Passwort Sicherheit
Prinzipiell sind gute Passwörter natürlich unvermeidbar. Was ein gutes Passwort ist, behandeln wir weiter unten. Es soll aber schon darauf hingewiesen sein: Passwörter hindern Behörden fast nie davor, in ungesicherte Social-Media Accounts wie Instagram, Twitter, Reddit, Tiktok und so weiter, hinein zu kommen. Dafür reicht ihnen ein richterlicher Beschluss, denn dort liegen eure Daten unverschlüsselt und deshalb brauchen sie dafür euer Passwort nicht.
- Passwörter nicht wiederverwenden
- Starke Passwörter verwenden
- 2-Faktor-Authentifizierung nutzen
Deshalb ist es für uns als moderne Aktivist*innen eine regelrechte Pflicht einen Passwort Manager zu benutzen. Denn der hilft uns dabei, all diese Anforderungen ohne große Schwierigkeiten umzusetzen. Damit schützen wir nicht nur unsere eigenen Zugänge, sondern auch die dahinter liegenden Informationen, die mit unseren Genoss*innen verknüpft sind!
Passwortmanager
Ein Passwortmanager speichert alle Passwörter in einer, mit einem Hauptpasswort, verschlüsselten Datenbank (das ist auch nur eine Datei). Dadurch liegen eure Passwörter nicht einfach in Klartext auf eurem System, oder auf Papier in eurer Wohnung und ihr müsst sie euch nicht alle selber merken.
Da ihr euch Passwörter nicht mehr selbst merken müsst, ist es kein Problem und auch empfohlen, dass ihr für jeden Account ein eigenes, starkes Passwort generiert. Das ist mit dem Passwortmanager selbst sehr einfach zu machen.
Der Passwortmanager speichert auch die Zuordnung zu Webseiten & Apps, für die ihr das jeweilige Passwort generiert habt. Das erschwert so auch Phishing, weil das Passwort auf einer falschen URL nicht als Vorschlag angezeigt wird.
Wie oben schon erwähnt ist der Passwortmanager selbst durch ein starkes Hauptpasswort, und/oder andere Faktoren geschützt (s. unten 2-Faktor-Authentifizierung). Dies ist damit (neben dem der Festplattenverschlüsselung) das einzige Passwort, das ihr euch wirklich merken müsst und kann dementsprechend auch etwas komplexer sein. Es gilt nämlich: lieber ein starkes Passwort merken, als viele unsichere Passwörter.
Lies mehr dazu in den Empfehlungen zu Passwortmanagern.
Starke Passwörter
Okay, aber zumindest ein starkes Passwort für den Passwortmanager braucht ihr ja trotzdem. Aber ab wann ist ein Passwort denn stark?
Eine Wichtige Grundvoraussetzung ist, dass das Passwort zufällig generiert ist. Alles was du dir ausdenkst, egal wie clever dein System sein mag, ist als unsicher zu betrachten.
Optimierte Algorithmen ermöglichen es Behörden gezielt nach möglichen Passwörtern für Aktivist*innen zu suchen, in dem vor allem Vokabeln, Zitate aus revolutionären Schriften und Liedern usw gezielt durchprobiert werden, während dort zB an faschistischem Vokabular und damit an Zeit und Energie gespart werden kann.
“Die Geschichte ist eine Geschichte von Klassenkämpfen” hat zwar 7 Wörter, ist aber aus den genannten Gründen ein denkbar schlechtes Passwort!
Hier erkennt ihr aber schon, dass es bei dem Begriff Passwörter auch um Passphrasen geht. Passphrasen sind zufällig generierte Wörterketten. Sie haben den Vorteil, dass Menschen sich dadurch viel Längere Zeichenketten im Kopf merken können.
- Mindestens 5, besser 7 Wörter lang
- Mit Hilfe eines Passwortmanagers, oder mittels Diceware (Würfeln und einer Liste) erstellt worden.
