Der britische Nachrichten- und Sicherheitsdienst GCHQ hat in einer Informationsbroschüre Tipps für Systembetreiber vor allem im Umgang mit Passwörtern gegeben, darunter die Empfehlungen, auf zu strenge Regeln mit soundsovielen Sonderzeichen, Ziffern und Großbuchstaben zu verzichten und die Nutzer auch nicht regelmäßig zu zwingen, neue Passwörter zu wählen. Solche Regeln würden nur den Nutzern das Leben erschweren, nicht aber den Angreifern. Man würde also das Problem auf den Nutzer abwälzen, statt es technisch zu lösen. Besser sei es beispielsweise, verdächtige Aktivitäten im System in Echtzeit zu überwachen.

Ein Großteil der Angriffe findet heutzutage auf Wegen statt, gegen die starke Passwörter keinen Schutz bieten: Social Engineering wie Phishing, Abhorchen der Übertragung, Mitfilmen der Passworteingabe, Installation von Keyloggern, Einbruch in die IT oder Übertragen von geknackten Accounts auf andere Systeme. Beispielsweise wurde gerade gestern bekannt, dass beim Seitensprung-Portal Ashley Madison 15 Millionen Passwörter aufgrund eines Fehlers bei der verschlüsselten Speicherung innerhalb kurzer Zeit knackbar waren – weitgehend unabhängig davon, wie stark oder schwach das Passwort selbst war. Der GCHQ nennt den Adobe-Hack von 2013 als Beispiel: Damals wurden 150 Millionen Nutzer-IDs geklaut und teils anhand der unverschlüsselt gespeicherten Passwort-Erinnerung geknackt.

Für und Wider Passwortänderungen

Hauptsächlich helfen starke Passwörter gegen Brute-Force-Angriffe, aber die könne man besser über Kontosperrungen oder "Throttling" bei Fehleingaben verhindern. Gegen allzu schwache Passwörter empfiehlt der GCHQ die Implementierung von Blacklists, also das Verbieten typischer leicht zu erratender Passwörter. Erzwungen komplizierte Passwörter würden aber nur dazu führen, dass mehr Nutzer sich andere, potenziell unsicherere Wege überlegen, den Passwortschutz zu umgehen.

Zu einer Änderung des Passworts solle man Nutzer nur noch bei Verdacht auf Missbrauch zwingen. Die meisten gestohlenen Passwörter würden sofort missbraucht werden, wogegen regelmäßiges Ändern ja nicht hilft. Dem widerspricht Jonathan Sander, Vizepräsident von Lieberman Software im SC Magazine: Er sagt, dass die meisten Einbrüche monatelang nicht entdeckt würden, einige sogar nie. Nicht geänderte Passwörter seien daher eine große Gefahr.

Die üblichen Tipps

Weitere Tipps in der Broschüre des GCHQ (PDF, 1,5 MByte) sind, die Default-Passwörter aller Geräte sofort zu ändern, Situationen zu vermeiden, in denen mehrere Nutzer das gleiche Passwort kennen müssen und den Nutzern zu erlauben, ihre Passwörtern beispielsweise in sicheren Password-Safes zu speichern. Programmierer sollten Passwörter niemals un- oder schwach verschlüsselt speichern, auch nicht die von nicht sicherheitskritischen Systemen.

Nutzern empfiehlt die Behörde, vor allem für beruflich und privat genutzte Zugänge nie das gleiche Passwort zu nehmen. Auch die eigentlich selbstverständliche Regel, keine Namen von Kindern, Haustieren oder Fußballclubs zu nehmen, taucht auf. (jow)