Sichere Passwörter: Mythen und Fakten zur Sicherheit von Online-Wahlen – Teil 5
POLYAS sorgt für sichere Passwörter im Online-Wahlmanager, indem beim Erstellen des Passworts automatisch bestimmte Kriterien überprüft werden. Welche das sind, erfahren Sie im fünften und letzten Teil unserer Blogpost-Serie „Mythen und Fakten zur Sicherheit von Online-Wahlen“.
Dass sichere Passwörter eine gewisse Länge haben sollten, um Schutz zu gewähren, ist den meisten Internetnutzer:innen inzwischen wohl bewusst. Bei POLYAS müssen Passwörter, die für den Online-Wahlmanager erstellt werden, ab dem 28.06.2022 mindestens 10 Zeichen haben und bestimmte Zeichen beinhalten. Dass aber auch dann ein Sicherheitsrisiko vorliegen kann, wenn man zehn zufällige Zeichen wählt, wissen viele Internetnutzer:innen nicht. Denn wer Pech hat, dessen Passwort ist bereits einmal bei einem Datenleak in die Öffentlichkeit geraten.
Damit wäre es für Hacker:innen ein Leichtes, sich Zugang zu dem Account zu verschaffen, mit dem Wahlprojekte erstellt, verwaltet und gestartet werden können. Wenn diese die zum Account gehörige E-Mail-Adresse kennen, könnten sie einen sogenannten Brute-Force-Angriff starten. Dabei handelt es sich um den Versuch, ein Passwort per systematischem Ausprobieren zu knacken. Dazu würden zunächst die Passwörter probiert, die bereits einmal durch eine Datenschutzverletzung öffentlich gemacht wurden.
Sichere Passwörter trotz Datenleaks
POLYAS schützt seine Nutzer:innen vor einem solchen Szenario, indem wir bereits beim Erstellen des Passworts überprüfen, ob dieses bereits veröffentlicht wurde. Dazu nutzen wir den Service des Drittanbieters Have I Been Pwned? (HIBP). Pwn ist ein englischer Slangausdruck aus der Videogamer-Szene und bedeutet so viel wie die Kontrolle über einen Account oder Computer übernehmen. Die vom australischen Sicherheitsexperten Troy Hunt gegründete und über Spenden finanzierte Datenbank listet unter anderem Passwörter, die aus hunderten Datenschutzverletzungen bekannt geworden sind.
Nutzer:innen können über diese Webseite selbst überprüfen, ob Informationen über die eigenen Daten veröffentlicht wurden. Aber auch POLYAS nimmt automatisch eine Prüfung jener Passwörtern vor, welche im POLYAS Online-Wahlmanager angelegt werden. Egal ob bei der Registrierung, dem Nutzen der „Passwort-vergessen“-Funktion oder dem Neusetzen des Passworts über den eigenen Account – sollte das Passwort bereits kompromittiert sein, wird man darauf durch eine Warnmeldung hingewiesen. Dabei ist sichergestellt, dass Have I Been Pwnd keine Informationen über das Klartextpasswort erhält.
Haben Sie bereits die ersten vier Teile unserer Serie „Mythen und Fakten zur Sicherheit von Online-Wahlen“ gelesen? Hier finden Sie Teil Eins, Teil Zwei, Teil Drei und Teil Vier.
Fünf Jahre zum Passwort knacken
Doch auch nicht-kompromittierte, sichere Passwörter aus acht zufälligen Zeichen stellen heute keinen ausreichenden Schutz vor einem Brute-Force-Angriff mehr dar, da diese von einem einfachen Computer in rund acht Stunden geknackt werden könnten. Für ein Passwort aus zehn Zeichen würde ein handelsüblicher PC hingegen fünf Jahre brauchen – nur zwei Zeichen mehr, aber die Kombinationsmöglichkeiten vervielfachen sich. In der IT-Welt spricht man von einer hohen Entropie, also Informationsdichte.
Auch POLYAS lässt ab dem 28.06.2022 nur noch zehnstellige Passwörter im Online-Wahlmanager zu. Weitere Mindestbedingungen beim Erstellen eines neuen Passworts sind:
- ein Großbuchstabe
- ein Kleinbuchstabe
- eine Ziffer
- und ein Sonderzeichen
So stellen wir sicher, dass nicht ausschließlich echte Wörter aus dem Duden für das Passwort verwendet werden, denn diese würde ein Computer während eines Brute-Force-Angriffes zuerst durchprobieren.
Zusätzlicher Schutz des POLYAS-Accounts: Zwei-Faktor-Authentifizierung
Selbst wenn man sichere Passwörter hat – wenn sie doch mal in die falschen Hände geraten sollten, gibt es auch hier eine Möglichkeit, den eigenen Account vor unbefugten Zugriffen zu schützen: die Zwei-Faktor-Authentifizierung. Dabei wird nach dem Login in den eigenen Account ein Code an ein zweites Gerät versendet, der eingegeben werden muss, um Zugang zum Account zu erhalten. Nur wer über dieses Zweitgerät verfügt, kann also auf das Konto zugreifen. Ein zusätzlicher Vorteil ergibt sich dadurch, dass man durch den zweiten Faktor schnell erfährt, wenn es einen unautorisierten Anmeldeversuch im eigenen Account gab. Dann kann man das Passwort neu setzen.
POLYAS bietet zwei Möglichkeiten für die Zwei-Faktor-Authentifizierung an:
- den YubiKey
- oder eine zeitbasierte Variante (TOTP) in Kombination mit einer App
Wenn Sie ihr Wahlprojekt schützen möchten und sich für die Authentifizierung via YubiKey entscheiden, benötigen Sie die entsprechende Hardware. Bei einem Yubikey handelt es sich um eine Art USB-Stick, der in den Computer gesteckt wird. Dieser Sicherheitsschlüssel zeigt bei Verwendung Ihre Zugangscodes an.
Die zeitbasierte oder TOTP-Authentifizierung (Timebased One Time Password) kann in Verbindung mit Authenticator Apps genutzt werden. Beispiele für solche Apps wären:
- Google Authenticator
- Microsoft Authenticator
- 2FA Authenticator
Alle drei Apps sind sowohl für Android als auch für IOS verfügbar und können einfach im App-Store heruntergeladen werden.
Wie Sie die Zwei-Faktor-Authentifizierung aktivieren, erfahren Sie in dieser Anleitung.