Wenn man sich auf Webseiten mit Benutzernamen und Passwort anmeldet, soll man in der Adressleiste auf das Schloss achten, das für eine verschlüsselte HTTPS-Verbindung steht. Das HTTPS-Protokoll beruht auf dem TLS-Protokoll (ehemals SSL) und ausgerechnet die am häufigsten eingesetzte TLS-Implementierung OpenSSL hatte 27 Monate lang eine katastrophale Sicherheitslücke, namens Heartbleed (Blutendes Herz).
Heise.de spricht von einem GAU (größter anzunehmender Unfall) und erklärt, wie die Heartbleed-Sicherheitslücke funktioniert. Der anerkannte Sicherheitsexperte Bruce Schneier schreibt, es handele sich um einen Fehler der Kategorie 11 auf einer 10-wertigen Skala:
„Catastrophic“ is the right word. On the scale of 1 to 10, this is an 11. Half a million sites are vulnerable, including my own.
Falls man selber einen Server betreibt und von der Sicherheitslücke betroffen ist, muss man jetzt Folgendes tun:
- OpenSSL-Bibliothek aktualisieren
- anschließend die SSL-Zertifikate aktualisieren
- alle Benutzer informieren, ihre Passwörter zu ändern
Als Benutzer sollte ich überall meine Passwörter ändern, denn welche Betreiber wirklich von der Sicherheitslücke betroffen waren und wer meine Passwörter kennt, werde ich nicht erfahren. Puh – alle Passwörter ändern? Wer bisher noch kein Konzept für Passwörter hatte, sollte die Gelegenheit nutzen und jetzt damit loslegen.
Regeln für sichere Passwörter
Für sichere Passwörter gelten einige Regeln, die beispielsweise das BSI (Bundesamt für Sicherheit in der Informationstechnik) und Heise erläutern:
- Passwort sollte Groß-, Kleinbuchstaben, Sonderzeichen und Ziffern enthalten
- Passwort sollte mindestens 12 Zeichen lang sein (andere Empfehlungen lauten 8 Zeichen)
- Passwort sollte nicht in Wörterbüchern stehen
- Passwort sollte keine Tastenfolge auf der Tastatur sein
- Passwort sollte nicht mehrfach verwendet werden
- Passwort sollte regelmäßig geändert werden
Konzept für sichere und merkbare Passwörter
Mit den Regeln können wir uns einfach sichere Passwörter ausdenken. Aber wenn wir das wahllos für alle genutzten Internetdienste machen, müssten wir uns die Passwörter wohl aufschreiben. Im Büro ist solch ein Zettel sicher gut aufgehoben, aber was machen wir, wenn wir bei Freunden oder unterwegs mit dem Handy die Passwörter benötigen?
Ein einfacher Satz und einige naheliegende Ersetzungen (z.B.: E=3, bei=@, und=&, prozent=%) können helfen, einfach merkbare Passwörter für unterschiedliche Webseiten zu erzeugen. Das Passwort 'M90jOws@d8na'
könnte beispielsweise aus folgendem Satz entstehen, wobei das Wort Webseite durch die Anzahl der Zeichen des Webseitennamens ersetzt wird (z.B. ’seite.de’=8):
Meine 90-jährige Oma würde sich bei dieser Webseite niemals anmelden
Passwort = M90jOws@d8na
Falls jemand meine Passwörter von mehreren Webseiten unverschlüsselt bekommen sollte, dann haben die Passwörter mit dem oben angegebenen Satz vielleicht noch zu viel Ähnlichkeit und das Verfahren könnte erkannt werden. Daher sollte man noch mehr Dynamik bei der Erzeugung der Passwörter einbringen (z.B. dritten Buchstaben des Webseitennamens oder Toplevel-Domain auswerten).
Webseiten kategorisieren
Außerdem sollte ich das Verfahren für mein Online-Banking nicht gleichzeitig für nicht vertrauenswürdige Webseiten verwenden. Falls die Webseite Benutzernamen und Passwort mit HTTP versendet und nicht mit HTTPS verschlüsselt, dann werden meine Daten in deren Datenbank wahrscheinlich auch nur unzureichend oder sogar überhaupt nicht verschlüsselt. Bei manchen Webseiten sind meine Daten eventuell so irrelevant, dass ich für solche Webseiten stets das selbe Passwort nutze (Anmeldung an Foren, Download von Software, usw.)
Falls man Anmeldedaten für viele Webseiten hat, lohnt sich eine Kategorisierung der Webseiten nach Risikogruppen. Anschließend kann man sich verschiedene Passwortverfahren überlegen. Für mich sind beispielsweise folgende Risiken relevant:
- Zugriff auf meine Finanzen
- Zugriff auf andere persönliche Daten (z.B. Rechnungen, Bilder)
- Zugriff auf Kontaktdaten (Telefondaten, Email-Adressen)
- Finanzielle Schädigungen durch Bestellungen
- Aufwand zur Wiederherstellung von gelöschten Daten bzw. Accounts
- Ruf schädigen in sozialen Netzwerken
Fazit
Wer wichtige Passwörter nach dem Heartbleed-GAU noch nicht umgestellt hat, sollte das schleunigst machen. Ein Passwort-Konzept kann dabei helfen.
Ich habe meine Webseiten in vier Kategorien eingeteilt und setze entsprechend unterschiedlich starke Verfahren ein:
- kritisch: Finanzdienstleister (Online-Banking, Paypal, …)
- wichtig: Online-Shops, Social-Netzwerke, …
- relevant: Webseiten mit meinen Kontaktdaten
- egal: Webseiten, ohne meine Kontaktdaten
Das beschriebene Konzept passt ganz gut für Webseiten-Anmeldedaten, aber es gibt ja noch andere Passwörter:
- Anmeldedaten für Arbeitsrechner, Raspberry Pi, WLAN- und DSL-Router
- Anmeldedaten für eigene oder gemietete Server
- Pins für Handy, Kreditkarten, Videothek usw.
Darüber werde ich mal nachdenken, sobald ich die Passwörter aller Webseiten angepasst habe.