Basisschutz für Online-Shops: Die Passwort-Vergabe

Einer der größten Unsicherheitsfaktoren im World Wide Web im Allgemeinen und bei Internet-Dienste im Besonderen ist die Passwortvergabe. Als wir im vergangenen Jahr E-Mail-Anbieter getestet haben, gehörte das Passwort ursprünglich nicht zu unseren Prüfungskriterien, da wir naiver Weise davon ausgingen, namhafte Anbieter seien sich der Wichtigkeit bewusst. Jedoch wurde das Passwort sehr schnell zu einem wichtigen Bewertungskriterium. Wie wir feststellen mussten, hat sich kaum jemand Gedanken um sichere Log In-Daten gemacht. Lernen Sie daraus und machen Sie die Passwortvergabe in Ihrem Shop zu einer sicheren Angelegenheit – um sogenannte Brute-Force-Angriffe zu vermeiden und die Daten Ihrer Kunden effizient zu schützen. Wie das funktioniert, erfahren Sie im heutigen Blogbeitrag.

Wozu benötigt man sichere Passwörter in Shops?

Als Online-Händler stehen Sie in alleiniger Verantwortung, die Daten Ihrer Kunden zu schützen. Nun besteht Ihre Kundschaft mit großer Wahrscheinlichkeit aus gängigen Internetusern. Würden Sie nun davon ausgehen, dass Ihre Kundschaft selbstständig auf sichere Passwörter setzt und verzichten Sie gänzlich auf Passwort-Vorgaben, kann das sogenannte Brute-Force-Attacken zur Folge haben: die Accounts werden geknackt, indem sich Hacker einer Software bedienen, die in Sekundenschnelle etliche Zeichenkombinationen ausprobiert – bis eine passt. Sie als Händler können hier in die Haftung genommen werden, wenn Kundenkonten kompromittiert werden. Das kann nicht nur teuer werden, sondern auch kräftig an Ihrem Image kratzen; Imageschäden sind in Zahlen oftmals nicht zu kalkulieren, sie können jedoch Existenzen kosten.

Deshalb sollten die Passwörter Ihrer Kunden bestimmte Qualitätsanforderungen erfüllen. Es liegt an Ihnen, diese Vorgaben durchzusetzen, denn Studien zeigen, dass Internetnutzer die Wichtigkeit eines sicheren Passworts häufig unterschätzen. TeamsID kürt alljährlich die schlechtesten Passwörter; in 2014 sah die Top-10 so aus:

• 123456
• password
• 12345
• 12345678
• qwertz
• 123456789
• 1234
• baseball
• dragon
• football

Sie sehen: an viele dieser schlechtesten Passwörter kommen Hacker auch ohne entsprechende Software, leider sind diese unsicheren Passwörter noch immer extrem weit verbreitet. Überprüfen Sie bitte Ihre Shopsoftware auf die Möglichkeit, Richtlinien für Passwörter zu vergeben und nutzen Sie diese Funktion auch!

Welche Kriterien gibt es für sichere Passwörter?

Warum viele Nutzer die Wichtigkeit eines sicheren Passworts ignorieren, liegt auf der Hand: es ist eben schwieriger, sich eine geschickte Kombination aus 12 oder mehr Zeichen, Zahlen und Buchstaben zu merken. Die Nutzer nehmen lieber ein Passwort, das sie sich merken können, und verwenden es für etliche Services im Web. Die Hacker freuen sich: es wird ihnen wirklich leicht gemacht, in die Accounts Dritter einzudringen. Die folgenden Tipps können Sie auch Ihren Shop-Besuchern geben – idealerweise im Bereich der Registrierung, in dem das Passwort vergeben wird:

• Passwort-Länge: sechs bis acht Zeichen zählen Passwörter mit mittlerer Sicherheit; möchten Sie wirklich sichere Passwörter erstellen lassen, bestehen Sie idealerweise auf mindestens 12 Zeichen.
• Komplexität: Passwörter wie „passwort“ oder „123456789“ sind alles andere als komplex. Auch Begriffe, die im Wörterbuch stehen, sowie Namen sind leicht erraten. Hacker bzw. entsprechende Software stützen sich zumeist auf Begriffe aus Wörterbüchern, deshalb sollten Passwörter nicht darin zu finden sein.
• Auf Namen verzichten: Straßen- oder Ortsnamen, Vor- und Nachnamen, Spitznamen, der Name des Haustiers: all das sollte nicht als Passwort verwendet werden, denn solche Passwörter sind unsicher.
• Buchstaben-, Ziffern- & Zeichenkombinationen: ideal ist eine Kombination aus Buchstaben, Zeichen und Ziffern. Das Verwenden von großen und kleinen Buchstaben ist perfekt. Prüfen Sie in Ihrer Shopsoftware, ob Sonderzeichen für Kennwörter gestattet sind, denn diese lassen Passwörter wesentlich sicherer werden.
• Verzicht auf Umlaute: weniger aufgrund der Sicherheit als eher aufgrund der Praktikabilität macht es Sinn, auf Umlaute zu verzichten. Angenommen, Ihr Kunde befindet sich im Urlaub und verwendet eine ausländische Tastatur, kann er sich nicht einloggen, da Umlaute dort nicht vorkommen.
• Nicht notieren: machen Sie Ihre Kunden darauf aufmerksam, dass sie aufs Notieren ihres Passworts verzichten sollten. Oftmals kleben Passwörter an Post-its am Monitor. Wenn Passwörter schon auf Zetteln notiert werden, dann bitte so, dass sie sicher aufbewahrt werden.
• Ein Passwort je Service: vergessen Sie auch nicht den Hinweis, dass Ihre Kunden für jeden Service ein anderes Passwort verwenden sollten. Es ist für Hacker ein Leichtes, das verwendete Shop-Passwort auf andere Internetdienste zu übertragen und die Accounts zu kompromittieren.
• Anmeldedaten im Browser: in aller Regel bieten Browser an, sich die Passwörter für die Internetnutzer zu merken. So komfortabel das auch sein mag, so unsicher ist es: möchte Ihr Kunde am Rechner eines Freundes oder gar in einem öffentlichen Internetcafé bei Ihnen bestellen und hinterlässt seine Anmeldedaten aus Unachtsamkeit, hat der folgende Benutzer leichtes Spiel. Nun ist nicht jeder User ein Verbrecher, jedoch kann es passieren, dass Cyberkriminelle Schadsoftware installiert haben, um Passwörter auszulesen. Also: niemals automatisches Speichern zulassen.
• Passwort-Safes: ein Passwort je Service, nichts speichern, nichts notieren und komplexe Kombinationen aus Zahlen, Buchstaben und Zeichen – wer soll sich das denn merken? Hier kommen sogenannte Passwort-Safes ins Spiel, die Sie Ihren Kunden empfehlen können. Die Nutzer identifizieren sich via Masterpasswort oder über einen Fingerabdruck-Sensor und der Safe speichert jedes einzelne noch so komplexe Passwort. Als kostenfreie Beispiele seien LastPass, Keepass oder Password Safe genannt; andere Lösungen kosten zwischen zehn bis dreißig Euro.

So erstellen Ihre Kunden ein sicheres Passwort

Es gibt einen ganz einfachen Trick, der zu einem sicheren Passwort führt – geben Sie diesen gerne auf Ihrer Registrierungsseite weiter: Ihr Kunde sucht sich einen Satz mit mindestens 12 Wörtern und leitet daraus sein Passwort ab. Das kann etwa so aussehen:

„Jeden Morgen stehe ich um sechs Uhr auf und wecke die Kinder um sieben Uhr.“ Aus den Anfangsbuchstaben lässt sich daraus generieren: „JMsiusUauwdKusU“. Nicht schlecht, jedoch fehlen uns noch die Zahlen. Also wandeln wir die Buchstaben in Zahlen und daraus wird: „JMsiu6UauwdKu7U“. Besser. Aber da geht noch was. Ein Satzzeichen macht aus einem Satz ein richtig sicheres Passwort: „JMsiu6UauwdKu7U!“ Überprüfen wir das Passwort anhand oben erwähnter Kriterien:

• Passwort-Länge: 16 Zeichen – ideal.
• Komplexität: diese Kombination ist in keinem Wörterbuch der Welt zu finden.
• Auf Namen verzichten: keinerlei Namen enthalten.
• Buchstaben, Ziffern & Zeichen: Groß- und Kleinbuchstaben wechseln sich mit Ziffern ab und das Satzzeichen zum Schluss gibt das i-Tüpfelchen an Sicherheit.
• Verzicht auf Umlaute: keine Umlaute inklusive.
• Nicht notieren: aufgrund des Merksatzes, aus dem das Passwort abgeleitet wurde, ist es sogar leicht zu merken.

