Hadmut Danisch
Ansichten eines Informatikers

Passwortsicherheit

Hadmut
15.11.2023 13:03
Uncategorized

Aktuelles aus der IT Sicherheit.

So sieht es leider meistens aus:

Nicht mal meinem Vater habe ich so etwas austreiben können. Der hat sich mal ein tolles Passwort ausgedacht, das auch noch eine naheliegende Anspielung auf seinen Vornamen und eine allgemein bekannte Redewendung war, und war danach nie wieder von diesem Passwort abzubringen, weil das eben „sein“ Passwort war, so wie er ja auch „seine“ Lottozahlen hat. Und das er natürlich überall für ausnahmslos alles verwendet hat. Ich habe das dann auch aufgegeben, ihm klarmachen zu wollen, dass man nicht dasselbe Passwort für verschiedene Dienste verwendet.

Bei Sicherheitsüberprüfungen haben ich das schon geschafft, die Leute so beiläufig und selbstverständlich nach ihrem Passwort zu fragen, dass sie es mir gesagt haben, ohne darüber nachzudenken. Eine Kollegin war mal richtig baff und hat Bauklötze gestaunt, weil sie im selben Zimmer saß und das mitbekommen hat, wie ich einen so nach dem Passwort fragte, dass er es mir erzählt hat.

Ich habe mich neulich mit jemandem ausgiebig über Hypnose unterhalten, und kam dabei zu der Überzeugung, dass die Leute, die sich mit Hypnose auskennen und sie betreiben oder lehren, selbst dabei nur an der Oberfläche bleiben und damit nur einen Teilaspekt der Struktur und Funktion des Gehirns erfasst, aber selbst nicht verstanden haben. Sie wissen, wie sie es nutzen, aber sie wissen nicht, warum. Mir wurde da gesagt, dass es darum gehe, verschiedene Schutzfunktionen im Hirn zu umgehen und auszuschalten, und Bereiche auf Durchzug zu schalten, die das sonst nicht können, weil sie durch Barrieren gehemmt würden. Da mag wohl was dran sein, aber ich glaube, das ist zu kurz gesprungen, das ist komplexer. Wie dem auch sei, die Erklärung hat mich an eben diese Vorgänge erinnert, in denen ich Leute in einem gewissen Kontext, in dem sie darauf eingestellt waren, mir Fragen zu beantworten ohne groß darüber nachzudenken, auch die zwischendrin gestellte Frage nach dem Passwort beantworteten. Und mir kommt da inzwischen so der Verdacht, dass das ein solcher Effekt war, wie man ihn mir kürzlich dann von einem Hypnoseseminar erzählt hat.

Ich hatte ja erzählt, dass an der Uni Karlsruhe, an der sie mir damals die Promotion abgesägt haben, kurz vorher so ein ahnungsloses Quotenweibchen mit Auszeichnung in IT Sicherheit promoviert hat, obwohl sie eine Anonymisierung von einer Authentifikation nicht unterscheiden konnte, ihr Zeugs grauenhaft fehlerhaft und ihr Sicherheitsprotokoll noch unsicherer war, als wenn man gar keines verwendet hätte, weil es keinen Nutzen hatte, aber zusätzliche Angriffswege brachte, und die der Meinung war, dass sichere Passwörter möglichst kurz sein müssten, weil man sie sich dann einfacher merken kann und nicht auf die Unterseite der Tastatur schreiben muss. IT-Sicherheit nach Art der Karlsruher Professoren eben. Es gibt da so ein elementares Unverständnis von Passwortsicherheit. Ich persönlich tendiere und rate deshalb stark dazu, Passworte vom Zufallszahlengenerator erzeugen zu lassen und sie so komplex zu machen, dass man gar keine Chance hat, sie sich zu merken. Ich habe nämlich auch schon den Effekt bemerkt, ähnlich wie die Schreibfehler durch vertauschte Silben, die ich erwähnt hatte, dass man dazu neigt, ein häufig per zehn-Finger-System eingegebenes Passwort im Ganzen so zu automatisieren, dass man – ähnlich, wie man gleichtönende Silben beim Schreiben vertauscht – bei einer Passworteingabe ruckzuck das falsche Passwort eingibt und damit offenbart. Ist das Passwort aber so komplex, dass man es sich erst gar nicht merken kann, passiert das nicht, weil man dann bewusst, das Passwort heraussuchen muss.