Bis eben war Ihr Passwort noch sicher
Ein bayrisches Ministerium bietet einen Online-Passwortcheck an und gibt schlechte Passwort-Tipps. Ich bin entsetzt.
Das Bayerische Staatsministerium für Digitales - ja, sowas gibt es - will unter dem Motto "Online - aber sicher!" für mehr Sicherheit unter den Bayern und allen anderen sorgen. Dafür bietet es einen Passwort-Check an. Nutzer sollen ihr Passwort auf einer Webseite des Ministeriums eingeben, um es überprüfen zu lassen. Das mag gut gemeint sein, ist aber eine extrem dumme Idee.
Denn sein Passwort an irgendeinem anderen Ort im Internet als dem dafür vorgesehenen Dienst einzugeben, ist direkt der erste Fehler, den man in Sachen Passwortsicherheit begehen kann. Auch wenn eine Webseite verspricht, von einem hochoffiziellen bayrischen Staatsministerium zu sein und die Passwörter nur lokal zu prüfen.
Denn die Erziehungsmaßnahme zu einem vermeintlich sicheren Passwort - dazu später mehr - schlägt direkt fehl, da den Nutzern parallel dazu vermittelt wird, dass es schon okay ist, sein Passwort auf einer Webseite einzugeben, um es prüfen zu lassen. Das fühlt sich wie ungewollte Satire an und hilft letztlich vor allem Phishern, die Nutzer trickreich zur Eingabe ihrer Zugangsdaten bewegen möchten.
Immerhin: Nach der Verwendung und dem Nutzernamen fragt die Webseite des Ministeriums nicht.
Nicht schon wieder Passwortrichtlinien
Nicht besser wird es, wenn man sich ansieht, was der Passwort-Check da so prüft. Statt das Passwort auf bereits bekannte Passwörter zu kontrollieren, wie es so mancher Dienst im Internet bei der Registrierung sinnvollerweise tut, setzt das Bayerische Ministerium für Digitales - wie kann es anders sein - auf Passwortrichtlinien. Also auf Anforderungen, was für Zeichen ein Passwort enthalten soll oder muss.
Solche Passwortregeln gelten schon seit Jahren nicht mehr als der Stand der Technik. Die US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) rät bereits seit 2017 explizit von Passwortrichtlinien ab.
Denn: Rein mathematisch betrachtet ist es viel wichtiger, längere Passwörter zu wählen als Zeichen aus unterschiedlichen Zeichenklassen. Es gibt verschiedene zielführende Strategien für sichere Passwörter, und nicht alle benötigen Sonderzeichen oder Großbuchstaben.
Ohnehin schützt eine Richtlinie nicht davor, das eine supersichere Passwort, weil es viele Sonderzeichen enthält, bei etlichen Diensten zu verwenden. Darauf weist der Passwort-Check des Ministeriums allerdings erst im Kleingedruckten in den weiteren Infos zu einem sicheren Passwort unter der Rubrik "Passwortmanager" hin.
Statt eines prominenten Hinweises auf einmalige Passwörter bewertet der Passwort-Checker die Länge des Passwortes sowie vorhandene Klein- und Großbuchstaben, Zahlen und Sonderzeichen mit Punkten. Abzug gibt es für Zeichen, die in einem Wörterbuch gefunden wurden. Garniert wird das Ganze mit einer Aufwandschätzung inklusive der dafür benötigten Rechenzeit.
Wir haben die Probe aufs Exempel gemacht und vermeintlich sichere Passwörter gefunden.
Starke Passwörter, die keine sind
So bewertet der Passwort-Check dann auch das Passwort 11Golem.de!! als stark. Spoiler: Ist es nicht!
Um es zu knacken, brauche ein Rechner 44 Jahre, behauptet das Ministerium für Digitales. Das glaube ich kaum. Bei einem Golem.de-Redakteur wäre das Passwort zumindest unter den Top-50, die ich spontan ausprobieren würde. Immerhin bedient es gängige menschliche Passwortfehler: Es wird ein Begriff verwendet, der im Kontext des Nutzers, des Dienstes oder des Arbeitgebers steht, der am Ende und am Anfang mit Sonderzeichen angereichert wird. Fertig ist das nicht sichere Passwort.
Solche Passwörter muss man natürlich nicht händisch knacken, vielmehr gibt es Software, die genau nach solchen Kontexten zu einer Person fragt und automatisch entsprechende Passwortvarianten mit Sonderzeichen am Anfang, Ende oder als Leetspeak generiert.
Übrigens erkennt der Passwort-Check Golem gar nicht als bekannten Begriff, sondern nur den Wortteil Gol als Name. Wäre auch Letzteres nicht der Fall, würde bereits 1Golem.de! als starkes Passwort gewertet.
Passwortmanager und Schlangenöl
Immerhin rät die Webseite zu einem Passwortmanager und nennt die Open-Source-Software Keepass als Beispiel. Statt sich ein Passwort auszudenken, kann man es dort einfach zufällig generieren lassen und braucht es sich nicht einmal zu merken - das übernimmt der Passwortmanager. Ein guter Tipp.
Allerdings fehlt ein Hinweis auf Zwei-Faktor-Authentifizierung (2FA), mit der Konten zusätzlich geschützt werden können. Zudem fehlt - wie bereits erwähnt - ein prominenter Hinweis darauf, dass Passwörter eine einmalige Angelegenheit sein sollten und nicht das gleiche Passwort bei verschiedenen Diensten verwendet werden sollte. Denn nach einem Datenleck bei einem der Dienste wird das supersichere Passwort möglicherweise geleakt und von Angreifern auch bei anderen Diensten ausprobiert. Eine reale Gefahr.
Ebenfalls umstritten ist der Hinweis auf eine aktuelle Antivirensoftware, welche den Rechner und damit die Passwörter schützen soll. Doch diese haben allzu oft selbst mit Sicherheitslücken zu kämpfen und bringen die Nutzer nicht selten in Gefahr. Unter Sicherheitsexperten gelten die Programme daher als wirkungsloses Schlangenöl, das für teuer Geld oder gegen Kryptomining oder Nutzerdaten verscherbelt wird.
Passwortchecken - aber richtig
Statt auf Passwortrichtlinien zu setzen, ist es sinnvoller zu prüfen, ob ein Passwort bereits öffentlich bekannt ist. Eine entsprechende Liste mit knapp 850 Millionen gehashten Passwörtern gibt es auf der Webseite des Leak-Checkers Have I been Pwned. Darin enthalten sind die Passwörter etlicher umfangreicher Datenlecks, die teils öffentlich verfügbar sind.
Entsprechend können Webseitenbetreiber alle Passwörter, die bereits einmal Teil eines Datenlecks waren, verbieten. Auch Nutzer können ihre Passwörter über eine im Browser integrierte Funktion bei Have I been Pwned prüfen lassen. Dazu muss das Passwort weder auf der Have-I-been-Pwned-Seite eingegeben werden, noch schickt der Browser es an den Dienst.
Vielmehr fragt beispielsweise Firefox auf Basis des gehashten Passwortes eine ganze Bandbreite an Passwort-Hashes an und prüft dann lokal, ob der gleiche Passwort-Hash vorhanden ist. So werden weder die Passwörter der Nutzer verraten, noch werden diese dazu erzogen, ihre Passwörter wild auf Webseiten im Internet einzutippen. Mal sehen wie lange es dauert, bis der Stand der Technik auch beim Bayerischen Ministerium für Digitales ankommt.
Keine Reaktionen