(Hinweis: Dieser Artikel erschien zuerst am 2.1.2020 im Intranet der CAU. Er wurde nicht an heute übliche Sprechweisen angepasst.)

Es gehört für viele von uns zur morgendlichen Büroroutine: Rechner an, Festplatte aufschließen, Benutzerkonto aufschließen, Mailkonto aufschließen. Aber was soll das alles, warum gängelt Sie das Rechenzentrum mit stets ansteigenden Mindestanforderungen für Passwörter, und warum bekommen Sie gefühlt jede zweite Woche eine Mail von "Software Administrator", dass Ihr Postfach voll sei, und was ist der einfache und richtige Weg? Eine Reise in die Welt der Passwörter.
 

Wer bist du und was machst du hier?

Die Notwendigkeit von (Benutzerkennungen und) Passwörtern ergibt sich daraus, dass für viele Bereiche eine Authorisierung notwendig ist: nicht jeder soll Ihr Postfach lesen können, nicht jeder darf Prüfungsergebnisse von Studierenden eingeben (oder einsehen!), und die Verträge mit den Fachverlagen regeln, wer ohne weitere Kosten online in Ihren Journalen recherchieren können soll. Manchmal lässt sich diese Authorisierung eher lax durchführen ("Das Netzwerkkabel Ihres Rechners steckt in einer Buchse der Rechtswissenschaftlichen Fakultät, also sind Sie vermutlich berechtigt, in den juristischen Fachzeitschriften zu recherchieren"), aber spätestens dort, wo die Rechte personengebunden sind, ist eine Authentifizierung notwendig, am einfachsten dadurch, dass Sie nachweisen, etwas zu kennen, was außer Ihnen niemand kennen sollte: Ihr Passwort. (Auf Alternativen kommen wir am Ende zu sprechen.)
 

Der mathematische Fleischwolf

Nun ist es mitnichten so, dass wir in den Katakomben des Rechenzentrums eine große Kartei führen, in der nachzulesen ist: "das Passwort zum Konto abc123 ist: strenggeheim". Dies würde auch dem Grundsatz widersprechen, dass niemand außer Ihnen das Passwort kennen sollte. Vielmehr benutzt man mathematische Verfahren, die sog. "Hashfunktionen", um eine Art Fingerabdruck oder Prüfsumme des Passwortes zu erstellen. Wir wissen also nur: "das Passwort zum Konto abc123 hat den Fingerabdruck 8497ea8ae7ea282e918435a870be7b93c297744f".

Wichtig ist dabei, dass diese Hashfunktionen gewisse Unumkehrbarkeitseigenschaften haben. Zum Beispiel soll aus dem Fingerabdruck nicht Ihr ursprüngliches Passwort ableitbar sein, oder irgendein Passwort mit diesem Fingerabdruck. (Jedes Passwort mit dem richtigen Fingerabdruck ist für uns gleichermaßen korrekt.)

Diese gewünschten Eigenschaften müssen mathematisch fundiert sein, und neue mathematische Entdeckungen (oder einfach der Geschwindigkeitszuwachs bei Computern) können dazu führen, dass man zu neuen, weniger unsicheren Hashfunktionen wechselt – einer der wenigen denkbaren Fälle, in denen wir alle Benutzer auffordern würden, ihr Passwort neu zu setzen.
 

Wo rohe Kräfte sinnlos walten

Wie kann ein Bösling sich nun Ihres Passworts bemächtigen? Im einfachsten denkbaren Fall einfach durch ausprobieren: vielleicht zunächst häufig benutzte Passwörter wie "12345" und "Passwort", dann Vornamen, Daten, Namen von Sportvereinen, ein großes Wörterbuch in Deutsch und Englisch, etc., etc., und irgendwann strukturiertes Durchprobieren des gesamtes Restes.

Wenn Sie meinen, dass man bis zum passenden Passwort dann bestimmt trotzdem eine ganze Weile braucht: Auswertungen aus Passworthacks ergeben, dass teilweise 10% der Konten eines der 25 häufigsten Passwörter genutzt haben. Wenn alte, aber bis in die frühen 2000er geläufige, Hashfunktionen benutzt werden, ist die Ausrüstung, um bis zu 930 Millionen Passworte pro Sekunde auszutesten, für wenige hundert Euro im Computereinzelhandel erhältlich oder kann auf Stundenbasis bei Cloudanbietern gemietet werden. (Wehe denen, die sich nicht nur Sorgen um "kleine Betrügerinnen und Trickdiebe", sondern um Industriespionage machen müssen!)

Soweit es zentral möglich ist, treffen wir auch weitere Sicherheitsmaßnahmen, indem wir etwa Rechner, die augenscheinlich Passworte durchprobieren, automatisch eine gewisse Zeit sperren. All dies hilft aber nicht gegen Dienste von Dritten: in dem Augenblick, in dem Ihr Passwort für das (nicht mehr gepflegte, aber weiterhin erreichbare) Anmeldeportal einer Fachkonferenz aus dem Jahr 2003 bekannt wird, werden Angreifer probieren, sich mit ihrer Mailadresse und diesem Passwort bei Ebay, Amazon, PayPal, unserem Webmailer, etc. etc. anzumelden. Ein effektiver Schutz ist hier dann nur, für jeden Dienst (oder vielmehr: jeden Diensteanbieter) ein anderes Passwort zu verwenden.
 

