Passwörter
Wovor schützen gute Passwörter ? Und wovor nicht ?
Prinzipiell sind gute Passwörter natürlich unvermeidbar. Was ein gutes Passwort ist, behandeln wir weiter unten. Es soll aber schon darauf hingewiesen sein: Passwörter hindern Behörden fast nie davor, in ungesicherte Social-Media Accounts wie Instagram, Twitter, Reddit, Tiktok und so weiter, hinein zu kommen. Dafür reicht ihnen ein richterlicher Beschluss, denn dort liegen eure Daten unverschlüsselt und deshalb brauchen sie dafür euer Passwort nicht.
Generell gilt
- Passwörter nicht wiederverwenden
- Starke Passwörter verwenden
Einen Passwort Manager benutzen- 2-Faktor-Authentifizierung nutzen
Passwortmanager
Deshalb
uns Tip:es Welchenfür Passwortmanager?Liesmoderne mehrAktivist*innen dazueine inregelrechte denPflicht Empfehlungeneinen Passwort Manager zu Passwortmanagern.benutzen. Denn der hilft uns dabei, all diese Anforderungen ohne große Schwierigkeiten umzusetzen. Damit schützen wir nicht nur unsere eigenen Zugänge, sondern auch die dahinter liegenden Informationen, die mit unseren Genoss*innen verknüpft sind!
Passwortmanager
Ein Passwortmanager speichert alle Passwörter in einer, mit einem Hauptpasswort,Hauptpasswort, verschlüsselten Datenbank.Datenbank (das ist auch nur eine Datei). Dadurch liegen eure Passwörter nicht einfach in Klartext auf eurem SystemSystem, oder auf Papier in eurer Wohnung und ihr müsst sie euch nicht alle selbstselber merken.
Da ihr euch Passwörter nicht mehr selbst merken müsst, ist es kein Problem und auch empfohlen, dass ihr für jeden Account ein eigenes, starkes Passwort generiert,generiert. wasDas ist mit dem Passwortmanager selbst sehr einfach zu machen ist.machen.
Der Passwortmanager speichert dann auch die Zuordnung zu Webseiten & Apps, für die ihr das jeweilige Passwort generiert habt. Das erschwert so auch Phishing,Phishing, weil das Passwort auf einer falschen URL nicht als Vorschlag angezeigt wird.
Wie oben schon erwähnt ist der Passwortmanager selbst durch ein starkes Hauptpasswort, und/oder andere Faktoren geschützt (s. unten 2-Faktor-Authentifizierung)Authentifizierung). Dies ist damit (neben dem der Festplattenverschlüsselung) das einzige Passwort, das ihr euch wirklich merken müsst und kann dementsprechend auch etwas komplexer sein,sein. dennEs esgilt gilt:nämlich: lieber ein starkes Passwort merken, als viele unsichere (und wahrscheinlich sehr ähnliche) Passwörter.
Welchen Passwortmanager?
Lies mehr dazu in den Empfehlungen zu Passwortmanagern.
Starke Passwörter
Welchen Passwortmanager?
Lies mehr dazu in den Empfehlungen zu Passwortmanagern.
Okay, aber zumindest ein starkes Passwort für den Passwortmanager braucht ihr ja trotzdem...
Tip
ab Wie du ein starkes Passwort mithilfe von Diceware einfach erstellen kannst erklären wir dir übrigens hier.
Wannwann ist ein Passwort denn stark?
Eine Wichtige Grundvoraussetzung ist, dass das Passwort zufällig generiert ist. Alles was du dir ausdenkst, egal wie clever dein System sein mag, ist als unsicher zu betrachten.
Optimierte Algorithmen ermöglichen es Behörden gezielt nach möglichen Passwörtern für Aktivist*innen zu suchen, in dem vor allem Vokabeln, Zitate aus revolutionären Schriften und Liedern usw gezielt durchprobiert werden, während dort zB an faschistischem Vokabular und damit an Zeit und Energie gespart werden kann.
"Die Geschichte ist eine Geschichte von Klassenkämpfen" hat zwar 7 Wörter, ist aber aus den genannten Gründen ein denkbar schlechtes Passwort!
