Passwort-Herausgabe

Da ich neue Informationen erhalten habe, habe ich einiges am Artikel geändert und veröffentliche ihn nochmals. 1/3 aller Passwörter liegen im Klartext vor, 1/3 mit veralteten Sicherheitsverfahren und nur 1/3 sind Stand heute sicher, so das Hasso Plattner Institut.

Zur Bekämpfung von Hasskriminalität im Internet hat die Bundesregierung am 19.2.2020 ein Gesetzespaket beschlossen. Nach dem NetzDG ein nächster Schritt, die Privatsphäre auszuhöhlen und die Bürger weiter auszuspionieren.

Jetzt könnten Sie sagen: Was soll´s, die Passwörter liegen ja nicht in Klarform bei den Anbietern, sondern verschlüsselt oder anderweitig unkenntlich gemacht.

Das ist sicherlich oft und bei grossen Anbietern so, aber es ist nicht sicher und ganz sicher nicht garantiert. Und es ist nicht sichergestellt, dass die Anbieter auch aktuelle Werkzeuge verwenden, um die Passwörter zu sichern (man spricht gemeinhin von sog. Hashing). Ältere Hashverfahren sind mittlerweile sehr leicht knackbar. D.h. es ist durchaus möglich, dass Ihr Passwort in Reinform abgelegt wurde oder mit einem schwachen Hashverfahren und damit alles andere als sicher ist. Laut dem Hasso Plattner Institut, die eine Datenbank mit 12 Milliarden (!!!!) Passwörtern enthält die durch Datenlecks, Einbrüche oder sonstwie gesammelt wurden und im Internet zum Kauf angeboten werden, liegen 1/3 der Passwörter im Klartext vor, 1/3 sind mit einer veralteten Software gehashed, also sehr einfach knachkbar und nur 1/3 sind durch ein aktuelles Hashverfahren tatsächlich sicher.

Das liegt u.a. daran, dass Accounts, die vor Jahren angelegt wurden, mit Hashfunktionen bearbeitet wurden, die damals sicher waren, heute aber nicht mehr. Damals hat es vielleicht 1000 Jahre gedauert, ein Passwort zu knacken, heute eine Stunde. Und dass die Anbieter von sich aus ein Programm laufen lassen, dass alle paar Jahre alle Accounts mit neueren Verfahren neu zu verschlüsseln ist unwahrscheinlich. Außerdem wäre es sehr aufwändig, denn das Passwort kennen sie ja nicht und müssten andere Wege finden, beispielsweise den Nutzer auffordern sein Passwort zu ändern. Oder den Hash hashen.

Empfehlung: Passwörter regelmässig ändern. Denn dann werden sie neu gehashed, mit Glück mit einem neueren Hashverfahren und sind daher sicherer.

Und wenn Sie dann noch Passwort-Recycling verwenden (dasselbe Passwort für mehrere Dienste), dann kann das sehr gefährlich für Ihre Konten werden. Daher:

Empfehlung: Kein Passwortrecycling. Jeder Dienst sollte ein sicheres, eigenes Passwort bekommen.

Bei „guten“ Anbietern von Onlinediensten liegt das Passwort meist gehasht und gesaltet vor. Was heisst das genau?

Sie geben Ihr Passwort ein, z.B. 1A3B3C6D. Dann läuft ein Hash-Algorithmus darüber und beim Anbieter wird etwas wie 1fe3ea12a6f23aac.

Aus dem abgespeicherten Passwort kann das Originalpasswort nicht einfach zurückgerechnet werden. Es ist eine Einbahnstraße. Wenn Sie sich das nächste Mal anmelden, wird Ihre Eingabe über denselben Algorithmus laufen gelassen und verglichen ob das Ergebnis dem abgespeicherten Wert entspricht. Ist das so, werden Sie eingeloggt.

Was bedeutet das für das Gesetz?