Wir erklären weiter unten, woher hier auf einmal die Zahlen 5 bzw 7 kommen. Dort schauen wir uns an, wie lange es theoretisch dauern würde ein zufällig generiertes Passwort bzw. Passphrase zu knacken. Allerdings sind diese Tabellen auch immer an sehr viele wenn’s und aber’s geknüpft.
2-Faktor Authentifizierung
2FA sorgt dafür, dass das bloße eingeben eines Passworts, nicht als vollständige Autorisierung genügt, da davon ausgegangen wird, das Passwörter eventuell korrumpiert sind. Deshalb wird eine zweite Instanz zur vollständigen Autorisierung angefordert.
In den Empfehlungen zu Passwortmanagern findet sich ein Beispiel Szenario, wie z.B. ein KeePassXC-Datenbank mit einem zweiten Faktor abgesichert werden kann.
Der zweite Faktor kann auf verschiedenen Eigenschaften beruhen:
2. Faktor: Besitz
Ihr benötigt ein spezielles Ding, dass euch entweder eine Nummer anzeigt, oder was per USB in den Rechner gesteckt werden muss. Besitzt der/die Angreifer*in dieses “Ding” nicht, erfolgt auch keine Autorisierung. (Hardware-Token, 2FA-Apps, SMS)
TOTP Software
TOTP bedeutet time-based one-time password, also ein “auf Zeit basiertes Einmalpasswort” und kann mit allen gängigen Passwortmanager wie zB KeePassXC eingerichtet werden.
Der Anmeldeprozess besteht dann aus der Eingabe von Nutzername+Passwort und danach wird man noch nach dem TOTP gefragt, was sich alle ~30 Sekunden ändert.
USB Hardware-Token
Sie sehen aus wie normale USB-Sicks. Soll ein damit konfigurierter Service/Festplatte o.ä. entsperrt werden, muss auch dieser Stick in das genutzte Gerät gesteckt werden.
Oftmals sind diese Token wiederum mit einem PIN geschützt, sodass es nicht reicht diesen zu klauen. Die PIN-Eingabe ist dabei auf x versuche limitiert.
Da dies alles auf Hardware-Ebene umgesetzt und geschützt wird, ist es eine sehr sichere Möglichkeit der Authentifizierung. (Der relevante Standard für Securitytoken dieser Art heißt FIDO2, der alte Standard U2F.)
TOTP Hardware-Token
Ähnlich wie TOTP Software, aber nicht in einer App wie zB einem Passwortmanager, sondern als ein daumengroßes Gerät. Sie haben einen kleinen Bildschirm, auf dem der 4-6 stellige TOTP angezeigt wird, der sich alle ~30 Sekunden ändert.
Bei der Anmeldung soll dann immer der in dem Moment angezeigte Code als 2FA eingegeben werden.
Die Standards für Token dieser Art sind aber meist nicht Open-Source, weshalb wir nicht dazu raten diese zu verwenden.
SMS
Die wohl bekannteste Methode. Zur Verifizierung der Identität der Nutzenden sendet der jeweilige Service eine SMS an die mit dem Account registrierte Telefonnummer. Da das Mobilfunknetz nicht als sicher zu betrachten ist, raten wir hiervon ab.
2.Faktor Biometrie
Einzigartige biometrische Eigenschaften, müssen bei Anmeldung verifiziert werden (Fingerabdruck, Gesichtserkennung, Iris-Scan). Biometrische Authentifizierung ist vor allem für Smartphones weit verbreitet.
Für uns stellt die biometrische Authentifizierung aber in so fern ein Problem dar, als das die Behörden unsere biometrischen Eigenschaften unter Zwang und mit Gewalt einfach nutzen können.
Daher raten wir prinzipiell von biometrischen Entsperrmethoden wie Fingerabdruck und Face-ID ab.
Biometrie wie Fingerabdrücke oder Gesichtserkennung sind nachweislich fälschbar. Wie einfach das geht hat Starbug vom CCC, bereits für Fingerabdruck-, Gesichts-, Iris- und Venenerkennung gezeigt.
