Wissen oder Haben: Zentral für Passwortphrasen

Seit wir Computer und vor allem auch das Internet nutzen, begleiten uns Passwörter auf Schritt und Tritt. Bei jedem Dienst sollten wir unterschiedliche Passwörter nutzen. Mit Sonderzeichen, sowie Gross- und Kleinbuchstaben hantieren und immer wieder einmal das Passwort ändern. Und ja nicht aufschreiben! Viele Richtlinien gibt es hierzu.

Bis vor einigen Jahren ging das ja noch. Aber seit nun so ziemlich alles im Internet als Tool vorhanden ist, braucht man für alles ein Passwort. Eine Möglichkeit besteht darin, mittels eines Hauptlogins wie Google, oder Facebook, auf diese Seiten zuzugreifen. Das führt aber dazu, dass das Passwort dieses “Hauptkontos” umso stärker sein muss.

Hier haben sich nun mittlerweile Passwortsafes etabliert, in welche sämtliche Passwörter gespeichert und einfach heraus gelesen werden können. Somit schienen wir langsam alles in den Griff zu kriegen und dieses mühsame Passwortproblem scheint vereinfacht!

Security

Plötzlich ist man seine eigene “Bank”, heisst es. Man ist selber für die Verwahrung seiner Coins verantwortlich. Diese müssen also vor Drittpersonen abgesichert werden.

Das geht natürlich nur mit extrem starken Passwörtern und Wiederherstellungssätzen aus mindestens zwölf Wörtern. Zu schwierig sich das zu merken. Jedenfalls für Normalsterbliche.

Und da es sich um derart heikle Passwörter und -phrasen handelt, die bei einem Diebstahl, oder Verlust direkt dein Vermögen gefährden, dürfen sie auf keinen Fall auf eurem Computer gespeichert werden.

Wo speichert man sie denn, wenn sie auf dem Computer, sowie auf einem Stück Papier nicht sicher sind?

Eine schwierige Frage, die ich in diesem Artikel versuche zu beantworten. Ich möchte hier vor allem auf die Sicherung der langen Passphrasen eingehen, welche bei zum Beispiel Ethereum heute Standard sind. Mit solchen Passphrasen erhält man vollen Zugriff auf die entsprechende Wallet, weshalb die Phrase stark gesichert werden muss.

Auch wenn ihr eure Coins auf einer Hardwarewallet habt, solltet ihr diese Handhabung betrachten. Denn der schwächste Punkte bei Hardwarewallets ist ebenfalls deren Recovery-Passphrase.

Die zwei Eigenschaften eines Passwortes

Bei der Sicherung von Passwörtern und Passphrasen wird oft vergessen, dass ein Passwort seine Sicherheit nicht nur durch sich selbst definiert. Sondern auch über dessen Verwendungszweck.

Die Sicherheit eines Passwortes kann dadurch erhöht werden, in dem es komplex ist. Das heisst, mindestens 8 Zeichen lang, beliebige Zeichen verwenden etc. Je länger und zufälliger die Zeichen, desto schwieriger ist es, das Passwort zu knacken.

Beim Punkt “Knacken” kommt nun der zweite Faktor des Passwortes hinzug. Der Verwendungszweck!

Es gibt für einen Angreifer zwei Angriffsvektoren eine Datei, oder einen Login anzugehen. Entweder kennt der Angreifer den Ort der Eingabe. Also die Datei, oder Loginmaske. Oder aber er hat das Passwort geklaut.

Ersterer Fall kann gesichert werden, indem das Passwort so komplex wie möglich gewählt wird. Sprich, der Angreifer kann nicht die Rechnungsleistung aufbringen, das Passwort durch rohe Gewalt heraus zu finden (Brute Force). Zudem können Loginmasken etc. noch durch weitere Logiken abgesichert werden. Zum Beispiel, dass nur eine Eingabe alle Minute möglich ist etc. Dies verunmöglicht den Zugang weiter.

Beim zweiteren Fall ist die Ausgangslage nicht so naheliegend. Aber bei der Verwahrung von Passwörtern ist ein Kriterium sehr wichtig: Die wirkende Zufälligkeit.

