Mit dem Passwort Gorilla den Zugang zur digitalen Welt organisieren

IT-ManagementIT-ProjekteSicherheit
sicherkmu-logo (Gafik: ITespresso)

Mit der zunehmenden Verlagerung von Diensten ins Web wird die Authentifizierung für diese Angebote zu einer immer wichtigeren Frage. In der Regel kommen heute dafür Passwörter zum Einsatz. Allerdings scheint sowohl zahlreichen Nutzern als auch Anbietern ein sicheres Passwort nicht besonders wichtig zu sein – wie der Hack von Promi-Konten bei Apples iCloud erneut gezeigt hat.

Die Promis sind genauso angefressen wie das Logo von Apple. Und das schon eine ganze Weile. Der verstorbene Playboy Gunter Sachs wetterte bereits 2010 in der ‘Bild’ über den Premium-Hersteller: “Ich habe gesehen, wie leicht Unbefugte Zugriff auf fremde Computer bekommen könnten.”

sicherkmu-logo

In den letzten vier Jahren hätte der Konzern reichlich Zeit gehabt, systematisch zu überlegen, wie er seine Kunden vor den erwartbaren Angriffen schützen kann. Die Zeit ging nutzlos vorüber: Hunderte Nacktfotos sollen kürzlich aus Apple’s iCloud geklaut worden sein. So war es offenbar bislang möglich, sukzessive Namen und Passwörter der Zielpersonen durch Ausprobieren herauszubekommen. Die Anzahl der Anmeldeversuche war dabei bisher genauso unbegrenzt wie die technische Leistungsfähigkeit von spezialisierten Automaten: Schließlich dauerte es bereits 2012 maximal sechs Stunden, um ein beliebiges achtstelliges Passwort mit Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen durch maschinelles Ausprobieren zu knacken. Wie fix das heute geht, ist nicht bekannt. Klar ist: Die Leistung steigt weiter – im September hieß es, Intel wolle die Geschwindigkeit seiner GPU mit neuen Treibern um 30 Prozent erhöhen.

Und es scheint, als ob es auch recht einfach war, Apple’s “Sicherheits-“System mit mehreren Abfragen – nach Haustieren oder Geburtsdatum und -name – zu übertölpeln: Die Anzahl der Antwortversuche scheint auch hier bislang grenzenlos zu sein. Und weil´s so schön einfach ist, Apple-Kunden die Kronjuwelen abzuholen, gibt’s seit Jahren immer wieder Klagen.

Doch jetzt auf einmal meldet sich die Pressestelle: “Als wir von dem Diebstahl erfahren haben waren wir schockiert und haben umgehend die Ingenieure von Apple mobilisiert, um der Sache auf den Grund zu gehen.” Bei so vielen Krokodilstränen ist dem Urheber dieser Pressemitteilung eine Amphibientastatur zu wünschen! Aber ernsthaft: Kann ein Unternehmen die Verachtung seiner Kunden besser unter Beweis stellen als durch grob fahrlässige, konsequente Missachtung ihrer Sicherheit?

Doch auch die Nutzer selbst tragen durch ihr Verhalten zur eigenen Bedrohung bei: Wer sein Konto bei Google oder Yahoo unterhält, ist größeren Risiken ausgesetzt als bei einen kleinen (womöglich kostenpflichtigen!) Diensteanbietern wie etwa Posteo. Wer seine Mailadresse aus Vor- und Zunamen zusammenbaut, darf mehr personalisierten Müll erwarten. Und die Nutzer könnten sich bessere Passwörter zulegen. Zu Jahresbeginn 2014 war aber noch “123456” der beliebteste Schlüssel zum digitalen Ich; – gefolgt von “password” und – man höre und staune! – “12345678”.

Password Gorilla

Wie aber kommt man zu einem sicheren Passwort? Das man sich auch noch merken kann?? Einen Versuch lohnen zumindest solche Eselsbrücken, bei denen ein Satz formuliert und dann aus jedem Wort der Anfangsbuchstabe Teil des Passworts wird. Um die Komplexität zu erhöhen, lässt sich das eine oder andere Zeichen zusätzlich durch ein Sonderzeichen oder eine Zahl ersetzen. “Das ist ein sicheres Passwort!” könnte dann werden zu “Di1$PW!”. Da das Passwort allerdings jetzt bekannt ist, sollte es nicht weiter verwendet werden.

Die Komplexität des Passworts ist ein Parameter, der zur Sicherheit des Nutzers beiträgt. Die Passwortlänge ist ein anderer: Oben war bereits die Rede von 8 Zeichen. Offenbar ist das heute nicht mehr ausreichend – insbesondere wenn sich’s um die Konten von Menschen mit Geld, Macht und Einfluß handelt. Die Unternehmensberatung Deloitte spricht bereits über 10 bis 12 Stellen. Gleichzeitig denkt der Beratungskonzern über die Verwendung biometrischer Merkmale nach. Derartige Gedankenspiele könnten aber noch viel größere Risiken enthalten: Der biometrische und multimediale Identitätsdiebstahl wird uns vermutlich noch viel Kopfzerbrechen bereiten.

Die Gedankenspiele legen jedoch die Vermutung nahe, dass auch die 10 oder 12 Stellen nicht das Ende der Fahnenstange sein werden. Wer aber kann sich wieviele Passwörter mit 10 Stellen merken, die den gesamten Zeichenraum einer QWERTZ-Tastatur ausnutzen? Passwörter brauchen wir nämlich künftig ziemlich viele – nicht nur für die Mail und unsere diversen Onlinedienste, sondern zur Sicherung unseres kompletten Lebens. Das nämlich wird im Internet der Dinge in hoher Auflösung abgebildet werden. Und die Passwörter sollen wir bitteschön auch noch regelmäßig ändern.

Da kann ein Passwort Manager helfen – für den Mac gibt’s Roboform for Mac (Über die Vertrauenswürdigkeit des Anbieters ist nichts bekannt), GNU/Linux und Windows-Anwender können ihr Glück mit dem Passwort-Gorilla versuchen: Die Freie Software ist unter der GPLv2 veröffentlicht und kostenlos verfügbar.

Konten und Passwörter lassen sich mit dem Gorilla komfortabel verwalten. Das jeweilige Konto öffnet sich per Mausklick. Der Clou: Die Passwortlänge lässt sich frei wählen. Auch der Roboform unterstützt angeblich Passwörter mit 30 und mehr Stellen. Bleibt die Frage, ob diese Wahlfreiheit dem iCloud-nutzenden Promi viel nutzt: Die Apple Pressestelle lässt jedenfalls die Frage bislang unbeantwortet, wie lang ein Passwort zu seinem Netzspeicher sein muss, um sicher zu sein.

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU