Was ein einzelner Tweet alles ausmachen kann. Schon seit Februar 2019 gibt es den Passwort-Check des bayerischen Digitalministeriums. Ziel: die Öffentlichkeit für das Thema Passwortsicherheit zu sensibilisieren. Bislang fristete das Tool ein weitgehend ruhiges Dasein im Netz.
Bis zum Montag. Da twitterte nämlich die IHK Schwaben: “Ist Ihr #Passwort wirklich sicher? Machen Sie den Passwort-Check des Bayerischen Staatsministeriums für Digitales”. Klingt eigentlich nach einem harmlosen Tweet. Doch das Echo im Netz war enorm. Zahlreiche Twitter-Nutzer schüttelten den Kopf und machten sich über den Passwort-Check lustig.
SPD-MdL: "Gib nie Dein Passwort auf einer fremden Seite ein"
Im Kern geht es um zwei Kritikpunkte:
- Es sei generell keine Idee, ein Passwort im Web checken zu lassen
- Die Regeln, nach denen das Tool des bayerischen Digitalministeriums die Passwortsicherheit bewertet, seien veraltet.
Der bayerische SPD-Landtagsabgeordnete Florian Ritter kritisierte den Passwort-Check als "unseriös und ahnungslos". Er empfahl: "Gib NIE dein persönliches #Passwort auf einer fremden Seite ein."
Das Digitalministerium weist auf seiner Website darauf hin, dass "die eingegebenen Passwörter nie an den Server übermittelt werden". Der Passwort-Check erfolgt lokal im Browser. "Angesichts der technischen Ausführung des Passwort-Checks ist ein Sicherheitsrisiko nicht gegeben", schreibt das Ministerium auf BR24-Anfrage.
IT-Experte: Passwort-Check-Seiten machen keinen Sinn
Der IT-Sicherheitsexperte und Open-Source-Journalist Markus Feilner aus Regensburg rät jedoch generell davon ab, Online-Passwortchecker zu verwenden. “Kann ich dem vertrauen, dem ich das Passwort gebe? Ist der sicher vor Hackern? Oder schon gehackt und mein Passwort landet in der Datenbank der Hacker?”, fragt er im Gespräch mit BR24.
Feilner ist der Ansicht, dass solche Webseiten “keinen Sinn machen, unter Umständen gefährlich sind, ganz zu schweigen von eventuell unsicherer Datenübertragung.” Deswegen solle man die Anwender nicht anleiten, ihr Passwort auf solchen Seiten einzugeben.
Passwort-Check arbeitet mit einem Punktesystem
Und was ist von der Kritik zu halten, die Regeln des Passwort-Checks seien schon "seit Jahren überholt", wie es zum Beispiel der der SPD nahestehende digitalpolitische Verein D64 in seinem Newsletter schreibt?
Dazu muss man zuerst wissen, wie das Tool konzipiert ist. Der Passwort-Check hält ein Passwort für stark, wenn er es mit mehr als 100 Punkten bewertet. Punkte gibt es für die Länge des Passworts (5 Punkte pro Zeichen), für die Verwendung von mindestens einem Klein- bzw. Großbuchstaben (jeweils 15 Punkte) sowie für die Verwendung von Zahlen und Sonderzeichen (jeweils 10 Punkte).
Punktabzug gibt es, wenn das Passwort (kurze) Wörter enthält, die einem deutschen oder englischen Wörterbuch stehen, z.B "Tor" oder "goal". Die Bewertung erfolgt nach der vermuteten Zeit, die ein möglicher Angreifer benötigen würde, um das Passwort durch Anfragen nach dem Trial-and-Error-Prinzip herauszufinden. Das Digitalministerium nimmt dabei an, dass ein Angreifer fünf Milliarden Versuche pro Sekunde durchführen kann, was der Rechenleistung eines guten Heim-PC entspräche. Ein Passwort muss einem Angreifer während einer Rechenzeit von mehr als einem Jahr standhalten, um als stark beurteilt zu werden.
Der Passwort-Check des bayerischen Digitalministeriums bewertet die Sicherheit von eingegebenen Passwörtern: Je mehr Punkte, desto sicherer.
Das Tool arbeitet also nach bestimmten klar definierten Regeln. Doch genau das kritisieren IT-Journalisten. "Passwortregeln gelten schon seit Jahren nicht mehr als der Stand der Technik", heißt es etwa in einem viel geteilten Artikel des IT-Fachportals Golem. Rein mathematisch betrachtet sei es viel wichtiger, längere Passwörter zu wählen als Zeichen aus unterschiedlichen Zeichenklassen, heißt es in dem Artikel weiter.
