Info2go

Hier gibt ́s Videos über spannende Experimente, Aufnahmen von wissenschaftlichen Phänomenen und Reportagen über nordbord-Projekte sowie interessante Unternehmen. Das Beste: Du kannst auch deine eigenen Filme drehen und hier mit anderen nordbordern teilen.

Wie speichert man Passwörter?

Wenn du bei irgendeinem Dienst ein Konto anlegst, sicherst du das in der Regel mit einem Passwort. Oder du benutzt einen Passwortmanager (lokal oder online) um deine Zugänge zu verwalten. Aber egal wo deine Passwörter gespeichert werden: Es ist in deinem Interesse, dass im Falle eines Falles niemand auf deine Codewörter zugreifen kann.

Wir werden uns zunächst ein paar wirklich unsichere Methoden der Speicherung anschauen. Sofern du schon programmieren kannst und Webseiten betreiben möchtest: Dieser Beitrag zeigt wie man es nicht tun sollte. Die für Server sinnvollen Methoden folgen in der nächsten Woche. Um ein gemeinsames Verständnis für die konnkreten Gefahren zu haben, müssen wir noch einmal schauen vor welchem Szenario wir uns eigentlich schützen möchten. In diesem Beitrag gehen wir davon aus, dass ein Angreifer in der Lage war das Speichermedium mit den Passwörtern zu entwenden. Er ist also auf dem Server eingebrochen, hat deinen Passwort-USB-Stick gefunden, deinen Laptop geklaut, ... Auf jeden Fall hat er theoretisch alle Zeit der Welt sich an deinen geheimen Dateien abzuarbeiten.
  • Speicherung der Passwörter im Klartext
    Diese Methode findet sich häufig bei Leuten, die noch nichts von Passwortmanagern gehört haben. Sie möchten einen möglichst unkomplizierten Zugang zu ihren Codewörtern haben und speichern diese dann in .txt-Dateien, Word-Dokumente oder Excel-Arbeitsmappen und listen dort fein säuberlich alle Zugangsdaten auf. Alternativ kann man sich natürlich auch einen analogen Zettel schreiben und an den Monitor kleben. In diesem Szenario hat ein Angreifer natürlich sofort gewonnen. Leider machen auch einige Webseiten von dieser Methode Gebrauch ...
  • Einfache (selbstgemachte?) Verschlüsselung
    Jetzt hat der Anwender schon begriffen, dass direktes Speichern im Klartext keine schlaue Idee ist. Er benutzt dann z.B. eine Caesar-Verschlüsselung und "rotiert" die Buchstaben. Oder er verwendet mehrere kurze Passwortfragmente und kennt davon nur selber die korrekte Reihenfolge. Oder ..? Ganz egal welche Methode zum Einsatz kommt: Wenn sie ein Mensch noch per Hand berechnen kann ist sie zu einfach! Einen nur nicht speziell an deinen Daten interessierten Angreifer wird dieses Verfahren zumindest ein bisschen beschäftigen können. Allerdings gibt es eine Vielzahl von Tools um eine unfassbar große Zahl von einfachen Verschlüsselungen automatisiert zu testen. Sicher ist also auch diese Methode absolut nicht.
  • Starke Verschlüsselung
    Jetzt verlassen wir den manuellen Pfad endgütlig: Wenn man seine Passwörter mit einem bekannten Verfahren wie AES schützt, also ein Master-Passwort vor die eigentlichen Passwörter setzt, ist man damit so sicher wie es überhaupt nur geht (sofern man seine Passwörter speichern möchte). Wenn man versucht die Dauer abzuschätzen, um ein aktuelles, als sicher eingestuftes Verfahren zu knacken, geht man dabei typischerweise von der Rechenkraft eines großen Rechenzentrums aus. Und trotzdem wird es bei allen aktuellen Verfahren noch mindestens Jahrzehnte dauern dein Passwort zu knacken.
Einen Aspekt sollte man sich allerdings trotzdem vor Augen führen: Wenn du dein Passwort einem Onlinedienst anvertraust, wird er es zumindest einmal im Klartext sehen. Streng genommen tritt bei jeder Registrierung nebenbei also Szenario #1 ein.  Solltest du für jeden Dienst das gleiche Passwort benutzen ist das im Fall einer nicht vertrauenswürdigen Webseite ein echtes Problem: Dort hat man dann deine EMail und dein Passwort und könnte einfach mal versuchen sich damit bei Google, Amazon, Apple, deiner Bank ... anzumelden. Vor diesem Angriff, also einer nicht vertrauenswürdigen Gegenseite der du deine Daten trotzdem bereitwillig übermittelst, kannst du dich also nur schützen in dem du Passwörter nicht mehrfach benutzt. Für Server sind alle diese Verfahren allerdings großer Quatsch! Egal wie sicher die Verschlüsselung ist, der Server muss sie anhand eines Passwortes immer wieder entschlüsseln können. Und um das zu tun muss das Passwort im Klartext irgendwo gespeichert sein. Ein Server der Passwörter nur verschlüsselt ist also in etwa so sicher wie ein Safe, bei dem die Kombination über dem Schloss abzulesen ist. Das Titelbild dieses Beitrages ist ein Ausschnitt aus dem xkcd Comic #792 und illustriert ebenfalls das Problem der Mehrfachbverwendung von Passwörtern.

Zurück