Hier erkennt ihr aber schon, dass es bei dem Begriff Passwörter solltenauch alsoum Passphrasen geht. Passphrasen sind zufällig generiertgenerierte sein.Wörterketten. EineSie Möglichkeithaben dazuden Vorteil, dass Menschen sich dadurch viel Längere Zeichenketten im Kopf merken können.
Ein gutes Passwort ist
- Mindestens
weitere5,istbesser 7 Wörter lang - Mit Hilfe eines Passwortmanagers, oder mittels Diceware
zeigen(Würfelnwirund einer Liste) erstellt worden.
Wir erklären weiter unten.
Umwoher zuhier klärenauf wieeinmal eindie sicheresZahlen Passwort5 aussehenbzw muss,7 wennkommen. es zufällig generiert wurde,Dort schauen wir uns anan, wie lange es dauerttheoretisch dauern würde ein zufällig generiertes Passwort bzw. Passphrase zu cracken.knacken. Allerdings sind diese Tabellen auch immer an sehr viele wenn's und aber's geknüpft.
2-Faktor Authentifizierung
2FA sorgt dafür, dass das bloße eingeben eines Passworts, nicht als vollständige Autorisierung genügt, da davon ausgegangen wird, das Passwörter eventuell korrumpiert sind. Deshalb wird eine zweite Instanz zur vollständigen Autorisierung angefordert.
In den Empfehlungen zu Passwortmanagern findet sich ein Beispiel Szenario, wie z.B. ein KeePassXC-Datenbank mit einem zweiten Faktor abgesichert werden kann.
Der zweite Faktor kann auf verschiedenen Eigenschaften beruhen:
2. Faktor: Besitz
Ihr benötigt ein spezielles Ding, dass euch entweder eine Nummer anzeigt, oder was per USB in den Rechner gesteckt werden muss. Besitzt der/die Angreifer*in dieses "Ding" nicht, erfolgt auch keine Autorisierung. (Hardware-Token, 2FA-Apps, SMS)
TOTP Software
TOTP bedeutet time-based one-time password, also ein "auf Zeit basiertes Einmalpasswort" und kann mit allen gängigen Passwortmanager wie zB KeePassXC eingerichtet werden.
Der Anmeldeprozess besteht dann aus der Eingabe von Nutzername+Passwort und danach wird man noch nach dem TOTP gefragt, was sich alle ~30 Sekunden ändert.
USB Hardware-Token
Sie sehen aus wie normale USB-Sicks. Soll ein damit konfigurierter Service/Festplatte o.ä. entsperrt werden, muss auch dieser Stick in das genutzte Gerät gesteckt werden.
Oftmals sind diese Token wiederum mit einem PIN geschützt, sodass es nicht reicht diesen zu klauen. Die PIN-Eingabe ist dabei auf x versuche limitiert.
Da dies alles auf Hardware-Ebene umgesetzt und geschützt wird, ist es eine sehr sichere Möglichkeit der Authentifizierung. (Der relevante Standard für Securitytoken dieser Art heißt FIDO2, der alte Standard U2F.)
TOTP Hardware-Token
Ähnlich wie TOTP Software, aber nicht in einer App wie zB einem Passwortmanager, sondern als ein daumengroßes Gerät. Sie haben einen kleinen Bildschirm, auf dem der 4-6 stellige TOTP angezeigt wird, der sich alle ~30 Sekunden ändert.
Bei der Anmeldung soll dann immer der in dem Moment angezeigte Code als 2FA eingegeben werden.
Die Standards für Token dieser Art sind aber meist nicht Open-Source, weshalb wir nicht dazu raten diese zu verwenden.
SMS
Die wohl bekannteste Methode. Zur Verifizierung der Identität der Nutzenden sendet der jeweilige Service eine SMS an die mit dem Account registrierte Telefonnummer. Da das Mobilfunknetz nicht als sicher zu betrachten ist, raten wir hiervon ab.
2.Faktor Biometrie
Einzigartige biometrische Eigenschaften, müssen bei Anmeldung verifiziert werden (Fingerabdruck, Gesichtserkennung, Iris-Scan). Biometrische Authentifizierung ist vor allem für Smartphones weit verbreitet.
Für uns stellt die biometrische Authentifizierung aber in so fern ein Problem dar, als das die Behörden unsere biometrischen Eigenschaften unter Zwang und mit Gewalt einfach nutzen können.
Daher raten wir prinzipiell von biometrischen Entsperrmethoden wie Fingerabdruck und Face-ID ab.