Die Anbieter geben der Regierung die Zeichenkette im Klartext, oder mit einem leichten Hash oder mit einem guten Hash, der so aussehen könnte: 1fe3ea12a6f23aac. Da letzteres praktisch nicht zurückrechenbar ist, bleibt der Regierung für den Fall nur eine Möglichkeit, das originale Passwort zu finden: Brute Force. D.h., es werden alle möglichen Zeichenkombinationen „ausprobiert“ und versucht, das gespeicherte Passwort zu finden. Das ist aufwändig, vor allem je länger das Passwort ist. Oftmals werden auch sog. Lookup Tabellen verwendet. Diese enthalten schon Passwort/Hash Paare, also vorgerechnete Paare. Dadurch geht das Vergleichen schneller. Gerade für einfache Passwörter sind diese Tabellen schnell. Passwörter wie 123456 sind sehr schnell geknackt.

D.h. für Sie: Längere Passwörter sind sicherer.

Doch das ist noch nicht alles. Mehr und mehr werden die Passwörter nicht nur gehasht sondern auch „gesalted“.

Die oben genannten Lookup Tabellen werden wirkungslos, wenn die Passwörter mit einem „Salz“ (Salt) versehen werden. Dieser Salt, eine zufällige Zeichenkette vom Anbieter, wird an das Passwort vor der Umwandlung angehängt.

Damit wird ein Passwort nicht mehr immer in denselben String umgewandelt sondern jedes Passwort wird damit einmalig abgelegt. Also wenn Sie als Passwort 123456 eingeben und ich auch, dann sind die abgelegten Daten völlig unterschiedlich. Für jede Nutzer/Passwort-Kombination sollte ein anderer Salt verwendet werden. Der Salt sollte zufällig sein, also nicht 1234 sondern beispielsweise 1G2f. Je länger der Salt, desto schwieriger das Knacken des Passwortes, aber auch desto langsamer ist der Loginvorgang.

Zu guter Letzt gibt es noch Pepper. Habe ich mir nicht ausgedacht, heisst wirklich so. Das ist noch eine zusätzliche Zeichenkette, die nicht in der Datenbank mit dem Salt abgelegt wird sondern an einer anderen Stelle. Das bedeutet, selbst wenn sich jemand Zugang zu der Benutzer- und Passwort Datenbank verschafft, kann er die Passwörter nur schwer entschlüsseln.

D.h. wenn die Regierung die Passwörter erhält, liegen diese in einer Form vor, die sehr aufwändig zu knacken sind. Was also hat die Regierung geritten, das zu fordern? Die anderen 2/3. Leider! Wissen Sie von jedem Online Account, wie er die Passwörter ablegt? Ich nicht. Daher erzeuge ich nur wenige wirklich wichtige Accounts. Nicht nur Datensparsamkeit sondern auch Accountsparsamkeit sind angesagt.

Ein paar Gedanken dazu, wenn die Passwörter sicher verwaltet werden. Es könnte bedeuten, dass die Regierung implizit erwartet, dass Anbieter neben dem codierten Passwort eine separate, nicht online verfügbare Version des Passworts in Klarform speichern, um in voreilendem Gehorsam ggf. die Passwörter liefern zu können. Es hält ausserdem ggf. Anbieter ab, die bisher die Passwörter in Klarform abgespeichert haben, dieses zu verändern oder einen moderneren Hash-Algorithmus einzusetzen. 

Ich denke jedoch, dass die Regierung in den letzten Jahren eine Salamitaktik verfolgt. Schritt für Schritt, werden Gesetze erlassen, die die Datensicherheit, den Datenschutz und die Privatsphäre einschränken. Wie mit dem Frosch: Schmeißt man einen Frosch in kochendes Wasser springt er sofort wieder raus und überlebt. Setzt man ihn in normales Wasser und erhöht die Temperatur langsam, stirbt der Frosch. Und so stirbt unsere Privatsphäre langsam. Denn der nächste Schritt wird kommen. Und bei diesem Gesetz hielt sich das Medienecho in Grenzen.