Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Fehlinformation
Geschrieben: 11.01.2024
Stichwörter: Kennwörter, Sicherheit
Der Verein Bitkom veröffentlicht jährlich wertvolle Umfrageergebnisse über die Passwortsicherheit. Doch eine Frage der Erhebung (oder der Bericht darüber) scheint unsauber zu sein, ja geradezu manipulativ. Der Passwortsicherheit erweist Bitkom damit einen Bärendienst.
Zweifelhafte Meinung versteckt in Umfrage (oder Bericht darüber)
Fragen, aber auch Berichte über Umfragen können versteckt Meinungen der Fragesteller*innen oder sogar Falschmeldungen transportieren. Eine solche Falschmeldung lese ich in der Pressemitteilung des Bitkom e. V. vom 15.12.20231 heraus:
"Drei Viertel der Internetnutzerinnen und -nutzer in Deutschland (74 Prozent) achten bei der Erstellung auf komplexe Passwörter, die einen2 Mix" aus Buchstaben, Zahlen und Sonderzeichen enthalten und so das Erraten" erschweren. Das sind aber weniger als noch vor einem Jahr, als 83 Prozent entsprechend sorgfältig vorgingen."
Ich sehe die Falschmeldung darin, dass die Verwendung von Sonderzeichen (bzw. die Verwendung eines möglichst umfangreichen Zeichensatzes) als Kriterium für die Sorgfalt dargestellt wird, und zwar nicht einfach nur als Meinung, die man diskutieren könnte, sondern als feststehende Tatsache.3
Tatsächlich ist aber die Verwendung von umfangreichen Zeichensätzen weder eine notwendige noch hinreichende Bedingung für ein starkes Kennwort. Auch ist diese nicht allgemein empfehlenswert und führt auch nicht in die richtige Richtung:
- Sonderzeichen sind keine notwendige Bedingung für ein starkes Kennwort: Ein Kennwort lässt sich mit 25 zufällig gewählten Kleinbuchstaben und Ziffern in kryptografischer Stärke4 (mind. 128 Bit) erzeugen. Somit sind Sonderzeichen im Zeichensatz nicht erforderlich. (Außer ein Dienst oder Betriebssystem begrenzt die Kennwortlänge, was heutzutage nur noch sehr selten der Fall ist.)
- Sonderzeichen sind keine hinreichende Bedingung für ein starkes Kennwort: Das Kennwort "Passw0rd." ist eins der am meisten kompromittierten Kennwörter, obwohl es Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen enthält.5
-
Sonderzeichen sind nicht generell empfehlenswert: Generell wird
heutzutage von allen Expert*innen digitaler Sicherheit empfohlen,
Passwortmanager zu verwenden. (Bis hierhin sind sich tatsächlich alle
einig.) Soweit die Kennwörter auch nicht auswendig gelernt werden müssen,
sondern z. B. durch den Browser automatisch eingegeben werden können,
können sie durch den Passwortmanager in kryptografischer Stärke generiert
werden. (Es ist dabei egal, welcher Zeichensatz gewählt wird.)
Schwierigkeiten bereiten lediglich die Kennwörter, die manuell eingegeben werden müssen. Das sind solche zum Anmelden an ein Gerät (PC, Smartphone, Tablet), PINs für Chipkarten, Kombinationen für mechanische Zahlenschlösser o. ä., aber auch die Hauptpasswörter bei Passwortmanagern.
Bei Chipkarten und Zahlenschlössern sind sowieso nur Ziffern möglich, bei Smartphones erfordert wegen der Umschalttasten das Eingeben eines komplexen Kennworts (mit drei oder vier Zeichenarten) mehr Tipparbeit als das Eingeben eines Kennworts gleicher Stärke, das nur aus Kleinbuchstaben und Ziffern besteht. Bzw. man könnte mit gleicher Tipparbeit ohne Sonderzeichen und Großbuchstaben ein stärkeres Kennwort eingeben.
Die Verwendung umfangreicher Zeichensätze ist also keineswegs allgemein empfehlenswert. -
Das Achten auf einen Mix aus Buchstaben, Zahlen und Sonderzeichen führt auch
überhaupt nicht in die richtige Richtung: Die Erweiterung des
Zeichensatzes bringt in der Regel nur wenig mehr Stärke (und man kommt rasch
an Grenzen), während man mit einer Verlängerung des Kennworts viel mehr
erreicht und diese nur selten an echte Grenzen stößt.
Für Empfehlungen, wie sie implizit Bitkom gibt, hatte sich bereits 2017 Bill Burr, der selbst im Jahr 2003 für entsprechende Empfehlungen der NIST6 verantwortlich war, öffentlich entschuldigt.7. Das NIST aber auch andere kompetente Organisationen haben seitdem die einseitige Betonung der Komplexität aus ihren Empfehlungen für sichere Kennwörter gestrichen.8
Warum mache ich solch ein Aufheben um die Pressemitteilung?
Bill Burr hatte sich nicht ohne Grund entschuldigt, sondern erkannt, dass die Empfehlung direkt schädlich war. Sie hatte dazu geführt, dass die Energie nicht in wirklich starke Kennwörter gesteckt wurde, sondern einseitig in das Einmischen von Sonderzeichen, ohne Nebeneffekte (schlechte Merkbarkeit, mehr Tippaufwand) zu beachten.
Starke Kennwörter sind aber der Dreh- und Angelpunkt digitaler Sicherheit. Deshalb ist hier präzise Kommunikation äußerst wichtig.
