Schlagwort-Archiv: Password

Tod-duerer

Das tote Pferd – Passwort

Wir reiten es immer noch und kein Ende. Alle sitzen wir auf dem alten faulenden Gaul, die Knochen pressen sich in unsere Eingeweide und es scheint noch nicht weh genug zu tun. Stinkende Gase umwehen unsere Nase und wir wollen es nicht begreifen. Leak um Leak zäumen wir, wie Leichenfledderer, die Gebeine des Hengstes und hoffen diesmal doch noch ein paar Meter weitergeschleppt zu werden. Dabei sind die einzigen Bewegungen wohl nur noch die Maden, wie sie genüsslich an den Knochen nagen.

Dieser tote Gaul ist unser heiß geliebtes Kennwort, unsere Authentifikation, Credentials, der Glaube an den sicheren Zugang zu einem Service im Internet. Die fauligen Gase sind die Hoffnungen, beim nächsten Super-GAU der Passwort-Veröffentlichungen vielleicht nicht betroffen zu sein. Die Maden symbolisieren die ewigen Versicherungen, mit einem noch längeren Kennwort ein für alle mal sicher zu sein.

Und doch sitzen wir nur auf einem toten Gaul.

So kann das nicht weiter gehen. Die Einschläge kommen immer näher, sie werden häufiger, sie werden heftiger.

Wo uns die NSA kaum gekratzt hat, wird offensichtlich, dass unsere Geheimschlüssel wohl nur einem unbekannt sind, uns selbst: Wenn wir wieder mal das aufgeschriebene Kennwort auf einem Spickzettel suchen. Alle anderen scheinen ja gigabytegroße Listen zu haben, wo sie alle erdenklichen Benutzernamen/Kennwort-Kombinationen nachschlagen können.

Und da fängt das Trauerspiel schon an.

Der Benutzername zu einem Dienst wird von vielen Anbietern strikt als E-Mail-Adresse erwartet. Nicht selten der einzigen E-Mail-Adresse die man bei diesem Dienst hinterlegen kann. Besonders bei Shops ist die Methode beliebt, weil man zugleich die Eindeutigkeit des Nutzers damit festsetzen will. Welch Schwachsinn, wo jeder Maildienst heute etliche Alias-Namen vergibt.

Da tummeln sich große Anbieter wie Amazon neben kleinsten Shop-Betreibern weltweit und fordern die Mail-Adresse als Benutzername.

Dabei ist es genau dann für viele Anwender verführerisch, das Kennwort zu recyceln, welches sie bei ihrem Web-Mail-Login auch benutzen. Speichert ein Shop die Kennwörter unverschlüsselt oder werden die Authentifizierungsdaten per Heartbleed ermittelt, kann man sehr schnell den Mail-Account ergattern und die Identität übernehmen.

 

Aber auch die Mail-Provider machen es nicht wirklich besser. So erlaubt es zum Beispiel GMX mit allen Alias-Mails eines Kontos sich am Web-Mailer anzumelden. Alle mit dem selben Kennwort.

Nutzt man also (sinnvollerweise) unterschiedliche Alias-Mails für die Shops (auch sehr nützlich, um Spam-Schleudern zu entdecken), dann wird man bei der Verwendung eines gemeinsamen Kennwortes auch nicht wirklich sicherer sein.

 

Und das ist natürlich böse: Ein Kennwort für viele verschiedene Internetdienste verwenden.

Aber auch das kann man den vielen Internetnutzern kaum verdenken, denn was soll man als Digital Native noch alles tun? Ich allein habe knapp 150 aktive Dienste, wo ich mich mit Benutzernamen/E-Mail und Kennwort ausweisen muss. Darunter sind Blogs, Foren, Shops, Mailinglisten, Social Media, Provider von Internetdiensten, Handy-Verträgen und DSL-Anschlüssen. Unter 20 Credentials wird heutzutage kaum noch jemand jonglieren können. Wer im IT-Bereich arbeitet, noch etwas OpenSource macht, sich in vielen Listen tummelt, wird locker bis an die 1000 Zugangsdaten verwalten müssen.

Eine veröffentlichte Liste an Benutzernamen/Kennwort-Kombinationen, amtlich geprüft vom BSI, gibt einem die angebliche Sicherheit noch am Unbill vorbeigekommen zu sein. Aber mit Heartbleed ist man auf verlorenem Posten. Heartblead und das Routerdesaster hat unserem stinkenden, verfaulten Gaul die letzte Sprengung gegeben.

Wir stehen vor einer Staubwolke und versuchen im Rauch noch ein Pferd zu erkennen und geben wieder stoisch neu ausgedachte Kennwörter in alle Webseiten ein, weil es nun mal keine Alternative gibt. Manche prüfen nicht mal vorab, ob die Webseite nicht weiterhin mit dem SSL-Fehler behaftet ist…

Und wer glaubte, seine hunderte geheimen Kennwörter seien bei Online-Kennwort-Diensten wie LastPass sicher, musste nun mit bedauern erfahren, dass nichts sicher ist. Außer der Schmerz der Ungewissenheit, was wirklich alles abgezogen wurde.

trenner

Es wird keine Rettung mehr geben. Wir können es uns einreden. Wir können unsere Kennwörter wöchentlich ändern. Aber aus der Falle kommen wir nicht mehr raus. Es müssen neue Konzepte her. Konzepte wie z.B. 2-Faktor-Authentifizierung als generelle Vorgabe für Shops und andere Internetdienste. Aber auch dann drohen Gefahren. Homogenisierung eines Zugangsworkflows führt letztendlich auch zu einem Flächenbrand, wenn nur ein kleiner Fehler eine Kompromittierung zur Folge hat. Die weite Verbreitung von OpenSSL hat das nur zu deutlich gemacht.

Trotzdem sind die Dienstleister nun endgültig in der Schuld. Die Gesetzgeber müssen Feuer machen. Die Entwickler müssen endlich ein Einsehen haben. Sicherheit darf kein Schlagwort sein, sondern ein ernstzunehmender Bestandteil von Softwareentwicklung. Auf keinen Fall ein unliebsamer Kostenfaktor.

Wir Nutzer müssen uns überlegen, ob wir jedem Trend hinterherrennen und unsere Daten überall abliefern müssen. Ist jeder kleine Internet-Shop wirklich vertrauenswürdig, weil wir dort 3 Euro sparen? Das sind harte Fragen, wenn man doch gegen Monopolisierung ist und nicht jeden Euro über Amazon oder ebay laufen lassen will.

Es muss sich was ändern. Ansonsten sterben wir an der übertragenen Blutvergiftung des toten Gauls. Und vielleicht wird man feststellen müssen, dass das Internet nicht einfach KlickiBunti ist.