist schon mal ein guter Anfang.
Wird dieses Infomedium dann auch noch zeitgemäß ansprechend und interessant aufbereitet kann man auch davon ausgehen, daß es gelesen wird und nicht nur als Untersetzer für die Bürotasse Verwendung findet. Wenn es sich mit der Firmenphilosophie vereinbaren lässt, ist es auch empfehlenswert, das private Umfeld des Mitarbeiters zu berücksichtigen. Ein guter Rat für den Umgang von Passwörtern bei Social Networks etc. wird sicherlich Gehör finden. Denn dort stehen persönliche Daten im Blickpunkt des Interesses. Denn schlechte Passwörter erhöhen das Risiko im privaten Umfeld ebenso wie im beruflichen Alltag.

Eselsbrücken kennt man aus der Schule und an Drei, drei, drei bei Issos Keilerei kann sich wohl noch jeder erinnern. Eselsbrücken machen das Merken leichter. Über die Jahre sind viele konstruktive Hinweise entstanden, wie man sich Passwörter merken kann:
  • Liedertext: Von den ersten zehn Wörtern, immer nur den ersten Buchstaben verwenden
  • Zahlenersetzung: Bei Buchstaben i durch 1 ersetzen, e durch 3 ersetzen und o durch 0
  • Füllzeichen: In einen Begriff an jeder 2. Position ein Füllzeichen setzten, dabei wird ein anderen bekannter Begriff genutzt
Wer dieses Eselsbrücken bzw. Anwendungsregeln nicht kennt, tut sich schwer mit komplexen Passworten. Eine Zusammenstellung von Passwort–Eselsbrücken auf den Intranetseiten des Arbeitgebers ist ein guter Weg, dem Anwender eine Hilfestellung zu bieten.

Passwort–Verwaltungsprogramme sind auch eine Art von Eselsbrücke, die einem das Leben erleichtern kann. Anstatt sich mehrere verschiedene Passworte zu merken, muss man sich nur noch ein Programm–Zugangspasswort merken. Der Software–Markt bietet hier diverse Programme an, von denen auch einige Freeware sind (http://www.pcwelt.de/start/ sicherheit/backup/praxis/151126/ 12_passwort_tools/index.html).
Idealerweise sind manche Tools auch für den mobilen Einsatz konzipiert. Diese laufen ohne Installation direkt von einem USB–Speicherstick aus und können vom User überall hin mitgenommen werden.
Allerdings ist die Nutzung dieser Tools nicht unumstritten. Verliert man das Zugangspasswort zum Verwaltungsprogramm sind alle gespeicherten Passwörter verloren!
Ein Kritikpunkt der auch ins Feld geführt wird ist die Möglichkeit, Oper eines Trojaners zu werden. Dabei würde ein Passwort–Verwaltungsprogramm eine versteckte Nebenfunktion enthalten, die einem Dritten den Zugriff auf alle Passwörter gewährt. Allerdings sollte sich dieses Risiko bei Open Source–Tools oder bei solchen eines renommierten Herstellers erheblich reduzieren!

Zu beachten ist auch, dass man sich das Initial–Login–Passwort eines Computers immer noch merken muss, denn erst wenn das System gestartet ist, kann man das Passwort–Verwaltungsprogramm nutzen!

Minitools, wie beispielsweise die Passwortkarte (http://www.passwortkarte.de) sind einfache Hilfsmittel, um dem Anwender das Leben ein wenig leichter zu machen. Sie erlauben es, kryptische Passworte zu generieren, die man anhand simpler Musterregeln erstellt. Aber auch hier gilt, wenn zu einfache Regeln verwendet werden, ist der Schutzfaktor nur gering. Vor allem dann, wenn ein Angreifer Kenntnis der genutzten Passwortkarte hat. Eine ergänzende Option bietet Microsoft an. Der Passwort–Checker zeigt grafisch die Qualität eines Passwortes an (http://www.microsoft.com/protect/fraud/passwords/checker.aspx). Damit kann ein User selbst beurteilen, wie gut oder schlecht sein gewähltes Passwort ist!