Zur journalistischen Sorgfalt gehört, informierende Texte (Nachrichten, Berichte) von meinungsäußernden Texten (Kommentar etc.) zu trennen. Aus der Pressemitteilung von Bitkom e. V. geht aber für eine Person, die nicht vom Fach (digitale Sicherheit) ist, nicht klar hervor, dass es sich hier u. a. um eine Meinung von Mitarbeiter*innen von Bitkom handelt, sondern es wird der Eindruck erweckt, es handele sich um einen rein sachlichen Bericht über den Umgang von Internetnutzer*innen mit Kennwörtern.
Es wäre Aufgabe der Presseabteilung von Bitkom gewesen, hier Klarheit zu schaffen. Aber vermutlich war es den Verantwortlichen selbst nicht klar.9
Konsequenz
Das ungerechtfertigte Hervorheben der Komplexität ist (nicht nur bei dem Bitkom e. V.) weit verbreitet. Die 2017 durch die Medien gegangene Entschuldigung Burrs ist wohl schon von vielen vergessen und von Jüngeren gar nicht erst wahrgenommen worden.
Auch Bill Burr hatte ja ursprünglich die Idee der komplexen Kennwörter übernommen, sie scheint auf den ersten Blick also durchaus plausibel zu sein. Die Nebenwirkungen (schlechtere Merkbarkeit, trügerische Sicherheit) werden leicht übersehen. Es besser zu machen, erfordert wohl eine nähere Betrachtung.
Ich denke aber, dass es wohl oft nur einfach an einem Gefühl für die Mathematik der Passwortstärke fehlt. Kaum jemand erkennt sofort, oder rechnet nach, dass Komplexität wenig, Kennwortlänge dagegen viel mehr Stärke bringt.
Um das Gefühl zu stärken, was tatsächlich Passwortstärke bringt, Wissen zu vermitteln, das eine*m erlaubt, bei Ratschlägen zur Passwortsicherheit die Spreu vom Weizen zu trennen, werde ich mich daher in einem weiteren Blog-Artikel mit der Mathematik der Passwortstärke beschäftigen.
1) Siehe Bitkom (15.12.2023): "Beim Passwort lieber „Cv2HX?+,NKB§3=Vp“ oder doch „123456“?"
2) Tippfehler ("einem" statt "einen") im Zitat korrigiert.
3)
Die genaue Frage der Erhebung wurde in der Pressemitteilung nicht genannt.
Aber es ist auch ziemlich unerheblich, ob die Frage selbst bereits manipulativ
gestellt wurde oder erst die Pressemitteilung das Dogma von der Komplexität
(d. h. Mix von verschiedenen Zeichenarten) verbreitete. Die Pressemitteilung
wurde von großen Medien übernommen, während die Frage gerade mal gut 1000
Personen gestellt wurde. Insofern kommt der Formulierung der Pressemitteilung
die weitaus größere Bedeutung zu.
In der Presseerklärung von 2022 ("Ein Drittel nutzt dasselbe Passwort für unterschiedliche Dienste") wurde
die irrige Behauptung, dass Achten auf Komplexität mit Sorgfalt
gleichzusetzen sei, noch nicht ganz so offen getroffen, sondern aus der
Verwendung von komplexen Kennwörtern auf eine weite Verbreitung des "Wissens
über die Bedeutung von sicheren Passwörtern" geschlossen. Das Vorurteil, dass
Komplexität bei Kennwörtern zu mehr Sicherheit führe, war also auch damals
schon bei dem Bitkom e. V. vorherrschend.
4) Siehe Glossar "Kryptografie".
5) Eine Abfrage bei "Have I Been Pwned" am 04.01.2024 ergbit, dass dieses Kennwort bereits 400 mal in Datenbreschen entdeckt wurde.
6) Siehe Wikipedia "National Institute of Standards and Technology".
7) Siehe die Blog-Artikel "Todo cambia" und "Trügerische Sicherheit". Siehe auch Wikipedia "Password Strength" (englisch).
8)
Für das NIST siehe NIST Special Publication 800-63B, dort "Appendix
A–Strength of Memorized Secrets". In den Abschnitten "A.2 Length"
und "A3. Complexity" werden Länge und Komplexität besprochen. Es wird die
Länge als primärer Faktor für die Passwortstärke bezeichnet, und es wird
auf negative Effekte von Kennwortrichtlinien, die hohe Komplexität forderten,
hingewiesen.
Der renommierte Fachverlag Heise setzt in seinem
Ratgeber "Gute Passwörter erzeugen und sicher verwenden" vor allem auf die Länge von Kennwörtern, nicht
etwa auf deren Komplexität: "Je länger ein Passwort ist, desto besser." Die
Komplexität wird gar nicht mehr erwähnt.
Auch das BSI setzt nicht einseitig auf die
Komplexität von Kennwörtern, sondern sieht als Alternative durchaus auch
längere Passphrasen. (In meinem Blog-Artikel "Fast richtig" sehe
ich zwar die mangelnde Priorisierung der Länge durch das BSI kritisch, aber
dies ist nur ein Haar in der Suppe im Vergleich zu der Kommunikationsart des
Bitkom e. V.
9) Ich sehe es so, dass die Pressemitteilung von Bitkom (oder die zugrunde liegende Umfrage) in der Sache überhaupt nicht gut gelaufen ist und deshalb starke Kritik verdient. Aber die Ursache liegt einfach darin, dass bestimmte Meinungen (Passwörter müssten komplex sein) immer wieder verbreitet werden, ohne überprüft worden zu sein. Da haben ganz viele ein bisschen Schuld daran, und kaum jemand mehr als ein bisschen.