Kommentar und Tipps: Sichere Passwörter und der Umgang mit der Cloud
von caschy | 45 Kommentare
Gestern hat es also Evernote erwischt. Man hat Einbrüche auf dem Server festgestellt. Es wurden Daten gestohlen. Man hat kurz danach viele wütende Benutzer gegen sich gehabt. Ich behaupte: Evernote hat das einzig Richtige getan. Systemweite Aufforderung, die Passwörter zu ändern. Es nützt keine Informationsmail a la „Bitte ändere dein Passwort“.
Um Schaden abzuwenden, muss reagiert werden. Sofort. Was wurde eigentlich gestohlen? Auch hier herrscht viel Unwissen und Panikmache. Benutzernamen wurden gestohlen und die dazugehörigen E-Mail-Adressen. Über den Umfang ist nichts bekannt, aber unter Umständen bekommt ihr auf dieser Adresse Spam oder betrügerische E-Mails. Wollen wir hoffen, dass die Provider gute Spamfilter einsetzen.
[werbung]
Wurde noch etwas gestohlen? Ja, Passwörter. Aber – und hier herrscht viel Unwissen bei einigen – diese wurden natürlich nicht im Klartext gestohlen. Die Passwörter werden ja vorab erst einmal in einen Hash-Wert umgewandelt. Was ist ein Hash-Wert bei Evernote? Ein Hash-Wert ist ein Wert fester Länge, welcher aus dem Passwort generiert wird. Dieser Hash-Wert lässt sich aus dem Passwort zwar immer wieder mit der gleichen Summe berechnen, aber im besten Fall nichts rückwärts.
Heißt: Dein Benutzername bei Evernote ist Mongobongo17 und dein Passwort „Passwort123“. Evernote hinterlegt nun aus diesem Passwort einen Hash-Wert auf den eigenen Servern, damit man dich authentifizieren kann. Das alles ist natürlich stark vereinfacht von mir beschrieben.
War das alles? Nein, Evernote setzt noch eine weitere Strategie ein, die sich „Salted Password“ nennt. Dies bedeutet, dass eine zufällig gewählte Zeichenfolge vor der Verwendung / Umwandlung in einen Hash-Wert eurem Passwort angehangen wird. Dies ist interessant bei Leuten, die immer und überall das gleiche Passwort benutzen. Die Möglichkeit, dass zwei Benutzer den gleichen Hash-Wert zugeteilt bekommen haben, ist ziemlich gering, nun kommt aber die zweite Komponente ins Spiel.
Benutzername Mongobongo17 ist bei Dienst XY nebst Passwort „Passwort123“ angemeldet. Wird hier zum Beispiel das Passwort gestohlen – aus welchen Gründen aus immer, so könnte man zum Beispiel erkennen, dass Benutzer Mongobongo17 mit dem gleichen Passwort (weil gleicher Hash) auch bei Evernote angemeldet ist. Das Vorab-Salzen des Passworts mit einer Zufallszahl verändert den Hash also auf einmalige Weise, sodass nicht erkannt werden kann, ob Benutzer Mongobongo17 bei den ganzen Diensten ein Passwort nutzt. Dieses macht man auch, um das Entschlüsseln der Hashes zu erschweren. Entschlüsseln = Rechenzeit. Das Salzen sollte zur Pflicht werden, da sich Hashes diverser Passwörter sogar per Google auffinden lassen.
Sichere Passwörter und Cloud-Benimmregeln
Viel trockene Theorie, bevor wir zur Praxis kommen. Habe ich Tipps? Regeln? Schwer, denn jeder meiner Tipps würde euch vielleicht aus eurem Workflow reißen. Sicherheit ist nicht immer bequem. Ich kann ja mal einige Sache in die Runde schmeißen, die ihr vielleicht einmal bedenken solltet. Eure Tipps gerne auch in die Kommentare.
Passwörter erstellen und nutzen
Nutzt nie das gleiche Passwort bei Diensten. Ja, das ist verdammt noch mal nicht gerade einfach, bei vielleicht 50 Diensten den Spaß im Kopf zu behalten. Aber müsst ihr das? Habt ihr keinen Passwort-Manager, der dies für euch erledigt? KeePass? 1Password? Die könnt ihr am Rechner und mobil am Smartphone benutzen. Die Programme können sogar sichere, einmalige Passwörter generieren!