HINWEIS
Hier die Warnung vor einer klassischen Falle bei Verwendung von Tools. Dieses oben genannte Passwort–Tools ist für den englischen Sprachraum konzipiert und überprüft englischsprachige Begriffe. Deutsche Wörter, die Umlaute enthalten werde als viel sicherer gewertet, als sie wirklich sind! Daher empfiehlt es sich, gerade bei Passwort–Tools immer auf landesspezifische Varianten zurückzugreifen.

Passwort-LevelEin Tool für den deutschen Sprachraum bietet der Datenschutzbeauftragte des Kantons Zürich an (https://passwortcheck.datenschutz.ch/ check.php).


Qualitätsvalidierung

Vertrauen ist gut, Kontrolle ist besser! Nach diesem Sprichwort sollte man auch einmal die Qualität der genutzten Passwörter überprüfen. Entsprechende Sicherheitstools sind verfügbar. Dazu zählt auch eine Validierung der eigenen Passwort–Policys. Hilfreich ist dabei u.a. eine Excel–Tabelle, die von Roger Grimes in einem Artikel vorgestellt wird und zum freien Download verfügbar ist (http://www.infoworld.com/ d/security-central/ test-strength-your-password-policy-437? page=0,0).
Generell aber gilt, nicht einzelne User an den Pranger zu stellen, sondern diejenigen, die schwache Passworte verwenden entsprechend zu unterstützen. Sicherheit ist immer ein miteinander – eine Kombination aus Anwender, Sicherheits–Administrator und IT System. Nur wenn sich alle drei Komponenten in die gleiche Richtung bewegen, lässt sich etwas verändern!


Passwort Fazit

Passwort Sicherheit ist ein kontinuierlicher Prozess! Immer wieder werden Passworte gewechselt und man muss sich ein neues, starkes Passwort ausdenken. Immer wieder gibt es neue Anwendungen, Services und Webseiten bei denen man sich mit einer Kennung und einem Passwort anmeldet. Immer wieder steht man vor der Herausforderung, sich ein neues Passwort auszudenken.
Wer dann kein entsprechendes Training hat und nicht sensibilisiert wurde für die Bedeutung eines guten Passwortes macht Fehler! Fehler, die es anderen ermöglichen, daraus Nutzen zu ziehen häufige Fehler sind beispielsweise:
  • Das gleiche Passwort (ggf. mit einer minimalen Abänderungen) bei allen Anwendungen/Diensten zu verwenden
  • Einfache Passwörter zu nutzen (qwertz etc.), weil es das Zielsystem erlaubt
  • Kennungen ohne Passwort zu verwenden
  • Default–Passwörter (Gesetzt durch den Service/Anwendung) nicht zu ändern
Das die Existenz von schwachen Passworten keine Einbildung ist, stellte der Conficker Wurm unter Beweis. Dieser verwendete eine vorgegebene Passwort–Liste um Passworte für $Shares zu erraten (siehe nachfolgenden Text).
Ohne Unterstützung und Maßnahmen durch die IT Verantwortlichen wird sich das Passwort–Problem nicht lösen lassen. Nur wenn die Betreiber die Nutzer aktiv unterstützen und auf Ihre Probleme eingehen, werden die Passworte und damit auch die Systeme sicherer werden. Arbeiten Sie zusammen!

Conficker – Wurm

Im BLOG des Sophos–Mitarbeiters Graham Cluley findet sich eine Aufstellung der Standard–Passworte und ein Video, dass demonstriert, wie man bessere Passworte erstellt (http://www.sophos.com/ blogs/gc/g/2009/01/16/ passwords-conficker-worm/).
Dieses Video zeigt, dass es sinnvoller ist, sich die Methode zu merken, mit der ein Passwort gebildet wurde, anstatt sich das Passwort selbst zu merken!

© Ralph Dombach (www.secuteach.de - Fachartikel)

Inhalt

Passworte sind die Schlüssel zur Information.
Kennungen und einzelne Dateien werden über sie geschützt. Wie wichtig Passworte sind, erkennt man u.U. erst, wenn eines verloren geht, oder von einem Dritten geknackt wurde.
Der nebenstehende Artikel nennet Möglichkeiten, die Nutzung von Passworten in einem betrieblichen Umfeld zu optimieren.