Wird ein Passwort physisch verwahrt, darf in keinster weise ein Hinweis für die Verwendung des Passwortes dabei stehen. Auch darf das Passwort selber nicht auf dessen Verwendungszweck hindeuten. Gelangt ein Angreifer (Dieb) somit in den Besitz des Passwortes, kann er damit nichts anfangen. Oder aber es gibt eine gewisse Schwierigkeit, die dem Besitzer Zeit gibt, zu reagieren.

Ein Passwort kann somit durch dessen Komplexität und dessen Verwahrung abgesichert werden.

Für einen erfolgreichen Angriff muss man somit das Passwort und dessen Verwendungszweck wissen.

Wissensymbolbild

Der Faktor Wissen

Die Sicherste Methode bei der Verwahrung eines Passwortes ist einfach: Man weiss es. Oder besser gesagt, man kennt sowohl das Passwort, als auch den Verwendungszweck auswendig.

Beim zum Beispiel Googleaccount wählt man somit ein Passwort, das man sich noch merken kann und weiss dann, dass es für Google ist. 

Ein solcher Internetzugang hat wie erwähnt, den Vorteil, dass er durch weitere Logiken abgesichert werden kann. Die Zwei-Faktor-Authentifizierung ist ein gutes Beispiel davon. Entsprechend muss das Passwort nicht unendlich komplex sein.

Im Zusammenhang mit Dateien, wozu auch die Schüssel von Kryptowährungen zählen, sind solche Zusatz Logiken aber leider nicht möglich. Das heisst: das Passwort muss so komplex sein wie nur möglich.

Sprich, der Faktor Wissen kann eins zu eins nicht zur Sicherung angewendet werden. Es bedarf somit eines Umweges über den Faktor Haben.

Die Vereinfachung durch Haben

Unter Haben ist zu verstehen, wenn man direkten Zugriff auf das physische Passwort hat. Zum Beispiel: Man besitzt einen Passwortsafe auf dem Computer. Man hat ihn. Und somit hat man Zugriff auf das Passwort. Ein anderes Beispiel ist das Stück Papier, auf dem das Passwort notiert ist. Man hat Zugriff darauf.

Durch die Notierung eines Passwortes in einem Safe, oder auf Papier fällt die Problematik der Komplexität des Passwortes weg. Es kann ein beliebig komplexes Passwort gewählt werden und es besteht nicht die Gefahr, dass man es vergisst. Denn man hat es ja im Zugriff.

Der Problematik des Brute Force Angriffes kann somit durch den Faktor Haben sehr einfach begegnet werden.

Aber der Faktor Haben bringt neue Probleme mit sich. Wenn jemand in den Besitz des Stückes Papier kommt, hat er vollen Zugriff auf das Schutzobjekt. Es gilt somit sicherzustellen, dass ein Angreifer keine Möglichkeit hat, durch den Fund des Passwortes auf dessen Verwendung zu schliessen.

Persönliche Meinung: Metallwallets besser nicht verwenden

Ein neuer Trend der aufkommt, ist die Verwendung von sogenannten Metallwallets. Hierbei wird der Passwortsatz auf ein Stück Metall eingraviert. Man erhält also ein Set nach Hause geliefert, welches einem selber die Gravierung ermöglicht. Klingt super und schützt den Faktor Haben vor Umwelteinflüssen!

Problem ist aber, dass man durch deren Nutzung die Verwendung des Passwortes kaum verschleiern kann. Jeder, der ein solches Metallstück findet, wird sich fragen: Wofür ist denn das? Und die Antwort findet man auf Google unglaublich schnell.

Man gibt also Sicherheit vor Diebstahl ab und erhält dafür mehr Sicherheit vor Umwelteinflüssen. Zweiteres kann aber auch durch eine Vermehrung der Backups erreicht werden.

Wissen und Haben gilt es zu trennen

Durch eine komplexes Passwort und dessen zufälliger Verwahrung, ist es somit möglich, das Schutzobjekt bestmöglich abzusichern.

Ein wichtiger Faktor, der aber gerne unterschätzt wird, ist die Zeit und die eigene Vergesslichkeit. Das Passwort schreiben wir auf, da wir genau wissen, dass wir es uns nicht merken können. Aber können wir uns auch in 8 Jahren noch daran erinnern, wofür ein Passwort dient, das wir auf einem Stück Papier im eigenen Aktenordner finden?

Vergisst man dies, hat man ein Problem und der Zugriff bleibt einem selbst verwehrt. Um dieses Szenario zu verhindern, muss doch der Faktor Wissen wieder her halten.