Wie bitte? Ihr braucht Offline-Zugriff auf Passworte? Ok, dann nutzt doch eine Passwort-Karte. Eine Passwort-Karte besteht aus vielen Buchstaben, Reihen und Zahlen. Diese Karten kann man generieren, die Seiten bieten auch weiterführende Information zum Thema: PDF zur Passwort-Karte, Passwort-Karten-Generator und noch eine Seite nebst Generator zum Thema Passwort-Karte.
Speichere deine Passwort-Dateien sicher und verschlüsselt, Textdateien mit Klartext sind gefährlich.
Ihr könnt also problemlos und kostenlos Passwörter erstellen, nutzen, verwalten – und dies sogar offline. Die halbe Miete!
Nutzung der Cloud
Und in der Cloud? Nutzt, wenn möglich, 2-Faktor-Authentifizierung! Google bietet es an, Dropbox bietet es an, LastPass und einige andere auch – Facebook zum Beispiel. Wozu ist das gut? Als weiterer Sicherheits-Aspekt müsst ihr nebst Benutzernamen und Passwort einen Code eingeben, der auf eurem Smartphone erscheint. Somit soll sichergestellt werden, dass Fremde nicht eure Passwörter nebst Benutzernamen ausprobieren.
Zusätzlich verschlüsseln, wenn möglich. Dropbox bietet den Abgleich mit TrueCrypt-Containern an. Wie das geht, beschrieb ich hier. Sofern euer Workflow nicht zerhackt wird – nutzt es! Alternativ funktioniert auch BoxCryptor, welches sogar einfacher zu bedienen ist.
Muss das wirklich in die Cloud?
Hast du Daten wie Wallpaper und Software in der Cloud? Macht nichts, ist ja nicht so wild, wenn das mal wegkommt (so lange es keine Seriennummern sind). Aber denke mal drüber nach, ob die brisanten Dokumente wirklich in unverschlüsselt in der Cloud liegen müssen. Nutzt du das überhaupt? Hast du nicht eine lokale Lösung, die sich vielleicht besser anbietet? Sicherheit ist immer wichtiger als der wenige Mehraufwand. Lies dich vielleicht ein, wie dein Cloud-Anbieter die Daten speichert und überträgt.
Muss man den Dienst nutzen?
Überlegt euch vielleicht, ob ihr den Dienst benötigt. Kannst du nicht vielleicht mehrere Fliegen mit einer Klappe schlagen? Bequemlichkeit ist ein schlechter Berater.
Nicht nur dein Anbieter ist gefragt – auch du! Vielleicht findet der eine oder andere ja nun Muße, ein wenig an seiner Passwort-Sicherheit und an seiner Cloud-Nutzung zu schrauben.
Und ich?
Und da die Frage aufkommen wird, wie ich es denn so handhabe: Ich selber nutze auf allen Rechnern vollständige Festplatten-Verschlüsselung. Ebenfalls nutze ich, sofern angeboten, 2-Faktor-Authentifizierung. Wichtige Daten sind entweder verschlüsselt oder nicht in der Cloud. Dienste-technisch bin ich ein Minimalist. Ich benutze privat nur wenige Dienste, alte Dienste sollte man nicht vergessen, sondern den Account löschen.
Und ihr?
Wird geladen ...
363 logins?… himmel, ich hab evtl. 30 und empfinde das schon als viel 🙂
@Jakob:
Je es gibt immer wieder Szenarien, bei den das eine oder ander möglich ist. Den genauen Artikel von Heise kenne ich jetzt nicht – aber letztens stand wieder so etwas drin, bei dem „sicher“ Dinge doch gehackt wurden.
Zum Teils ist das aber mit fast absurdem Aufwand verbunden und/oder direkter, lokaler Besitz auf den Rechner nötig (inklusive runterkühlen des Arbeitsspeichers u.ä.)
Das spricht dann zwar für die theoretische Machbarkeit aber nicht unbedingt für eine praktische Umsetzung.
Wenn das bei mir zuträfe – also dass jemand den RAM meines PC kühlen kann – wäre das Paßwortproblem noch meine geringstes.
Das muß jetzt nichts mit dem zu tun haben, was Du meinst, zeigt nur, dass es keine 100% sicherheit gibt.
Wenn ich nicht irre, stand auch bei Heise ein weiterer Trick, um Paßwörter zu speichern:
Notizbuch, kein Toool sondern diese kleinen Dinge mit Seiten aus Papier (das zeug, dass aus Holz gemacht wird und früher mit Stiften beschrieben wurde)
So hat jemand mal dargelegt, dass er die allerwichtigsten PW auf diese Art speichert, die nächst wichtigen per Passwortsafe wie keepass.