Helfer in der Not: Passwortmanager

Um diese anwachsende Zahl von verschiedenen Passwörtern unter Kontrolle zu halten, sind Passwortmanager praktisch: in diesen können Sie Ihre Passwörter organisieren und – selbst wieder durch ein Passwort geschützt – verschlüsselt abspeichern. Dann brauchen Sie sich im Idealfall nur noch das Passwort für Ihren Passwortmanager zu merken, das dafür gerne schön lang und kompliziert sein darf. (Auch wenn der Begriff "Passwort" anderes suggeriert, darf das Passwort durchaus aus mehreren Worten bestehen.) Alle weiteren Passworte kann der Passwortmanager Ihnen bei Bedarf direkt in die Zwischenablage kopieren, so dass selbst die neugierige Person hinter Ihnen keinen Einblick bekommt. Ob die Seite, in die Sie das Passwort einfügen, eine legitime Seite ist, kann der Passwortmanager allerdings nicht automatisch entscheiden – bitte beachten Sie also weiterhin die Hinweise des Rechenzentrums zur Sicherheit insbesondere im E-Mail-Verkehr.

Der Passwortmanager kann auch für Sie lange, zufällige Passwörter erzeugen – einzutippen brauchen Sie diese ja nicht mehr. Viele Passwortmanager unterstützen darüber hinaus Onlinespeicher, z.B. die CAU-Cloud, um Ihre Passwortsammlung auf mehreren Rechnern (Bürorechner, Dienstlaptop, Smartphone) aktuell zu halten.

Auf den Seiten des Rechenzentrums finden Sie weitere Informationen zur Installation und Bedienung vom Passwortmanager KeepassXC.
 

Was es auch gibt: 2FA, PKI, und noch mehr Buchstabensuppe

Es gibt noch mehr Weiterentwicklungen in der Welt der Authentifizierung, die wir aufmerksam verfolgen, aber zu diesem Zeitpunkt nicht oder nur punktuell einsetzen:
 

PKI

Eine public-key-Infrastruktur (PKI) verfolgt einen komplett anderen, asymmetrischen, Ansatz als Passwörter: nur der Benutzer hat die Möglichkeit, digitale Unterschriften zu leisten, die aber von jedem auf Echtheit überprüft werden können. Wer auf die Aufforderung "unterschreibe mir den zufälligen Wert 08154711" die korrekte Signatur von suabc123 liefern kann, wird als Benutzer akzeptiert. Dieses Verfahren kennen Sie vielleicht von Mailzertifikaten, es kommt aber auch hinter den Kulissen bei verschlüsselten Webseiten zum Aufbau, wo der Server so seine Identität beweist. Grundsätzlich wäre es aber auch möglich, dass der Besucher sich gegenüber dem Dienst so ausweist. In der Praxis wird dies aber nirgendwo eingesetzt, obwohl hierbei nicht einmal mehr ein Fingerabdruck eines Passworts zentral gespeichert werden muss.
 

SSO

Beim Single-Sign-On (SSO) werden Authentifizerung und Authorisierung (s.o.) technisch klarer getrennt: statt selbst eine Datenbank mit Benutzern und Zugangsinformationen zu führen, lagert man diese an getrennte vertrauenswürdige Systeme aus. Solch ein System teilt dann nur noch mit "ich habe nachgeprüft, dass es sich um Benutzer suabc123 handelt". In "freier Wildbahn" begegnet Ihnen dies häufig als "Login mit Google" oder "Mit facebook anmelden", aber wenn Sie sich das landesweite Semesterticket bei nah.sh bestellen, passiert nichts anderes, und auch unsere Mailinfrastruktur und das eLearning verwenden intern getrennte Authentifizerungsdienste.
 

OTP

One-Time-Passwörter (OTP) sind unter anderem Namen schon lange bekannt: es sind die lange im Onlinebanking verwendeten Transaktionsnummern (TAN). Als leichte Abwandlung werden sie aber nicht als Papierliste verschickt, sondern auf genormten Verfahren aus einem gemeinsamen geheimen Startwert berechnet, zum Beispiel unter Einbeziehung der aktuellen Uhrzeit (time-based OTP, TOTP). So ist ein TOTP-Passwort immer nur für z.B. dreißig Sekunden gültig, zu kurz, um es sinnvoll zu stehlen und beispielsweise zu verkaufen.
 

2FA

Bei der Zwei-Faktor-Authentifizierung (2FA) wird das einzelne Passwort durch mehrere (normalerweise zwei) Komponenten ersetzt. Diese Komponenten lassen sich in unterschiedliche Bereiche einteilen, üblicherweise "Wissen" (z.B. ein Passwort: leicht zu kopieren, leicht zu ändern, leicht zu vergessen/verlieren), "Besitz" (z.B. eine Chipkarte: schwierig zu kopieren, schwierig zu ändern, leicht zu vergessen/verlieren) und "Eigenschaft" (z.B. ein Fingerabdruck: mittelschwierig zu kopieren, schwierig zu ändern, schwierig zu vergessen/verlieren). Als "EC-Karte plus PIN" ist Ihnen das seit Jahrzehnten aus dem Bankbereich bekannt.