Passwortsicherheit: Geschichte, Mythen und moderne Ansätze

Passwörter sind keine Erfindung des digitalen Zeitalters. Bereits in der Antike wurden sie genutzt, um den Zugang zu militärischen oder geheimen Bereichen zu kontrollieren. Ein bekanntes Beispiel ist das biblische Shibboleth, das zur Identifikation von Freund und Feind diente. Auch die Römer setzten sogenannte "Wachwörter" ein, um ihre Truppen zu sichern.

Das erste digitale Passwort wurde 1961 von Fernando Corbató am MIT entwickelt. Er führte das Konzept im Rahmen des Compatible Time-Sharing Systems (CTSS) ein, um mehreren Nutzern den sicheren Zugriff auf einen gemeinsamen Computer zu ermöglichen. Interessanterweise wurde dieses System bereits zwei Jahre später gehackt, als ein Nutzer die Passwortdateien ausdruckte und sich Zugang zu fremden Konten verschaffte.

Change Your Password Day

Der Change Your Password Day wurde 2012 von Matt Buchanan ins Leben gerufen, nachdem er selbst Opfer von Hacks geworden war. Dieser Tag wird jedes Jahr am 1. Februar begangen und soll Nutzer dazu ermutigen, ihre Passwörter regelmäßig zu aktualisieren und stärkere Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung (2FA) einzuführen.

World Password Day

Der World Password Day wird jährlich am ersten Donnerstag im Mai gefeiert. Die Initiative geht auf den Sicherheitsexperten Mark Burnett zurück, der in seinem Buch Perfect Passwords (2005) vorschlug, einen Tag zur Sensibilisierung für Passwortsicherheit einzuführen. Intel griff diese Idee 2013 auf und etablierte den World Password Day offiziell.

Mythos: Komplexität ist entscheidend

Viele glauben, dass ein Passwort mit Sonderzeichen wie "Tr0ub4dor&3" besonders sicher ist. Der berühmte XKCD-Comic zeigt jedoch, dass solche Passwörter oft nur etwa 28 Bits Entropie haben und leicht zu knacken sind. Gleichzeitig sind sie schwer zu merken. Eine längere Passphrase wie "correct horse battery staple" bietet hingegen 44 Bits Entropie, ist sicherer und leichter zu merken.

xkcd.com - Password Strength

Fakt: Länge schlägt Komplexität

Die Länge eines Passworts ist entscheidender als seine Komplexität. Ein langes Passwort oder eine Passphrase erhöht die Anzahl möglicher Kombinationen exponentiell und macht es für Angreifer schwieriger, es zu knacken.

Mythos: Häufiges Wechseln erhöht die Sicherheit

Früher galt die Empfehlung, Passwörter regelmäßig zu ändern. Heute wissen wir, dass dies oft kontraproduktiv ist: Nutzer greifen dann auf vorhersehbare Muster zurück, z. B. "123456#2024" → "123456#2025". Stattdessen sollten Passwörter nur bei Verdacht auf Kompromittierung geändert werden – oder wenn sie von einem Passwortmanager generiert werden können.

Fakt: Passwort-Policies auf Websites veraltet

Viele Websites fordern tatsächlich immer noch sehr kurze und komplexe Passwörter, anstatt lange Passwörter zu fordern, die man sich einfacher einprägen kann. Hier habe ich mal ein paar Webseiten zufällig aufgesucht:

• Sparkasse: 8 Zeichen, 1 Sonderzeichen, 1 Buchstabe, 1 Zahl
• Meta: 6 Zeichen, 1 Sonderzeichen, 1 Buchstabe, 1 Zahl
• Google: 8 Zeichen, 1 Sonderzeichen, 1 Buchstabe, 1 Zahl
• LinkedIn: 8 Zeichen, 1 Sonderzeichen, 1 Buchstabe, 1 Zahl
• Amazon: 8 Zeichen (sogar 11111111 ist möglich)

Fakt: Viele Passwörter werden immer noch im Klartext gespeichert

Es ist fast genau ein Jahr her, als eine falsch konfigurierte Datenbank in der Cloud fast 20 Millionen Passwörter im Klartext unfreiwillig offenlegte. Genau so letztes Jahr wurde die rockyou2024.txt veröffentlicht. Viele Unternehmen nutzen häufig Standardkonfigurationen für ihre Anwendungen, die Klartextspeicherung ermöglichen. Manchmal ist die Datenbank selbst nicht schuld, sondern die Konfiguration, womit man auch Daten aus dem Arbeitsspeicher auslesen kann, was sehr gut vom CCC Ende 2024 präsentiert wurde. Von den "plaintextoffenders" gibt es sogar eine Liste mit Unternehmen, die irgendwann in ihrem Dasein oder noch heute Passwörter der Kunden oder Mitarbeiter im Klartext speichern. Ironischerweise passt dieses Meme leider immer noch.