Die Lösung taugt natürlich nur bedingt, wenn man oft unterwegs ist…
@caschy: verwendest Du selber ein Tool zum Passwort-Management z.B. KeePass oder ähnliches? Oder auch da ganz minimalistisch mit Kopf und Gedankenspeicher?
@Emanuel: 1Password derzeit, hatte vorher KeePass und LastPass.
@Caschy
Soso ein Einbruch wird jetzt schon als Panikmache abgetan, hoffentlich erwischt es dich nicht einmal, da bin ich dann der erste der das als Panikmache abstempelt.
@Harry: Lesen und verstehen. Es gibt Newsseiten, die berichten von geklauten Passwörtern und Daten. Dies ist einfach nicht wahr. Und mir so etwas wünschen? Armselig. Echt. Man wünscht keinem Menschen etwas Schlechtes. Oder bist du so ein schlechter Mensch? Unfassbar, echt.
Guter Artikel !
Ich selber nutze einen elektronischen Passwordsafe mit 256Bit Verschlüsseling und starken Masterpassword – darin sind alle meine Off-/Onlinepassworde gespeichert, natürlich mit mehrfachen Backup der Datenbank.
Für Onlinedienste nutze ich in der Regel mind. 12-Stellige vollkryptische Passwörter, die man nicht erraten kann ( Gross/Kleinbuchstaben + Zahlen + Sonderzeichen ).
Meine Festplatten habe ich ebenfalls alle verschlüsselt, allerdings nutze ich mitlerweile keine TrueCrypt mehr dafür, wegen mehrfacher Probleme und Datenverlusten – ich setze auf Bitlocker, welche Bestandteil von Win7 ist.
„natürlich nicht im Klartext“
So natürlich ist das leider überhaupt gar nicht!
@caschy
Amen.
Hallo zusammen.
Für alle die noch bischen oldschool unterwegs sind….und keinen Passwortgenerator benutzen wollen….
Es ist ja schwierig sich ein Passwort zu merken was aus sinnlosen Buchstabenaneinanderreihungen besteht.
Folgender Tipp:
Man nehme den Text eines Liedes an das man sich gut erinnert…
z.B. Ich wünsch mir ne kleine Miezekatze für mein Wochenendhaus,
der schenk ich eine Luftmatratze und eine Spielzeugmaus !!
Daraus wird, wenn man nur die Anfangsbuchstaben nimmt:
IwmnkMfmWdsieLueS!!
Eventuell noch kombiniert mit dem Geburtsdatum des Goldhamsters
und schon hat man ein merkbares sicheres Passwort.
Und das schreibe ich analog in ein kleines schwarzes Moleskinebuch
und alles ist gut.
Vielleicht hilt es ja.
Schönen Abend.
PS: Ich halte es für den einzigen Weg sich bei den Usern ein guten Ruf
zu erarbeiten die Passwörter neu anzufordern.
Auch wenn der eine oder andere genervt ist, so habe ich es in der Hand was ich in Zukunft tue….
Auch ich habe ein Passwort, welches domainabhängig abgeändert wird. Leider kommt auch dieses System teils an seine Grenzen, sofern die Website oder der Dienst Sonderzeichen gar nicht oder nur eine Auswahl davon für Passworte anbieten. Dann gibts Ausnahmen – also schon wieder weitere Passwörter. Geht aber noch.
Ein Programm zur Passwortverwaltung habe ich bisher noch nicht benutzt. Die Faulheit, mich damit zu beschäftigen, hat mich also schon erwischt. Da ist es ganz gut, einen oder 32 Blogs/Foren/Feeds zu lesen, die einem das von Zeit zu Zeit schön aufs Butterbrot schmieren. Das hilft, eine Weile sensibilisiert zu bleiben.
Und Abfragen a la wie hieß das erste Haustier deines Oberlehrers, sind einfach tatsächlich nur Mist. Angenommen du verwendest ein Passwort in schöner Regelmäßigkeit. Dann erlahmt dein Interesse an dieser Website genau so lang, bis du dein Passwort vergessen hast. Dann schaust du mal wieder vorbei auf jener Website. Die nun folgende Nachfrage zur Bestätigung deiner Identität, um ein neues Passwort zu generieren, muss in der bei Einrichtung des Accounts korrekten Schreibweise erfolgen. Wie sicher bist du dir dann noch? Selbst wenn Du dich an die deutsche Räschtschreipunk gehalten hättest, wäre die Wahrscheinlichkeit hoch, dass hier kein Treffer gelandet wird. Ist mir vor Anwendung der o.a. Methode häufig passiert.