Dass ein Passwort um so sicherer ist, je länger es ist, ist unbestritten. Auch der Passwort-Check des Digitalministeriums bewertet ein Passwort um so höher, je länger es ist.
Das Digitalministerium verweist darauf, dass das Bundesamt für Sicherheit in der Informationstechnik, in seinen aktuellen Passwortempfehlungen feststelle, ein starkes Passwort könne "kürzer und komplex" oder "lang und weniger komplex" sein. Auf dieser BSI-Site ist auch der Tipp enthalten, verschiedene Zeichenklassen zu verwenden (Sonderzeichen, Zahlen, Groß- und Kleinschreibung), ebenso auf entsprechenden Seiten des renommierten Hasso-Plattner-Instituts für Digital Engineering und der IT-Sicherheitsfirma Kaspersky.
Das bayerische Digitalministerium ist mit seinen Empfehlungen also nicht ganz alleine.
Für jeden Dienst ein eigenes Passwort
Zwar etwas versteckt, aber immerhin auf der Website zum Passwort-Check vorhanden, ist der Hinweis, dass man für unterschiedliche Dienste unterschiedliche Passwörter verwenden soll. Weil das menschliche Gehirn sich schwer tut, sich zig oder gar hunderte verschiedene Passwörter zu merken, empfiehlt sich der Einsatz eines Passwort-Managers, der aus mehreren Gründen praktisch ist: Erstens können Tools wie 1Password oder KeePass sichere Passwörter generieren, zweitens alle Passwörter an einer Stelle speichern und drittens auf Websites die Kombination aus Nutzername und Passwort automatisch eintragen.
Kein Hinweis auf Zwei-Faktor-Authentifizierung
Eher kritisieren kann man, dass der Passwort-Check des Digitalministeriums zwei wichtige, von IT-Sicherheitsexperten einhellig empfohlene Sicherheitstipps NICHT erwähnt.
- Die Zwei-Faktor-Authentifizierung (2FA) zu nutzen, wo immer möglich. 2FA bedeutet: Wenn man sich von einem Gerät bei einer Website einloggt, schickt Sie einen Bestätigungscode an eine Mail-Adresse oder ein Gerät, auf das nur der Besitzer des Accounts Zugriff hat. Beispiel: Nutzerin Theresa gibt auf Website B ihre Zugangsdaten ein. Website B schickt eine SMS mit dem Zugangscode an Theresas Smartphone. Theresa gibt den Code nun auf der Website B ein und ist drin.
- Checken, ob man von einem Daten-Leak betroffen ist: Auf Seiten wie haveibeenpwned.com oder dem Identity Leak Checker des Hasso-Plattner-Instituts kann man checken, ob die eigene E-Mail-Adresse oder ein selbst verwendetes Passwort Teil eines Datenleaks war und im Internet veröffentlicht wurde.
Die fehlenden Verweise auf Zwei-Faktor-Authentisierung und Seiten zum Check von geleakten Passwörtern bemängelt auch Sven Bugiel, Leiter der Forschungsgruppe "Vertrauenswürdige Systeme" am Cispa Helmholtz-Zentrum für Informationssicherheit in Saarbrücken gegenüber BR24.
"Ich würde dem Passwort Check des StMD anheften, dass es nicht in allen Punkten den aktuellsten Erkenntnissen/Richtlinien folgt, ein lückenhaftes Angreiferbild nutzt und Zwei-Faktor-Authentisierung zum zusätzlichen Schutz nicht empfiehlt. Sven Bugiel
Passwort sollte nicht regelmäßig geändert werden
Nur wenn persönliche Zugangsdaten von einem Leak betroffen waren, empfiehlt es sich, sein Passwort zu ändern. Die immer wieder zu lesende Empfehlung, sein Passwort regelmäßig zu ändern (es gibt sogar einen "Ändere-Dein-Passwort-Tag"), macht dagegen wenig Sinn: "Das regelmäßige Wechseln von Passworten vorzuschreiben ist Unfug und macht es Angreifern nur leichter", sagt IT-Experte Feilner zu BR24.
- Welche Tipps es sonst noch gibt, um seine wichtigsten Daten im Netz zu schützen, haben wir ebenfalls aufgeschrieben.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!