Im Internet macht sich unter Jugendlichen eine komische Unsitte breit: Als Liebes- bzw. Vertrauensbeweis ist es teilweise üblich, gegenüber dem Liebespartner sämtliche Passwörter offenzulegen. In diesem Lebensabschnitt geht es meist um Zugriffe auf E-Mail, Facebook-Account oder Netzzugang. Doch wie jedermann weiß, sind Partnerschaften in diesem Alter eher kurzlebig. Das ermöglicht natürlich digitale Rachefeldzüge gegen den oder die Ex. Vertrauliche Daten werden öffentlich gemacht, Mitteilungen mit gefälschten Idendiäten verbreitet. Auch Firmendaten (E-Mail, vertrauliche Unterlagen, Geschäftszahlen) sind vor diesem Zugriff nicht sicher.

Ich gehe jetzt mal davon aus, dass die Leser dieses Blogs aus den hormonell gesteuerten Sturm- und Drangzeiten der Jugend entwachsen sind. Aber nichtsdestoweniger ist der Umgang mit Passwörtern trotzdem ein generelles Thema in jedem Alter. Gefühlt würde ich sagen: Mit zunehmendem Alter nimmt auch die Anzahl der Passwörter zu – mehrere Konten, zusätzliche E-Mail-Accounts, immer mehr zu verwaltende digitale Geräte (PC, Notebook, Smartphone, Tablet-PC etc.), neben Lokalisten und Google+ werden mehr Social-Websites wie Xing oder LinkedIn interessant, man diskutiert zunehmend in Fachforen mit, man hat sich die ersten Cloud-Speicherplätze wie Dropbox oder HiDrive zugelegt, etc. etc. etc.

Ständig neue Passwörter – es werden zu viele…

Geht’s Ihnen ebenso? Das Generieren ständig neuer Passwörter und ihre Verwaltung macht langsam Mühe. Schließlich hält sich unsereinermeiner – und die geneigten Leser natürlich mit eingeschlossen – an die gängigen Regeln: Keine Standardworte oder Namen oder Geburtstagsziffernfolgen, am besten Groß-Klein-Buchstaben mit Ziffern nebst Sonderzeichen mischen, und das Ganze sollte noch mindestens sieben oder acht Zeichen lang sein. Und – Passwörter natürlich niemals mehrfach verwenden. Weil ein möglicher Hack könnte einen weiteren nach sich ziehen.

Aber das Gedächtnis erscheint bei der Vielzahl der Zugangsdaten endlich. Ich hab mich deshalb schon mit Passwortspeicher angefreundet, die Zugangsdaten sicher speichern und verwalten. Doch leider gibt es hier oftmals Sicherheitsprobleme, selbst wenn sie starke Verschlüsselungsverfahren verwenden. Denn es werden typischerweise Master-Passwörter verwendet, die bei der Ver- und Entschlüsselung eine wichtige Rolle spielen. Doch die Mengen der in der Praxis verwendeten Master-Passwörter sind meist um viele Zehnerpotenzen kleiner als die Schlüsselmengen, die man für die sichere Verschlüsselung eigentlich bräuchte.

Unglaublich: Brute-Force-Wörterbuchangriffe haben Chancen

Man möchte es deshalb kaum glauben: Aber so genannte Wörterbuchangriffe (Brute-Force-Methode) auf Master-Passwörter haben durchaus Aussicht auf Erfolg. Diese Entwicklung bestätigt eine vor ein paar Monaten durchgeführte Analyse des Unternehmens Elcomsoft, das 17 Smartphone-Passwortmanager auf ihre Sicherheit hin untersuchte. Erschütternd: Keine einzige der konventionellen freien und kostenpflichtigen Passwortmanager-Apps konnte das versprochene Level an Sicherheit gewährleisten. Computer sind heute so schnell und Rechenleistung ist so günstig – möglicherweise mit zugeschalteter Cloud-Unterstützung –, dass die Master-Passwortmengen mit Brute-Force-Attacken abgesucht werden können.

Vor allem haben alle Passwortmanager einen systemimmanenten Nachteil: Findet ein Wörterbuchangriff das richtige Passwort, dann öffnet sich der Inhalt. Der Hacker weiß, das war’s, und könnte sich bedienen.

iPhone-Software »iMobileSitter« trickst Hacker pfiffig aus

Klasse finde ich hier eine Idee des Fraunhofer SIT, die diesen systemimmanenten Nachteil in einen Vorteil ummünzt. Sie haben nämlich ein Verfahren entwickelt, bei dem ein Hacker – oder seine Software – bei der Eingabe eines Master-Passworts nicht erkennen kann, ob er – oder sie – fündig wurde. Die iPhone-Software »iMobileSitter« zeigt nämlich bei jeder (!) Masterpasswort-Eingabe, egal ob richtig oder falsch, vermeintliche Zugangscodes an. Ein Hacker muss also die Codes erst ausprobieren, um dann zu wissen, dass sie falsch sind. So wird also der Hacker in seinem Vorgehen ganz simpel ausgebremst, Wörterbuchangriffe durchführen. Nur der eigentliche Besitzer mit dem richtigen Passwort bekommt auch die richtigen Codes angezeigt.

Auch Verlust oder Diebstahl des iPhone ist somit kein Problem. Entschlüsselung des Passwort-Safes ist praktisch unmöglich. Aber kann ich dann auf meine Passwörter noch zugreifen? Ebenfalls kein Problem. Zum einen wird die App und ihr Inhalt natürlich immer bei Apple-iTunes mitgesichert. Es wird aber auch noch ein Backup auf einen lokalen Speicher oder auf einen E-Mail-Account angeboten. Dabei gefällt mir, dass bei den Backups von iMobileSitter die Daten immer in gleicher Weise gesichert bleiben, egal ob auf dem iPhone oder ob auf einen anderen Speicher exportiert wird.

Die Zeiten unsicherer Passwörter sollten damit eigentlich zu Ende gehen. Und selbst dem Veröffentlichen von gestohlenen Passwortlisten, wie kürzlich von LinkedIn auf russischen Hackerseiten, kann man nun entspannter begegnen.

Herzlichts
Ihr Engelbert Hörmannsdorfer
(Sie sind anderer Meinung? Dann diskutieren Sie unten unter »Kommentar schreiben« mit. Ist ja schließlich ein Blog....)