Minimalist sein finde ich gut. Viele Leute denken heute einfach nicht darüber nach welche sensiblen Daten sie ins Netz stellen. Es ist zu einer Selbstverständlichkeit und das aus Bequemlichkeit so geworden. Es ist auch naiv zu glauben seinen Account irgendwo zu löschen gewährleiste die totale Vernichtung seiner Daten. Schon in irgendwelchen Backups der Anbieter könnten die Daten höchstwahrscheinlich noch vorkommen. Die einzige sichere Option ist es, die sensibelsten Daten nicht physikalisch im Netz zu haben.
Danke für die unaufgeregte und sachliche Betrachtung zum Evernote-Vorfall. Insbesondere für die Klarstellung, dass salted Hashes noch lange nicht die Passworte sind, was der Masse Derjenigen, die darüber schreiben „mussten“, offenbar nicht klar ist.
Die beste Cloud für Passwörter findet man oberhalb des eigenen Auge.
Passworttools sind für mich eher MuluMulu weil ich die kurzen Wege bevorzuge.
Ausserdem:
So toll es mit Crypt und Tool sein mag, ich denke Otto Normal verwirrt es mehr wie es nutzt.
Trotzdem:
Unter Lesen und Verstehen kommt ja auch mal der ein oder andere Tipp.
Hier ist es das „salzen“.
Auf einfachen Weg „salzt“ man selbst sein Passwort.
Wie?
Erstmal bestimme ich eine Salzlänge, sollte schon mind. 4 Zeichen haben. Dann den Salz Ort davor oder danach.
Nun geh ich zum Dienst, z.B. Mulucloud.
Mulucloud kürze ich auf die Salzlänge ab, 4 Zeichen z.B. MuCl.
Je nachdem ob ich den Salzort davor oder danach bestimmt habe, setze ich „MuCl“ vor oder nach meinem Passwort.
Danach sieht es dann so aus „Passwort-Salzlänge“ / CaschyistderbesteMuCl.
Bei iTunes änder ich nur das Salzlänge Wort in Tune etc.
Ich kann zwischen an irgendeinem Ort noch ein Sonderzeichen einfügen und das Passwort noch länger machen.
Vorteil des ganzen:
Jeder Dienst bekommt ein eigenes Passwort ohne das sich das Kernpasswort ändert. Mit Salzlänge und Sonderzeichen verlängert sich dein Passwort und Macht es damit sicherer.
Du bestimmst deinen Algorithmus selbst, was es einfacher macht diesen auch zu behalten.
Das alles kostenlos und ohne weiteres Tool.
Danke Caschy, mit dem Artikel konnte ich was anfangen.
Eine bescheidene Frage an die Experten hier: Wieso muss eigentlich ein Passwort-Schlüssel groß sein und somit die Zahl der möglichen Verschlüsselungskombinationen für das Passwort? Bei den meisten Diensten habe ich nur eine Handvoll Versuche. Danach ist entweder Sense oder Pause angesagt. Damit kommt doch kein Hacker(tool) klar.
Wo ist mein Denkfehler? Grüße! Drulli
Bei den Passwortkarten auf meine-passwortkarte.de habe ich ein Problem festgestellt:
Verwendet man ein Masterpasswort das einen Buchstaben, eine Zahl, mehrfach enthält, klappt das ganze nicht mehr.
Ich hab das mit RAMPENSAU als Masterpasswort ausprobiert und eine neunstellige Nummer zum verschlüsseln angegeben, zB für eine Kontonummer.
Es sollte 456 123 789 verschlüsselt werden und beim entschlüsseln kam 456 789 153 heraus, weil A für 5 steht.
Wie umgeht man dieses Problem? Ich finde die Passwortkarten nämlich echt klasse.
Ups, bei der zweiten Nummer vertan.
Die sollte 456 123 759 lauten.
@caschy: Bei alten Diensten den Account löschen würde ich auch gerne. Nur gerade beim aktuellen Fall von Evernote geht das gar nicht…
@caschy: Danke für die angenehm unaufgeregte Berichterstattung.
Und danke vor allem für den „Tip“ „Muss das wirklich in die Cloud?“ Anscheinend vergessen manche vor lauter Cloud-Euphorie, daß es auch noch so praktische Dinge wie USB-Sticks, externe Festplatten, CD-/DVD-/BluRay-Rohlinge etc. gibt, um sensible Daten zu speichern.
Und an nem Stick in der eigenen Hosentasche beißt sich auch der beste Hacker die Zähne aus; und Zugriff darauf hat man auch dort, wo mangels Verbindung die ach so omnipräsente Cloud dummerweise grade jetzt nicht verfügbar ist.