Wie sichern wir ein Haben durch Wissen ab, ohne dass wir das Wissen vergessen und nicht die Zufälligkeit der Verwahrung zu stark beeinträchtigen? Das Haben verdoppeln und Metawissen einführen!

Das Haben durch Metawissen absichern

Bitte was? Das klingt nun wirklich ziemlich komplex. Und wahrscheinlich bin ich auch der Einzige, der dies so nennt. Aber eigentlich ist es ganz einfach: Wir schreiben das Passwort nicht auf einem Stück Papier nieder, sondern auf zwei. Und damit wir nicht vergessen, welche beide Papierstücke zusammengehören, führen wir ein Wissensfaktor zur Verknüpfung ein. Und diesen kennen nur wir!

Zum Beispiel ist die Kombination der beiden Haben ein möglicher Wissensfaktor. Ihr notiert zum Beispiel auf zwei Stücke Papier je die Hälfte des Passwortes. Aber nicht den Anfang und das Ende des Passwortes, sondern jeweils jeden zweiten Buchstaben, oder Wort. Also alle Buchstaben/Wörter an ungeraden Stellen auf dem einen Stück Papier und alle Buchstaben auf geraden Stellen auf dem anderen Stück. Nur ihr wisst dann, wie das Passwort richtig zusammengesetzt wird.

Beim Beispiel der langen Passphrasen, die ihr zum Beispiel für Ethereum Wallets erstellen müsst, würde eine Aufteilung somit wie folgt aussehen.

Beispielhafte Passphrase

  1. Dies
  2. ist
  3. eine
  4. sehr
  5. schlechte
  6. Passphrase
  7. die
  8. ich
  9. nur
  10. als
  11. Beispiel
  12. nehme

Die Prassphrase dienst hier wirklich nur als Beispiel. Niemals dürft ihr Wörter wählen, die einen sinnvollen Satz ergeben könnten. Die Softwarewallets geben euch entsprechend immer zufällige Wörter für die Passphrase.

Die Aufteilung auf die Papierstücke wäre dann wie folgt:

Papierstück 1

  • Dies
  • eine
  • schlechte
  • die
  • nur
  • Beispiel

     Hint: A

Papierstück 2

  • ist
  • sehr
  • Passphrase
  • ich
  • als
  • nehme

     Hint: MetaMask

Hier kann dann ebenfalls nur durch den Besitz beider Papierstücke auf das richtige Passwort geschlossen werden. Durch das Weglassen der Zahlen ist der Sinn des Zettels noch weiter schwierig zu erkennen.  Bei einem Fund, wisst dann nur ihr, wie das Passwort zusammengesetzt wird und dass ihr mit den Wörtern auf dem Zettel A beginnen müsst.

Wollt ihr das ganze noch sicherer machen, kreiert ihr noch einen weiteren Zettel auf dem die beiden Hints stehen. Dann benötigt der Angreifer gleich alle drei Zettel, um etwas anrichten zu können.

Papierstück 1

  • Dies
  • eine
  • schlechte
  • die
  • nur
  • Beispiel

Papierstück 2

 

     Dies A

     Metamask

 

Papierstück 3

  • ist
  • sehr
  • Passphrase
  • ich
  • als
  • nehme

Solange die Zettel dann nicht am gleichen Ort verwahrt werden, ist ein Angriff auf eure Wallet beinahe unmöglich.

Notizbücher machen es etwas einfacher

Damit ihr nicht den Zusammenhang über farbige Blätter herleiten müsst, oder aber in einem Blätterstapel ertrinkt, könnt ihr auch identische Notizbücher verwenden.

Hierbei einfach auf den gleichen Seiten die zusammen gehörenden Passwort Teile notieren und die Notizbücher von einander unabhängig verwahren. Für den zusammenführenden dritten Faktor sollte dann ein Stück Papier ausreichen.

Folgend ein vollumfängliches Beispiel zur bestmöglich sicheren Verwahrung eines Wallet Passwortsatzes. Das Papierstück verschliesst ihr am besten noch in einem Briefumschlag. So entdeckt ihr einfach, ob ihr korrumpiert wurdet.

Aufbewahrung der Passphrasen

Wie und wo ihr eure Notizbücher dann aufbewahrt, kann ich euch nicht wirklich sagen. Hierbei müsst ihr aber wiederum zwei Faktoren beachten: Zugänglichkeit und Sicherheit.