Technische Details
Biometrie wie Fingerabdrücke oder Gesichtserkennung sind nachweislich fälschbar. Wie einfach das geht hat Starbug vom CCC, bereits für Fingerabdruck-, Gesichts-, Iris- und Venenerkennung gezeigt.
Der wichtigste Punkt hierbei ist aber wohl, das ihr eure biometrischen Merkmal nie wieder ändern könnt. Ein korrumpiertes Passwort kann zurück gesetzt werden. Ein Fingerabdruck, oder das Gesicht jedoch nicht.
Die einzige Ausnahme dafür ist höchstens GrapheneOS, die einen auf zwanzig Versuche limitierten PIN als 2. Faktor für den Fingerabdruck bieten und auch sonst den höchsten Sicherheitsstandards entsprechen.
2. Faktor: Wissen
Zum Beispiel die früher üblichen Sicherheitsfragen wie "Wie lautet ihr Geburtsort?"
Diese "Sicherheitsfragen" implizieren meistens aber Antworten, die jemand der euch gut kennt sehr wohl auch selbst heraus finden kann. Daher raten wir hiervon ab.
Zeit zum crackenKnacken
Zeit zum Knacken eines Passworts
Tatsächlich kommt es sehr auf die genauen Umstände an. Die Berechnungen hier nehmen ein seh konkretes Szenario an. Das hier gezeigte Szenario geht von relativsehr guten Konditionen für die Angreifer aus. Das heißt, in der Praxis dauert es eher noch länger.
Technische Details
Wir gehen von einem MD5 gehashten Passwort aus und davon, dass die Angreifer die Hardware zur Verfügung haben die für das Training von ChatGPT verwendet wurde: 10000 NVIDIA A100 GPUs.
Kaufpreis: ca. 9000€ pro Stück (2024) für die günstigere Variante mit 40GB Speicher. Insgesamt also 90 Mio. Euro. Auch zur Miete ist diese Masse an Hardware auf Dauer nicht günstiger. Weitere details zum Szenario gibt es bei hive-systems welche die Berechnungen durchgeführt haben.
Zudem ist bei den Zeiten zu bedenken, dass diese für ein Passwort von einer Person sind. Die komplette Hardware ist damit beschäftigt, es kann währenddessen kein anderes Passwort gecracktgeknackt werden.
Wichtige Voraussetzung: Das Passwort muss zufällig generiert worden sein! Das heißt hier geht es um reines Character-Bruteforcing,Bruteforcing. Sie fangen also zB bei 0000 an und probieren sich durch:
0001,0002,...,AAAA,AAAB,...,A-A-A-B-B,R€70lut10n,- ...
usw. ohne auf die Zielperson optimierte Wortlisten.
Zeit zum crackenknacken einer Passphrase
Ein zufälliges, ausreichend langes Passwort aus Buchstaben, Zahlen und Sonderzeichen ist jedoch für Menschen schwer zu merken. Deshalb empfehlen wir für die Passwörter die ihr euch merken müsst, beispielsweise das für für den Passwortmanager, Passphrasen zu verwenden. Diese bestehen aus Wörtern statt aus einzelnen Buchstaben. Damit können Menschen deutlich besser umgehen, sie sind aber nicht weniger sicher Passwörter. Siehe auch: xkcd 936
Technische Details
In der Informationstheorie muss zur Bewertung der Sicherheit immer angenommen werden, dass der Angreifer weiß nach welchem Verfahren wir das Passwort gebildet haben. Daher verwendet der Angreifer hier eine Wordlist-Attack. Ansonsten bleibt alles gleich.
Diceware:Zum Beispiel wird unten vom wort case ausgegangen, nämlich, dass die Angreifer wissen wie viele Wörter genau aus welcher Sprache und in welchem Format (also Groß-/Kleinschreibung, welche Zeichen zwischen den Wörtern) für das Passwort benutzt wurden und dass sie dafür (in der linken Spalte) die Hardware die zum Training von ChatGPT benutzt wurde zum Knacken benutzen. Deshalb sollten diese Graphiken auch nicht für bare Münze genommen werden.
Das Erstellen zufälliger Passphrasen kann, wie schon erwähnt, mit Passwortmanagern geschehen, oder ganz analog mit Würfeln und einer möglichst großen Wortliste.