Viele Menschen verwenden dasselbe Passwort für mehrere Konten oder leicht abgewandelte Varianten wie "123456#fb" für Facebook und "123456#gm" für Gmail. Dies erhöht das Risiko eines sogenannten Credential-Stuffing-Angriffs, bei dem gestohlene Zugangsdaten aus einer Datenbank auf andere Dienste übertragen werden.

Die Vielzahl an Konten führt bei vielen Nutzern zur sogenannten Passwortmüdigkeit. Um sich nicht unzählige Kombinationen merken zu müssen, greifen sie auf unsichere Praktiken zurück, wie das Wiederverwenden einfacher Passwörter.

Wir Entwickler tragen eine gewisse Mitschuld. Viele von uns setzen aus Zeitdruck auf schnelle MVPs mit den Standard-Sicherheitseinstellungen der Frameworks, die oft unzureichend sind und keine modernen Kryptographie-Methoden unterstützen Zudem fehlt häufig das Wissen über sichere Programmierung und aktuelle Sicherheitsstandards, was Sicherheitslücken begünstigt. Legacy-Software verschärft das Problem zusätzlich, da sie veraltete Technologien nutzt, die weder moderne Verschlüsselung noch Multi-Faktor-Authentifizierung unterstützen. Eine bessere Schulung und Ausbildung in sicherer Softwareentwicklung ist daher unerlässlich, um solche Risiken zu minimieren.

Passwortmanager

Ein Passwortmanager kann sichere und einzigartige Passwörter für jedes Konto erstellen und speichern. Dadurch entfällt die Notwendigkeit, sich komplexe Kombinationen zu merken. Bevor ihr eure Passwörter zu einem Passwortmanager schiebt, solltet ihr die Sicherheit eurer Passwörter überprüfen. Viele Passwortmanager bieten dieses Feature sowieso mit an. Ganz gut verdeutlichen es die meistgenutzten Passwörter in 44 Ländern. Es gibt aber auch nationale Unterschiede, wie in den UK, da taucht Liverpool in den TOP 10 auf. Es werden also nicht nur einfache Muster auf der Tastatur verwendet, sondern Hobbies, die politische Orientierung oder der eigene Name angegeben. Durch einen Data Breach oder Leak können solche Daten in die falschen Hände gelangen. Diese Website zeigt euch die größten bekannten Breaches und lässt euch nach euren Daten durchsuchen. Du kannst sogar nachschauen, ob jemand das selbe Passwort benutzt wie du.

Multi-Faktor-Authentifizierung (2FA)

Die 2FA fügt eine zusätzliche Sicherheitsebene hinzu – etwa durch einen SMS-Code oder biometrische Daten wie Fingerabdrücke. Laut Microsoft können 99,9 % aller Angriffe durch die Verwendung von 2FA verhindert werden.

Passkeys: Die Zukunft ohne Passwörter

Passkeys basieren auf kryptografischen Schlüsselpaaren und eliminieren die Notwendigkeit eines traditionellen Passworts. Sie bieten Schutz vor Phishing-Angriffen und Datenlecks, da keine geteilten Geheimnisse gespeichert werden.

Die Geschichte der Passwörter zeigt ihre evolutionären Schwächen auf – von einfachen Wachwörtern bis hin zu komplexen digitalen Kombinationen. Moderne Technologien wie 2FA und Passkeys bieten jedoch vielversprechende Alternativen.

Empfehlungen für Nutzer:

• Nutze einen Passwortmanager.
• Verwende lange Passphrasen statt komplexer Kombinationen.
• Aktiviere Multi-Faktor-Authentifizierung.
• Wechsel Passwörter nur bei Bedarf oder wenn Sie kompromittiert wurden.

Durch diese Maßnahmen können wir nicht nur unsere persönliche Sicherheit verbessern, sondern auch einen Beitrag zur globalen Cybersecurity leisten – eine Herausforderung, die in einer zunehmend digitalen Welt immer wichtiger wird.