Der wichtigste Punkt hierbei ist aber wohl, das ihr eure biometrischen Merkmal nie wieder ändern könnt. Ein korrumpiertes Passwort kann zurück gesetzt werden. Ein Fingerabdruck, oder das Gesicht jedoch nicht.
Die einzige Ausnahme dafür ist höchstens GrapheneOS, die einen auf zwanzig Versuche limitierten PIN als 2. Faktor für den Fingerabdruck bieten und auch sonst den höchsten Sicherheitsstandards entsprechen.
2. Faktor: Wissen
Zum Beispiel die früher üblichen Sicherheitsfragen wie “Wie lautet ihr Geburtsort?”
Diese “Sicherheitsfragen” implizieren meistens aber Antworten, die jemand der euch gut kennt sehr wohl auch selbst heraus finden kann. Daher raten wir hiervon ab.
Zeit zum Knacken
Zeit zum Knacken eines Passworts
Tatsächlich kommt es sehr auf die genauen Umstände an. Die Berechnungen hier nehmen ein seh konkretes Szenario an. Das hier gezeigte Szenario geht von sehr guten Konditionen für die Angreifer aus. Das heißt, in der Praxis dauert es eher noch länger.
Technische Details
Wir gehen von einem MD5 gehashten Passwort aus und davon, dass die Angreifer die Hardware zur Verfügung haben die für das Training von ChatGPT verwendet wurde: 10000 NVIDIA A100 GPUs.
Kaufpreis: ca. 9000€ pro Stück (2024) für die günstigere Variante mit 40GB Speicher. Insgesamt also 90 Mio. Euro. Auch zur Miete ist diese Masse an Hardware auf Dauer nicht günstiger. Weitere details zum Szenario gibt es bei hive-systems welche die Berechnungen durchgeführt haben.
Zudem ist bei den Zeiten zu bedenken, dass diese für ein Passwort von einer Person sind. Die komplette Hardware ist damit beschäftigt, es kann währenddessen kein anderes Passwort geknackt werden.
Wichtige Voraussetzung: Das Passwort muss zufällig generiert worden sein! Das heißt hier geht es um reines Character-Bruteforcing. Sie fangen also zB bei 0000 an und probieren sich durch:
0001,0002,...,AAAA,AAAB,...,A-A-A-B-B,R€70lut10n,- …
usw. ohne auf die Zielperson optimierte Wortlisten.
Zeit zum knacken einer Passphrase
Ein zufälliges, ausreichend langes Passwort aus Buchstaben, Zahlen und Sonderzeichen ist jedoch für Menschen schwer zu merken. Deshalb empfehlen wir für die Passwörter die ihr euch merken müsst, beispielsweise das für für den Passwortmanager, Passphrasen zu verwenden. Diese bestehen aus Wörtern statt aus einzelnen Buchstaben. Damit können Menschen deutlich besser umgehen, sie sind aber nicht weniger sicher Passwörter. Siehe auch: xkcd 936
Technische Details
In der Informationstheorie muss zur Bewertung der Sicherheit immer angenommen werden, dass der Angreifer weiß nach welchem Verfahren wir das Passwort gebildet haben. Daher verwendet der Angreifer hier eine Wordlist-Attack. Ansonsten bleibt alles gleich.
Zum Beispiel wird unten vom wort case ausgegangen, nämlich, dass die Angreifer wissen wie viele Wörter genau aus welcher Sprache und in welchem Format (also Groß-/Kleinschreibung, welche Zeichen zwischen den Wörtern) für das Passwort benutzt wurden und dass sie dafür (in der linken Spalte) die Hardware die zum Training von ChatGPT benutzt wurde zum Knacken benutzen. Deshalb sollten diese Graphiken auch nicht für bare Münze genommen werden.
Das Erstellen zufälliger Passphrasen kann, wie schon erwähnt, mit Passwortmanagern geschehen, oder ganz analog mit Würfeln und einer möglichst großen Wortliste.