Info
Die Passphrase muss zufällig generiert worden sein. Beispielsweise mit Würfeln und Wortliste (Diceware), oder der jeweiligen Funktion des Passwortmanagers.
2-Faktor Authentifizierung
2FA sorgt dafür, dass das bloße eingeben eines Passworts, nicht als vollständige Autorisierung genügt, da davon ausgegangen wird, das Passwörter eventuell korrumpiert sind. Deshalb wird eine zweite Instanz zur vollständigen Autorisierung angefordert.
In den Empfehlungen zu Passwortmanagern findet sich ein Beispiel Szenario, wie z.B. ein KeePassXC-Datenbank mit einem zweiten Faktor abgesichert werden kann.
Das kann auf verschiedenen Kategorien beruhen:
Wissen: Der alte Klassiker in Form eines Passworts oder Sicherheitsfragen wie "Wie lautet ihr Geburtsort?"Besitz: Ihr benötigt ein spezielles Ding, dass euch entweder eine Nummer anzeigt, oder was per USB in den Rechner gesteckt werden muss. Besitzt der/die Angreifer*in dieses "Ding" nicht, erfolgt auch keine Autorisierung. (Hardware-Token,2FA-Apps,SMS)Sein: Einzigartige biometrische Eigenschaften müssen verifiziert werden. (Biometrie)
Im Folgenden werden verschiedene Technologien aufgelistet, die für 2-Faktor Authentifizierung (2FA), aber auch als einfache 1-Faktor-Authentifizierung, genutzt werden können:
Hardware-Token mit USB: Sie sehen aus wie normale USB-Sicks. Soll ein damit konfigurierter Service/Festplatte o.ä. entsperrt werden, muss auch dieser Stick in das genutzte Gerät gesteckt werden. Oftmals sind diese Token wiederum mit einem PIN geschützt, sodass es nicht reicht diesen zu klauen. Die PIN-Eingabe ist dabei oftmals auf x versuche limitiert. Da dies alles auf Hardware-Ebene umgesetzt und geschützt wird, ist es eine relativ sichere Möglichkeit der Authentifizierung. Der relevante Standards für Securitytoken dieser Art heißt FIDO2, der alte Standard U2F.Hardware-Token mit Screen: Diese USB-Stick großen Geräte haben einen kleinen Bildschirm, auf ein x-stelliger Code angezeigt wird (meist 4-6 stellig). Sie können mit bestimmten services verknüpft werden. Diese Services verlangen dann bei jeder Anmeldung (neben dem Passwort) auch den code, der gerade in diesem Moment auf dem Token angezeigt wird. Die Standard für Token dieser Art sind nicht Open-Source, weshalb wir dazu raten diese nicht zu verwenden.TOTP (2FA) Apps: Diese Apps können ebenfalls mit verschiedenen Services verknüpft werden und generieren dann für jeden Service jeweils alternierende Security-Codes.Biometrie: Schon lange berühmt in Hollywood. Soll der entsprechende Service entsperrt werden, fordert er eine Biometrische Verifizierung der Nutzenden (Fingerabdruck, Gesichtserkennung, Iris-Scan, Handabdruck, Stimmerkennung etc)SMS: Die wohl bekannteste Methode sind 2FA SMS. Zur Verifizierung der Identität der Nutzenden sendet der jeweilige Service eine SMS an die mit dem Account registrierte Telefonnummer. Da das Mobilfunknetz nicht als sicher zu betrachten ist, raten wir hiervon ab.
Biometrie
Biometrie wie Fingerabdrücke oder Gesichtserkennung sind nachweislich fälschbar. Wie einfach das geht hat Starbug vom CCC, bereits für Fingerabdruck-, Gesichts-, Iris- und Venenerkennung gezeigt.
Abgesehen davon können Behörden oder Cops euch zwingen Dinge mit Biometrie zu entsperren. Zur Herausgabe von Passwörtern dürfen sie das nicht.
Der wichtigste Punkt hierbei ist aber wohl, das ihr eure biometrischen Merkmal nie wieder ändern könnt. Ein korrumpiertes Passwort kann zurück gesetzt werden. Ein Fingerabdruck, oder das Gesicht jedoch nicht.
Fazit
Daher bietet Authentifizierung mit Biometrie keinen guten Schutz gegen Sicherheitsbehörden.