Passwort, Pin und Passphrase
Ein Passwort ist der allgemeine Begriff für eine geheim gehaltene Zeichenkette, mit der wir uns Zugang oder Zutritt zu einem elektronischen System verschaffen. Ähnlich wie ein Schlüssel für eine Tür.
In der Praxis unterscheiden wir je nach Anwendung und Sicherheitsstufe zwischen Pin, Passwort und Passphrase.
Pin
Die Pin ist eigentliche eine Abkürzung für "Persönliche Identifikationsnummer", kurz PIN. Die Pin wird im allgemeinen Sprachgebrauch allerdings nicht als Abkürzung, sondern ganz normal als Wort verwendet. Es handelt sich dabei in der Regel um eine 4- bis 6-stellige, manchmal auch 8-stellige Nummer (Zahlenkombination). Anwendung findet die Pin im Zusammenhang mit Zahlungsvorgängen mit Bank- und Kreditkarten. Also zur Bestätigung von Transaktionen jeglicher Art. Außerdem kann eine Pin auch zur Zugangskontrolle verwendet werden. Zum Beispiel bei der Nutzung eines Mobilfunktelefons.
Eine Pin lässt sich vergleichsweise leicht merken. Allerdings ist sie je nach Länge der Zahlenkombination für eine sichere Identifikation bzw. Authentifizierung ungeeignet. Bei einer 4-stelligen Pin erreicht man nur 10.000 Pin-Kombinationen. Von "0000" bis "9999". Für einen Angreifer ist ein so geschütztes System, wenn es keine weiteren Sicherheitsvorkehrungen gibt, kein großes Hindernis. Notfalls würde man einfach 10.000 Kombinationen ausprobieren. Im Mittel liegt die Wahrscheinlichkeit die richtige Zahlenkombination durch Ausprobieren herauszubekommen bei rund der Hälfte. Also 5.000 Versuche. Hat man Kenntnis über eine Zahl und deren Stelle kann man die möglichen Kombinationen schnell reduzieren.
Aus diesem Grund sind in der Regel alle Pin-Zugangssysteme mit einem Mechanismus ausgestattet, der den Vorgang abbricht und weitere Versuche verwehrt, wenn die Pin mehrmals falsch eingegeben wurde. So wird eine Bankkarte gesperrt und eingezogen, wenn man die Pin 3 mal falsch eingegeben hat. Hier geht man davon aus, dass sich die wissende Person die Pin merken kann und häufiger verwendet, weshalb es höchstens zu Tippfehlern oder Fehlbedienung kommen kann. Bei längeren Pins lässt man mehr Fehlversuche zu, weil es hier häufiger zu Tippfehlern kommen kann.
Passwort
Passwörter kommen immer dann ins Spiel, wenn in Kombination mit einem Benutzernamen oder einer Benutzerkennung, die Identifikation eines Benutzers erfolgen soll. Hier reicht ein Passwort nicht aus, weil mehrere Benutzer das selbe Passwort haben können. Wenn man einem neuen Benutzer sagen müsste, dass sein Passwort schon vergeben ist, dann wäre dieses Passwort nicht mehr geheim. Und deshalb braucht es zusätzlich einen Benutzernamen, der aber nicht geheim bleiben muss.
Während eine Pin pro Stelle nur 10 unterschiedliche Werte annehmen kann (von 0 bis 9), erreicht man bei einem Passwort das aus Buchstaben, Zahlen, Sonderzeichen usw. zwischen 60 und 80 unterschiedliche Werte pro Stelle. Je mehr Werte und desto länger, desto komplexer ein Passwort und desto schwieriger ist es zu erraten und desto länger dauert es, bis man es durch Ausprobieren herausbekommen kann.
Da ein Passwort ein Identifikationsmerkmal ist, sollte jedes Passwort nur einmal benutzt werden, weil man nicht weiß wie sicher Passwörter gespeichert oder übertragen werden. Wenn einmal ein Passwort unverschlüsselt über die Leitung geht oder irgendwo ungesichert gespeichert wird, dann ist dieses Passwort verbrannt. Meist weiß man das nicht.
Passphrase
Eine Passphrase ist im Prinzip ein längeres Passwort, das auch Leerzeichen enthalten kann. Daher gibt es auch eine andere Bezeichnung dafür. Klassischerweise wird eine Passphrase dort verwendet, wo die Sicherheit durch die Länge eines Passworts nicht ausreicht oder wenn man die Passphrase nicht so oft eingeben muss. Der Nachteil einer Passphrase ist generell ihre Länge. Weshalb eine Passphrase aber auch sicherer ist.
Die Stärke einer Passphrase ist der Aufwand, den ein Angreifer betreiben muss, um sie herauszufinden. Eine Passphrase ist für einen gegebenen Zweck sicher, wenn dem Angreifer die zur Verfügung stehenden Ressourcen nicht ausreichen, um die Passphrase innerhalb einer akzeptablen Zeit herauszubekommen.
Sichere Passwörter
Viele der bekannten Regeln für sichere Passwörter zielen auf eine erhöhte Varianz innerhalb der Passwörtern ab. Also möglichst viele verschiedene Zeichen aus einem großen Zeichenumfang. Diese und andere Regeln stammen aus älteren Versionen der NIST-Empfehlungen, von denen man heute weiß, dass dadurch die Passwörter nicht sicherer werden, aber das Gegenteil bewirken können.
Falsch: Passwörter müssen möglichst Groß- und Kleinschreibung, Zahlen und Sonderzeichen beinhalten. Außerdem müssen sie oft geändert werden.
Heutzutage besteht das Problem, dass umfangreiche Listen mit Zugangsdaten im Umlauf sind und somit die Gefahr besteht, dass ein beliebiges Passwort bereits bekannt ist. Da bringt es nichts, wenn der Zeichenumfang möglichst groß ist.
Was noch noch viel scherer wiegt, und das ist durch die vielen Passwort-Leaks bekannt, dass viele der alten Regeln zu Passwörtern führen, deren Hashes sich schnell knacken lassen.
Aus den gewonnenen Erkenntnissen ergeben sich seit 2017 für sichere Passwörter folgende NIST-Empfehlungen:
Richtig: Das Passwort sollte eine möglichst lange Passphrase sein. Dabei spielt der Zeichenumfang des Passworts keine so große Rolle. Das Passwort kann also ein leicht merkbarer Satz sein, der durch ein Muster abwandelt oder gekürzt wurde.
Außerdem wird empfohlen zu prüfen, ob das Passwort in einem Wörterbuch oder einer geleakten Passwort-Liste enthalten ist. Das ist aber wieder problematisch, weil dazu das Passwort in der Regel übertragen werden muss. Dabei weiß man nicht, wie die prüfende Stelle damit umgeht.
Zugangsdaten und Passwörter aufschreiben
Die meisten Regeln, die empfehlen "Passwörter nicht zu speichern" sind Unfug. Die meisten dieser Regeln stammen aus den 80er Jahren und sind heute nicht mehr gültig. Damals war der Angreifer beispielsweise die Putzfrau oder ein Kollege, der ein Passwort unter der Tastatur oder der Schreibtischunterlage vermutete. Heute kommt der Angreifer unsichtbar aus der Ferne. Außerdem hatte man damals auch nur ein Passwort. Heute muss man mit einer Vielzahl von Zugangsdaten und unter Umständen mehreren Passwörtern umgehen können.
Man sollte die meisten seiner Passwörter aufschreiben oder speichern. Wenn man es auf Papier tut, dann muss man das dann aber auch sicher ablegen. Beispielsweise in einer abschließbaren Schublade oder in einem Schrank.
Passwort-Manager verwenden
Wenn man Passwörter und Zugangsdaten digital speichert, dann muss man es sicher speichern. Nicht nur Passwort-geschützt, sondern richtig verschlüsselt. Eine Excel-Datei ist zum Speichern von Passwörtern und Zugangsdaten eher nicht geeignet. Die Datei kann man zwar mit einem Passwort schützen, aber dabei wird der Inhalt nicht verschlüsseln. Ein einfacher Passwort-Schutz ohne Verschlüsselung ist eine Hürde, aber kein Hindernis.
Ein Passwort-Manager ist dafür besser geeignet. Damit erzeugt man sich zwar einen Single Point of Failure, weil die Zugangsdaten an einer einzigen Stelle liegen. Aber das ist besser, als wenn man überall das gleiche Passwort verwendet.
Auch auf dem Handy ist ein Passwort-Manager ok, wenn er nach mehreren Fehleingaben einer Zugangskontrolle, die Passwort-Datenbank löscht. Das hilft nicht, wenn Geheimdienste an die Passwörter kommen wollen, aber wenigstens bei Alltagshackern.
Verzichten sollte man auf die Synchronisation über die Cloud, wenn man den Passwort-Manager auf mehreren Geräten betreibt. Besser ist die Synchronisation per USB oder wenn nicht anders möglich über WLAN. Aber nur im eigenen WLAN, nicht in einem öffentlichen WLAN-Hotspot.
Wenn man einen Passwort-Manager verwendet, dann sollte man seinen PC sperren sobald man den Arbeitsplatz verlässt, weil sonst jeder an den Passwort-Manager rankommt.
Wichtig ist, der Passwort-Manager muss Passwort-geschützt sein und die Passwort-Datenbank verschlüsseln.
Passwörter speichern
Generell gilt, dass Passwörter nicht unverschlüsselt übertragen und gespeichert werden sollten. Wenn es sein muss, und das ist in Zugangssystemen immer so, dann müssen die Passwörter gehashed werden. Der Hash-Wert ist so etwas wie eine Prüfsumme oder Quersumme. Allerdings muss der Hash-Wert kryptografisch erzeugt werden, damit man aus dem Hash-Wert nicht das Passwort zurückrechnen kann.
Eine kryptografische Hash-Funktion nimmt einen beliebig langen Wert an und berechnet daraus einen Wert fester Länge. Das besondere dabei, man kann den Hash-Wert nicht zurück berechnen. Auf diese Weise kann man ein Passwort sicher speichern und übertragen.
Ein Angreifer könnte nur durch ausprobieren herausfinden was der ursprüngliche Wert eines Hash-Werts ist. Aber, ein Angreifer braucht nicht zwangsläufig das Passwort. Es reicht auch schon der Hash-Wert.
Ein Beispiel: Wenn ein Angreifer eine Hash-Tabelle hat, dann kann er durch vergleichen der Hashes prüfen, welches Passwort sich dahinter verbirgt.
Sicherheitslücke: Keylogger
Eigentlich ist es gar nicht so wichtig, ob und wie man seine Zugangsdaten speichert. Wenn der Rechner, auf dem sie liegen Passwort-gesichert ist und bei Abwesenheit automatisch den Bildschirm schützt, dann hat man schon viel getan.
Die eigentliche Bedrohung kommt aus einer anderen Richtung. Die Frage ist, ob der Computer, auf dem die Zugangsdaten gespeichert sind, frei von Trojanern, Würmern und Viren ist. Oder ob dort ein Key-Logger installiert ist, der die Eingabe von Zugangsdaten aufzeichnet.
Wenn man seinen Rechner nicht mehr unter Kontrolle hat, dann bringt das sicherste Passwort nichts, weil der Keylogger jede Passworteingabe abgreifen kann.
Sicherheitslücke: Passwörter in der Auslagerungsdatei oder auf einem SWAP-Laufwerk
Wenn Programme Daten entschlüsseln muss dazu das Passwort im Arbeitsspeicher vorgehalten werden. Das ist mit Sicherheit nicht optimal, doch irgendwo muss das Passwort für den Entschlüsselungsvorgang im Prozessor gespeichert sein.
Weit problematischer ist, dass Betriebssysteme Auslagerungsdateien oder SWAP-Laufwerke nutzen, um den Arbeitsspeicher um einen virtuellen Arbeitsspeicher zu erweitern, und dabei Daten auf einer Festplatte zwischenspeichern. Ein Problem ist das dann, wenn Passwörter in die Auslagerungsdatei gelangen. Sie befinden sich dann im Dateisystem und hier kann ein Angreifer unbemerkt zugreifen.
Da man in der Regel nicht die Möglichkeit hat das zu unterbinden, macht es Sinn, wenn die Systempartition verschlüsselt ist. In so einem Fall ist es egal, ob das Betriebssystem Passwörter in die Auslagerungsdatei schreibt.
2FA - Zwei-Faktor-Authentifizierung
Bei der Zwei-Faktor-Authentifizierung (2FA) handelt es sich um die Authentifizierung mit Benutzername, Passwort und einem zusätzlichen zweiten Faktor. Der erste Faktor ist in der Regel ein Passwort. Ein zusätzlicher zweiter Faktor bietet einen erheblichen Sicherheitsgewinn gegenüber Verfahren mit nur einem Faktor.
Passwortlose Nutzer-Authentifizierung mit FIDO2 und Passkeys
FIDO2 verfolgt einen passwortlosen Ansatz, in dem es von der wissensbasierten Authentifizierung mit Passwort zur besitzbasierten Authentifizierung übergeht oder miteinander kombiniert (2FA). Für die besitzbasierte Authentifizierung werden Geräte verwendet, die wir sehr wahrscheinlich den ganzen Tag mit uns führen. Das kann ein Hardware-Token sein, der an einem Schlüsselbund hängt, oder ein Smartphone, das wir immer bei uns haben.
Passkeys ist eine Weiterentwicklung von FIDO2, um von der unsicheren Authentifizierung mit Passwörtern (wissensbasierte Authentifizierung) zur einer besitzbasierten Authentifizierung überzugehen. Im Gegensatz zu FIDO2 können die Authentifizierungsmerkmale über mehrere Geräte und Systeme synchronisiert werden.
Weitere verwandte Themen:
- Kryptografische Hash-Funktionen
- Kryptografische Zufallsgeneratoren
- Authentifizierung im Netzwerk
- Nutzer-Authentifizierung im Internet
- Digitale Schlüssel (Verschlüsselung)
Frag Elektronik-Kompendium.de
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Collection: Netzwerk-Grundlagen
Was du über Netzwerk-Grundlagen wissen solltest.
Netzwerktechnik-Fibel
Alles was Sie über Netzwerke wissen müssen.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.