Überprüfen wir das Passwort mit einem Tool, dem Passwordmeter, zeigt sich 100-prozentige Sicherheit. Die kann es unseres Erachtens nie geben, aber vergleichen Sie „JMsiu6UauwdKu7U!“ mit „password“ oder „123456“ wird schnell deutlich, welches Passwort sicherer ist.

Brute-Force-Attacken durch unsichere Passwörter

Wie eingangs erwähnt, steigt durch unsichere Passwörter die Wahrscheinlichkeit von Brute-Force-Attacken. Dabei setzen Hacker ihre Software so ein, dass sie mithilfe einer schnellen Abfolge viele verschiedene Zeichenkombinationen ausprobieren. Man spricht hier von einer „erschöpfenden Suche“. Um eine hohe Anzahl möglicher Kombinationen zügig auszutesten, bedienen sich Hacker Hochleistungsrechner. Das Erraten der Passwörter wird umso leichter, je kürzer und vorhersehbarer die verwendeten Passwörter sind.

Wie schnell das gehen kann, zeigt das Projekt RC5-72 von der Organisation distributed.net. Die Organisation möchte zeigen, wie eine Nachricht entschlüsselt werden kann, die mithilfe eines 72 Bit-Schlüssels verschlüsselt wurde. Im Netzwerk stellen verschiedene Anwender ihre Rechnerkapazität bereit, um Hochleistung zu erreichen. Das bereits vergangene Projekt „RC5-64“, bei dem ein 64 Bit-Schlüssel geknackt werden sollte, brauchte zum Erfolg 1.757 Tage, das Knacken eines 56 Bit-Schlüssels lediglich 250 Tage. Den kompletten Bericht können Sie sich in diesem englischsprachigen PDF ansehen.

Passwort Depot, einer der zahlreichen Anbieter von Passwort-Management-Lösungen, zeigt auf seiner Know-how-Seite zu Brute-Force-Angriffen, wie die Zeichenlänge die Zeit zum Entschlüsseln positiv beeinflussen kann: Während ein Passwort, das aus drei Kleinbuchstaben und zwei Zahlen besteht, in erstaunlichen 0,03 Sekunden herausgefunden werden kann, braucht es für ein Passwort mit acht Zeichen (vier Kleinbuchstaben, zwei Sonderzeichen und zwei Zahlen) schon 2,6 Tage, für ein Passwort mit 12 Zeichen, bestehend aus drei Groß- und vier Kleinbuchstaben, drei Sonderzeichen sowie zwei Zahlen, zirka 7,5 Millionen Jahre.

Die Passwort-Vergabe: Sicher ist nun mal Sicher!

Passwörter werden häufig stiefmütterlich behandelt – leider von sämtlichen Seiten: von Dienst- und Serviceanbietern im Internet genauso wie von Verbrauchern und Anwendern selbst. Die Folgen sind dramatisch, denn abgesehen von dem Schaden, auf dem der Anwender – Ihr Shop-Kunde – sitzenbleibt, gerät auch Ihr Image ins Wanken. Schützen Sie Ihre Shop-Kunden vor Brute-Force-Attacken, indem Sie die oben erwähnten Passwort-Richtlinien in Ihrem Shop durchsetzen!

Brute-Force-Attacken können übrigens überall dort vorkommen, wo Passwörter und Accounts eine Rolle spielen. Während Sie also sichere Passwörter bei Ihren Kunden etablieren, denken Sie bitte auch an Ihr eigenes Passwort-Verhalten und passen Sie die Passwörter zu Ihrer Shopverwaltung, Ihrem Server und weiteren genutzten Diensten ebenfalls entsprechend obiger Qualitätsrichtlinien an.