Mindestenssechszeichen...keine Panik!

FIDO, sitz! Pass! Gib auth! (1)

5. Juli 2022 von Yhoko
Immer mal wieder häufen sich die Meldungen zu FIDO2, dem neuen Anmeldeverfahren, welches gemeinhin als "Passwort-Killer" gehandelt wird. Aber was bedeutet das eigentlich konkret, warum ist das alles notwendig, welche Vorteile bringt es und wird es das Passwort (oder gar den Benutzernamen) wirklich verdrängen?
Nanu, schon wieder beim Passwort vertippt? Nein, klappt effektiv nicht. Ups, Passwort vergessen, verwechselt oder verloren? Schnell das Passwort zurücksetzen – oh, zum Abrufen der E-Mail ist auch ein Passwort erforderlich. Moment, eine Sicherheits-SMS – jemand anderes versucht sich auch gerade einzuloggen..?


Sicherheit im Internet hat so ihre Tücken und kann mitunter ziemlich lästig sein. Wurzel allen Übels ist das Passwort, welches viel Angriffsfläche für Hacker und eifersüchtige Ex-Partner bietet. Aber warum eigentlich? Ein kurzer Abriss des Problems.

Egal ob in Chats, Foren oder Online-Games, um teilzunehmen muss man sich einen Benutzernamen aussuchen bzw. registrieren. Dass der Name allein keine Sicherheit bietet, dürfte jedem einleuchten – selbst wenn er sich nicht erraten lässt (sowas wie "H1drXph0n77f"), ist er ganz leicht öffentlich einsehbar, denn er steht neben jedem Kommentar, in der Highscore, vielleicht sogar im öffentlichen Benutzerverzeichnis... Der Login muss also irgendwie abgesichert werden: Auftritt Passwort.





Das Passwort wird dem Dienst beim Registrieren mitgeteilt, so dass es später wieder abgefragt werden kann. Sozusagen die digitale Version von "mach die Tür nur auf, wenn ich folgendermassen klopfe – dadurch weisst du, dass ich es bin", nur eben mit mindestens 6 Zeichen. Das Beispiel zeigt: Wer dieses Gespräch mitbekommt (abgreifen bei Registrierung), später das Klopfzeichen belauscht (Keylogger oder Man-in-the-Middle-Attacke) oder zufällig dasselbe Klopfzeichen verwendet (einfach nur Pech), kommt ebenfalls durch die Tür. Oder jemand hängt einen Zettel dran "Sind umgezogen, bitte ab jetzt gegenüber klopfen" und wartet dort, bis der Nutzer sein Klopfzeichen an der falschen Tür verwendet (Phishing). Vielleicht ist das auch gar nicht nötig, weil man den Torwächter irgendwie weglocken und hinter der echten Tür die Klopfzeichen entgegennehmen kann (gehackte Website), oder das Gebäude einfach aufkauft (abgelaufene Domain wird von Hackern neu registriert). Weiterhin kann man davon ausgehen, dass der Torwächter die Klopfzeichen irgendwo notiert (Datenbank) – optimalerweise in einer Geheimschrift, die nur er selbst entziffern kann (Salted Hash), doch auch heute noch gibt es genug Dienste, die nicht so weit sind. Sollte nun jemand die Liste heimlich abfotografieren (Database Leak), kann er sich für jede beliebige Person darauf ausgeben.

Keine guten Voraussetzungen für weltweite Sicherheit, und bei realen Passwörtern kommt sogar noch mehr dazu.

1) Vertippen: Wird das Passwort von Hand eingegeben, kann man sich leicht vertippen. Das kostet Zeit und ist lästig, schlimmstenfalls wird das Konto sogar nach ein paar Versuchen gesperrt.

2) Vergessen: Dasselbe wie beim Vertippen, nur dauerhaft. Wer sein Passwort verliert, ist auf eine Rücksetzungs-Funktion angewiesen, die wiederum an einen zweiten Faktor geknüpft ist (E-Mail Adresse, SMS-Nummer, anderes Konto, etc.). Das ist ebenfalls lästig und umständlich.

3) Erraten: Dass heutzutage viele Regeln für Passwörter gelten (Mindestanzahl an Klein- und Grossbuchstaben, Zahlen und Sonderzeichen) bedeutet nicht, dass diese Passwörter auch sicher sind ("Ferrari123%" ist ein schlechtes Passwort). Hackerprogramme können bekannte Begriffe und häufige Zahlen in zufälliger Reihenfolge kombinieren und so in grosser Zahl durchprobieren, bis sie das Passwort gefunden haben (betrifft vor allem Datenbank-Leaks).

4) Kopieren: Wer auch immer das Passwort kennt, kann sich damit einloggen. Das klingt erstmal logisch, ist aber effektiv das Gegenteil der ursprünglichen Anforderung: Nur der Eigentümer soll sich mit seinem Namen einloggen können.

4b) Diebstahl: Wer sich jetzt denkt "mein Passwort ist so sicher, da kommt keiner drauf!", der hat damit nur einen von vielen Angriffswegen ausgeschlossen (siehe Torwächter weiter oben). Hier ein paar weitere, die mir gerade einfallen:
  • Der Angreifer ist physisch anwesend und beobachtet die Passwort-Eingabe. Das ist besonders einfach bei Smartphones (dafür gibt's ne App ;-).
  • Das Passwort steht auf einem Zettel (weil es wegen der ganzen Sonderzeichen zu komplex ist, um es sich zu merken) und dieser wird abfotografiert.
  • Ein Virus auf dem Computer schneidet alle Tastendrücke mit (aka. Keylogger).
  • Dasselbe Passwort wird bei mehreren Diensten verwendet.