Leider schliessen sich diese beiden Faktoren ziemlich aus. Natürlich könnt ihr eure Passphrasen im Bankschliessfach verwahren. Das macht durchaus Sinn. Vor allem auch hinsichtlich eines Backups.

Aber was, wenn ihr es mal braucht? Es ist etwas umständlich immer in die Bank rennen zu müssen, wenn ihr eure Wallet auf einem neuen Gerät installieren wollt.

Hierbei gibt es keine optimale Lösung, sondern jeder muss selber entscheiden, was für ihn Sinn ergibt. Zu beachten ist aber auch die Möglichkeit, dass man die Guthaben auf den Wallets entsprechend der Sicherheit anpasst. Sprich, die Passphrasen der Wallet mit dem grössten Vermögen gehört in den Banktresor. Die andere Passphrase kann auch zu Hause aufbewahrt werden.

Zusammenfassung

Aufgrund der nötigen hohen Komplexität von Passwörtern für Kryptowährungen, ist es nicht mehr möglich, sich diese zu merken. Entsprechend müssen diese notiert werden. Hierbei ist aber einiges zu beachten, damit ein Angreifer nicht zu einfach mit dem Passwort etwas anfangen kann. 

Es ist wichtig, dass das Passwort und der Verwendungszweck getrennt wird, aber trotzdem sichergestellt ist, dass ihr ihn selber nicht vergesst.

Durch Aufteilung der Passphrasen in unterschiedliche Papiernotizbücher kann so die Sicherheit gewährleistet werden, die ihr benötigt.

Natürlich gibt es die 100%-ig Sicherheit nicht. Aber sofern ihr eure Aufbewahrungsorte etc. nicht mit anderen teilt, ist es kaum möglich, dass sich jemand in einem nützlichen Zeitrahmen daraus etwas holen kann.

Was hier noch nicht besprochen wurde, ist die Reduktion des “Ausfallrisikos”. Sprich, was passiert, wenn ihr den Zugriff zu einem der Notizbücher verliert? Hierfür müsstet ihr alles doppelt führen und entsprechen in vier unterschiedlichen Orten aufbewahren. auch nicht ganz einfach, aber durchaus machbar.

Aber klar, ihr könnt die Passphrase auch einfach in einer Textdatei bei euch auf dem Desktop speichern. Aber beklagt euch dann nicht, wenn ihr mal wieder einen Trojaner einfängt 😉

Ich hoffe, ich konnte euch einen guten Eindruck in die Passwortthematik geben. Ebenfalls versteht ihr nun auch, weshalb es wichtig ist, sich bei der Aufbewahrung von Passwörtern Mühe zu geben. Natürlich ist zu hoffen, dass durch Innovation diese Problematik im Bereich der Kryptowährungen in Zukunft verringert wird.

Die klassiche Finanzbranche hat es hier halt einfacher. Denn sie verfügen einfach über den Faktor Haben. Sprich, sie besitzen euer Vermögen und ihr vertraut darauf, dass sie dies nicht ausnutzen. Das ist gleich, wie wenn ihr eure Coins bei einem Broker liegen lasst. Wobei die Banken immerhin noch reguliert sind. Aber das ist ein Thema für einen anderen Artikel 😉

Was haltet ihr von dieser Vorgehensweisen? Overkill, oder genau das nötige? Lasst es mich wissen.

close

Bleib über Kryptos informiert!

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
Email
Roland Strasser

Roland Strasser

Schmeisst man Wirtschaft, IT und Realismus in einen Topf, komme ich heraus. Cryptofan mit gesunder Skepsis zum Trend, aber langfristig mit klarer bullisher Tendenz!
Andere relevante Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Roland Strasser

Der KryptOhr

Kryptowährungen sollte jeder kennen!

Für mich zählen Kryptowährungen zu einem der wichtigsten Faktoren der heutigen Zeit. Hiervon sollten alle profitieren können. Mit diesem Blog versuche ich verschiedenste Themen aus diesem Gebiet einfach und für jeden verständlich darzustellen.

Mein Favorit
Kategorien
Coins kaufen?

Swissborg nutzen

Mit Swissborg habt ihr einen einfachen und günstigen Zugang zu den wichtigsten Kryptos!
Neuste Einträge