Sichere Kennwörter einfach gemacht

Autor: Thomas Kuberek, MCSEboard.de

Sicherheit und Bequemlichkeit sind zwei Dinge welche diametral gegensätzlich sind. Ein Maximum an Bequemlichkeit ist gegeben, wenn die Anmeldung an Systemen automatisch, oder mit leerem Kennwort erfolgt. Ein Maximum an Sicherheit ist gegeben, wenn ein möglichst langes, komplexes Kennwort benutzt wird, welches regelmäßig geändert wird und führ verschiedene Systeme oder Applikationen (Domänenanmeldung, Webmail, SAP, etc.) verschiedene Kennwörter benutzt werden.
Da ein großer Teil der Anwender mehr Wert auf persönliche Bequemlichkeit legt, als auf die Sicherheit der Unternehmensdaten, stellt sich immer wieder die Frage wie der Spagat zwischen möglichst hoher Sicherheit und möglichst hohem Komfort für die Benutzer realisiert werden kann.

Zuerst sollten wir, das aus Unternehmenssicht wichtigere Thema, sichere Kennwörter betrachten.

Aus Unternehmenssicht sollte ein Kennwort möglichst schwer zu erfahren sein um ein infiltrieren des Unternehmensnetzes und der Unternehmensdaten so schwer wie möglich zu machen. Dies erreicht man am besten mit so genannten „komplexen Kennwörtern“ oder „Passphrasen“ (im Gegensatz zu Passwörtern).

Was sind die Bedingungen, welch ein sicheres Kennwort erfüllen muss?

Wenn wir betrachten wie Angreifer vorgehen um an Kennwörter zu gelangen wird das deutlich. Die meisten Anwender werden, sofern sie überhaupt Kennwörter einsetzen, Kennwörter wählen, welche sie sich leicht merken können. Das heißt zuerst einmal es wedren meisten „echte“ Wörter sein und keine zufälligen Buchstabenkombinationen. Zudem sin Wörter leichter zu merken, wenn man einen persönlichen Bezug dazu hat. So wählen Frauen oft Namen von Ehemann, Kindern Freunden oder Verwandten. Männer oft Namen von Kindern, Ehefrauen, Fußballvereinen oder Automarken.
Durch die Technik des „social engineering“ sind solche Kennwörter relativ leicht herauszufinden. Ich sehe mir an mit welchen Dingen sich ein Mensch beschäftigt und wie sein soziales Umfeld aussieht und werde so mit hoher Wahrscheinlichkeit sein Kennwort erraten können.
Mitarbeiter mit höherem Sicherheitsbewusstsein ergänzen die Namen mit Zahlen, wie zum beispiel den Geburtsdaten der Personen oder dem Baujahr des Autos. Auch dies stellt jedoch keine nennenswerte Erhöhung der Sicherheit dar.
Auch das ersetzten von Buchstaben geben Zahlen, wie zum Beispiel dem „I“ gegen eine „1“ oder dem „O“ gegen eine „0“, erhöht die Sicherheit nur augenscheinlich.

Wenn Kennwörter nicht mit Hilfe von social engineering zu bekommen sind, kann eine so genannte „Wörterbuchattacke“ genutzt werden. Hier werden von einer Software so lange Wörter aus einem Wörterbuch ausprobiert bis das richtige gefunden wurde. Diese Programme sind auch in der Lage durch Zahlen ersetzte Buchstaben zu berücksichtigen.

Grundsätzlich jedes Kennwort ist durch eine so genannte „Brut Force“ Attacke zu entschlüsseln. Diese funktioniert ähnlich wie eine Wörterbuchattacke nur werden systematisch alle Zeichen des Alphabets der reihe nach durchprobiert. Die einzige Hürde ist hier die Länge und die Komplexität des Kennwortes.

Daraus lassen sich die Anforderungen für ein sicheres Kennwort ableiten:

- möglichst lang (je länger es ist umso mehr Kombinationsmöglichkeiten muss eine Brut Force Attacke durchrechnen)
- möglichst komplex (Eine beliebige Kombination aus Zahlen, Buchstaben und Sonderzeichen)
- Keine „echten“ Wörter (die zum Beispiel im Duden vorkommen)
- Keine Namen (zum Beispiel von Angehörigen, Freunden, Haustieren)
- Keine Kalenderdaten (zum Beispiel Geburtsdaten von Freunden, Angehörigen, oder Jubiläen)

Zudem sollte ein Passwort regelmäßig gewechselt werden, denn wenn es einmal bekannt wurde ist es dadurch nicht beliebig lange nutzbar

Dem entgegengesetzt steht das Interesse der User sich Kennwörter leicht merken zu können. Selbst wenn im Netzwerk per Policy vorgegeben wird das Kennwort regelmäßig zu wechseln, variieren die meisten nur das erste oder letzte Zeichen, weil das leichter zu merken ist.

Was können wir nun unseren Usern für ein Werkzeug an die Hand geben, mit dem sie schnell komplexe Kennwörter erzeugen können die sie sich auch merken können?

Die meiner Meinung nach beste Variante ist mit Sätzen zu arbeiten. Der Anwender merkt sich einen Satz wie zum Beispiel: „Im März hat meine Frau Geburtstag und bekommt 20 rote Rosen geschenkt“. Wenn von diesem Satz nun alle Anfangsbuchstaben der Wörter, die Zahl und das Satzzeichen genommen werden ergibt das folgende Kennwort:

IMhmFGub20rRg.

Das ist ein 14stelliges, komplexes Kennwort, welches nur mit sehr hohem Aufwand (Brut Force) zu erfahren ist. Zudem kann der Anwender es leicht rekonstruieren, weil er sich nicht das Kennwort selbst, sondern nur den Satz, aus welchem es generiert wird, merken muss, was erheblich einfacher ist.

So lassen sich, mit wenig Aufwand, Sicherheit für die Unternehmensdaten und Bequemlichkeit für die Anwender unter einen Hut bringen.

©MCSEboard.de, Thomas Kuberek