...moment mal, was soll denn das jetzt heissen? Darf man ein Passwort nicht mehrfach verwenden? Die kurze Antwort lautet: nein! Die Gründe dafür sind ebenfalls zahlreich, daher nur ein paar Beispiele:

a) Ein Nutzer verwendet dasselbe Passwort sowohl bei Microsoft als auch beim lokalen Rasenmäherverein, wobei letzterer nicht gerade auf dem neusten Stand der Technik ist und gehackt wird. Die Hacker erhalten eine Datenbank mit Namen und Passwörtern (Database Leak) und müssen jetzt nur noch wissen, dass der Nutzer auch ein Microsoft-Konto hat – praktischerweise steht die E-Mail Adresse ja auch in der Datenbank (oder sie probieren auf gut Glück die grössten Anbieter durch).

b) Dasselbe Spielchen mit dem Bienenzüchterverein; auch der hat eine eigene Website und wurde gehackt. Immerhin war die etwas moderner und die Passwörter liegen nur verschlüsselt ("gehasht") vor, so dass die Hacker sie nicht einfach auslesen können. Da sie aber die Website manipulieren können, warten sie einfach auf die Anmeldungen der Nutzer und speichern fröhlich die frisch eingegebenen Passwörter.

c) Zur Abwechslung noch etwas "Phishing": Der Nutzer hat eine höchst offiziell wirkende E-Mail von Amazon erhalten, in der steht, dass sein Konto gesperrt wurde. Für die Freischaltung muss er nur einen Link anklicken und sich einloggen... und gibt damit seine Daten freiwillig an die Hacker weiter. Klingt lustig (wer macht denn bitte sowas..?), aber diese E-Mails werden immer raffinierter und ich kann sagen: Phishing ist heute immer noch weltweit ein Problem.

d) Social Engineering funktioniert wie Phishing, nur auf persönlicher Ebene. Weniger versierte, leider oftmals ältere Nutzer sind besonders anfällig dafür, wenn der Anruf eines Microsoft-Supportmitarbeiter (mit indischem Akzent) oder ein Skype-Gespräch des Firmen-Admins ihnen ein Problem präsentiert und dafür ihre Mitwirkung benötigt – nur zu schnell geben Leute ihre Logindaten preis, wenn es "offiziell" wird.

Hier schleicht sich noch ein weiteres Problem ein: Selbst wenn eher unwichtige Seiten oder veraltete Datenbanken gehackt bzw. geleakt werden, kann dies an anderer Stelle schaden. Viele Nutzer sind faul und verwenden immer ähnliche (Grund-)Passwörter, die sie nur bei Bedarf verändern (wie schnell wird an das gewohnte Passwort eine "1" angehängt, weil neuerdings Zahlen erforderlich sind, oder ein "+", damit ein Sonderzeichen drin ist?). Sieht der Hacker ausserdem "Bienenzüchter123" in der Vereinsdatebank, versucht er sich mit "Google123" bei Google (und auf dieselbe Weise automatisiert bei zahllosen anderen Diensten) einzuloggen.





Fassen wir also zusammen: Die Einrichtung ist lästig, die Handhabung mühsam und die Sicherheit löchrig. Ich möchte zudem betonen, dass hier nur ausgesuchte Beispiele gezeigt wurden; die Möglichkeiten besonders für den Passwortklau sind wirklich zahlreich und wir reden hier ja nicht nur von Privatanwendern, die sich bei Yhoko.com anmelden – offiziellere Ziele rufen auch teurere Hackermassnahmen und komplexere Szenarien mit auf den Plan, die speziell auf Einzelpersonen zugeschnitten sind. Und ja, man kann die Sicherheit deutlich erhöhen, indem man z.B. den Zugriff nach 10 Minuten Inaktivität sperrt oder bei Logins von einem anderen Gerät / Land aus erst nach einer Bestätigungs-E-Mail akzeptiert. Anders ausgedrückt: Je lästiger und umständlicher, desto sicherer.

Randnotiz zum Passwortmanager: Um die Passwortflut zu bewältigen ist es naheliegend, eine Verwaltungssoftware dafür einzusetzen. Diese erstellt für jedes Benutzerkonto ein eigenes, komplett zufälliges Passwort und erledigt den Login mit nur einem Klick auf der richtigen Domain. Ist das Problem damit gelöst? Leider nur teilweise, denn der Passwortmanager wird nun selbst zum Angriffsziel, insbesondere wenn er seine Daten über mehrere Geräte hinweg mittels einer Cloud synchronisiert (über die der Nutzer wieder keine Kontrolle hat; man denke nur immer an den frustrierten Mitarbeiter, der Daten an Hacker weitergibt). Wer schliesslich den Passwortmanager knackt, erhält nicht nur Zugriff auf ein einzelnes Konto sondern auf viele – ein höchst lukratives Ziel, welches beispielsweise auch wieder durch physische Anwesenheit (wer sich an den PC setzt hat Zugriff auf sämtliche Konten) oder mittels Virus erreicht werden kann.


Unterm Strich würde man sich einen besseren Weg wünschen, um mit der ganzen Login-Problematik umzugehen. Auftritt FIDO2 und weiter geht's im zweiten Teil dieses Beitrags.

Kommentar

Deralte / 06.07.2022
Die Analogie von Phishing mit "Sind umgezogen, bitte ab jetzt gegenüber klopfen" finde ich grandios.

Kommentar schreiben

Name:
E-Mail:
Beitragstext: