Herausgabe der Passwörter

Mit Freude höre ich regelmäßig die LdN. Vielen Dank dafür, wirklich ein großartiges Format!

Zu den Ausführungen zur Problematik der Passwortherausgabe habe ich folgende Anmerkungen:

  1. Ihr beschreibt, dass man mit einem Brute-Force-Angriff gehasht + gesalzene Passwörter praktisch knacken kann. Wenn dem wirklich so wäre, hätten wir dann nicht ein erhebliches Problem? Natürlich besteht die theoretisch-mathematische Möglichkeit, aber soweit ich weiß wird diese durch den Einsatz absichtlich verlangsamter Hashing-Algorithmen wie BCrypt oder Argon2 verhindert.

  2. Die Herausgabe des Originalpassworts halte ich, genau wie ihr, für technisch unmöglich. Könnte der Betreiber der anfragenden Partei nicht einfach ein neues, zusätzliches Passwort übergeben? Ein Account hätte einfach zwei Passwörter: Ein „normales“ und zweites, optionales „Staats-Passwort“. Beide könnten ganz gewöhnlich gehasht und gesalzen werden. Gruselig, ich weiß, aber technisch durchaus machbar.

Viele Grüße
Simon

1 „Gefällt mir“

Ich finde die Diskussion auch skurril. Wenn der Gesetzgeber die Anbieter zur Herausgabe der Passwörter zwingen kann, dann kann er sie doch auch zur Herausgabe oder Manipulation der verarbeiteten Daten zwingen. Wenn diese verarbeiteten Daten nicht (wie bei z.B. bei ProtonMail) mit ZeroKnowledge (also auch für den Anbieter unzugänglich) verarbeitet werden ist die Passwortdiskussion dann nicht eine Scheindiskussion?

1 „Gefällt mir“

Es geht ja gerade nicht nur um die Daten - die könnte man auch vom Anbieter bekommen - sondern darum, den Account zu übernehmen und auch unter der Identität des Account-Inhabers im Netz aufzutreten …

Vielleicht habe ich das ja überhört, mit welcher Rechtfertigung darf der Staat die Identität von Menschen stehlen? Das ist doch rechtspolitisch auch ganz unabhängig von der Passwort-Herausgabe eine dumme Idee.

Mich würde interessieren, wie es sich in diesem Fall mit einer aktivierten 2FA verhält und was passiert, wenn man das Passwort zwischendurch ändert. Hat der Staat eine technische Möglichkeit, die Multi-Faktor-Authentifizierung zu umgehen? Muss der Staat, wenn das Passwort während der Spionage geändert wird, eine neue Anfrage beim Provider stellen? Ein Guide zur „Verhinderung unrechtmäßiger Staatlicher Spionage“ wäre eine schöne Sache, denn auf den Bundestag kann man sich in diesem Fall leider nicht verlassen.

1 „Gefällt mir“

Natürlich hat der Anbieter die Möglichkeit, die 2FA zu umgehen - vorausgesetzt, die Daten sind nicht Ende-zu-Ende-verschlüsselt. Folgende Analogie veranschaulicht das vielleicht ganz gut:

Die Bank „Alices“ hat sichere Schließfächer. Kund*innen werden mithilfe des Personalausweises identifziert, manche erhalten als zweiten Faktor zusätzlich einen geheimen Zahlen-Code.
So kommt nur der Kunde an den Inhalt des Schließfaches.
Nun kommt Staatsanwältin Eve und zwingt die Bank, Zugriff auf Bobs Schließfach zu gewähren. Die Bankchefin weist daraufhin ihre Angestellten an, ab sofort auch den Personalausweis von Eve zu akzeptieren. Eve geht also zum Tresen, sagt „Mein Name ist Bob, ich möchte auf mein Schließfach zugreifen.“. Sie zeigt ihren Personalausweis vor und erhält Zugriff auf das Schließfach.

Genau so kann dies auch bei Online-Diensten ablaufen: Die Bank „Alice“ ist der Anbieter, Bob ist der Nutzer und Eve ist der Staat. Die Angestellten, die den Personalausweis und den zweiten Faktor überprüfen, entsprechen dem Anmeldesystem des Dienstes. Anstelle des Personalausweises tritt das Passwort, im Schließfach sind die Kundendaten.

Diese Problematik kann ganz einfach verhindert werden: Bob erhält bei Eröffnung des Schließfaches einen einen zweiten Schlüssel, der für die Öffnung notwendig ist. So kann nur Bob, aber weder die Bank noch Eve in das Schließfach schauen.
Bei Online-Diensten entspricht dies einer Ende-zu-Ende-Verschlüsselung.

1 „Gefällt mir“

Danke für die ausführliche und sehr anschauliche Erläuterung.

Es ist wohl nur eine Frage der Zeit bis ein Gesetzentwurf zum Verbot von End-zu-End-Verschlüsselung eingereicht wird.

Du scheinst dich ganz gut auszukennen. Meinst du, Das Gesetzt könnte dazu führen, dass der ein oder andere Anbieter wieder Passwörter im Klartext speichert, es sich also einfach macht und sich dabei auf das Gesetz beruft? Man liest ja immer wieder von Fällen in denen Passwörter unverschlüsselt vom Anbieter gespeichert werden. Geschieht sowas i.d.R. aufgrund von Unachtsamkeit oder spart man sich als Anbieter damit Zeit und Geld?

Einzige was sonst hilft ist, keinen Dienstleister zu verwenden, sondern Webdienste von Mail bis Kalender selbst zu betreiben, denn niemand ist gezwungen, sich selbst zu belasten.

Mir ist schon klar, dass das aktuell nur für die wenigsten eine Option ist, aber wir sollten daran Arbeiten, dass es super einfach wird, sich selbst einen Mailserver hinzustellen, der sich selbst wartet und auf den sonst niemand Zugriff hat.

1 „Gefällt mir“

Das ist ja nichtmal ein theoretisches Problem, also von staatsseite schon. Wenn ich mich recht erinnere hat bei diesem Skandal vor einiger Zeit wo ein Jugendlicher Daten von diversen Promis veröffentlicht hat dieser Zugang zu Konten (ich glaube z.b. Twitter von Unge) erhalten, weil er die Kontrolle über die E-Mail Adresse hatte und dann den Kundenservice überzeugt hat er sei Unge und hätte sein Handy verloren und daraufhin hat der Kundenservice die 2FA kurzzeitig ausgeschaltet und der „Hacker“ konnte sich einloggen bzw ein neues Passwort an die gekarperte E-Mail Adresse schicken lassen.

Ich befürchte, dass der erste Angriffspunkt dann Mail oder SMS sein könnte. SMS ist für staatliche Akteure trivial umzuleiten, und Mail hat oft schwache Passwörter, weil die Leute sich so oft ins Webmail einloggen müssen. Und wenn Mail erstmal übernommen wurde, haben die Angreifer praktisch beliebigen Zugang zu allen anderen Diensten, egal ob die im Strafverfahren eine Rolle spielen oder nicht, weil sie sich überall die Passwörter zurücksetzen lassen können (sofern nicht 2FA eingerichtet mit etwas anderem als SMS eingerichtet ist).

Klartext-Speicherung von Passwörtern ist nicht viel Aufwand und passiert höchstens aufgrund fehlender Kenntnisse. Wer es dennoch macht, ist ein Amateur und verstößt zudem gegen Art. 5 (1) f) der DSGVO.

2 „Gefällt mir“

Ich möchte noch einmal betonen: Das verabschiedete Gesetz erübrigt einen „Angriff“ jedweder Art.
Es ermöglicht staatlichen Akteuren den Eintritt durch den Haupteingang, wie auch Ulf und Philipp es sagten. Das obige Beispiel soll das veranschaulichen.

(Natürlich sind Mail und SMS trotzdem zwei absolute Schwachpunkte, keine Frage)

„Hacker“

Ich vermute, dass du mit den Anführungszeichen den Jugendlichen als „Möchtegern-Hacker“ diskreditieren willst. Viele verbinden die Bezeichnung „Hacker“ mit stark technischen Angriffen, für die hoch-komplizierte Sicherheitslücken ausgenutzt werden. Das hat der zitierte Jugendliche nicht getan, ich erinnere mich auch noch an diesen Fall.

Die stark technisch-versierte Konnotation von „Hacker“ ist weit verbreitet, aber leider grob unzutreffend. Die wenigsten Angriffe sind technischer Natur. Sogenannte „Social Engineering“-Angriffe, bei denen die Schwachstelle Mensch ausgenutzt wird, sind die Norm. So wurde auch in diesem Fall vorgegangen.

Zu Social Engineering kann ich den Vortrag „Hirne hacken“ von Linus Neumann sehr empfehlen :slight_smile:

Ich empfinde jede Anwendung des Gesetzes als Angriff in diesem Sinne.

(Zusätzlicher Text damit die Änderung des Kommentars vom Forum akzeptiert wird, das sah nach Abschicken nicht so aus als würde die Antwort in den Thread einsortiert werden.)

Wenn ich das richtig lese, dann sieht das Gesetz ja nur die Herausgabe des Passwort(-Hash) vor.
Zumindest kann ich nicht herauslesen, dass der Anbieter Informationen über sein Prüfverfahren liefern muss. Diese Daten gehören ja auch nicht wirklich zu den Benutzer-/Kundendaten. Solange die Salt-Bestandteile lang und mehrere Algorithmen möglich sind, wird eine staatliche Stelle an einem passenden Passwort lange rechnen müssen. Sollten die Annahmen so richtig sein, dann wird der eigene Zugang bei einem technisch cleveren Anbieter, der einigermaßen wehrhaft ist, weiterhin gut geschützt sein.

Über das Einrichten alternativer Benutzerzugänge oder die Abschaltung von 2FA Zugangssicherungen finde ich ebenfalls nichts im Gesetz. Solange die 2FA Zugangssicherung nicht auf eMail oder SMS beruht, sollte das ebenfalls eine von staatlicher Seite nicht zu überwindende Hürde darstellen. FIDO2, Push Token oder OTP Generatoren sind ohne eingerichtete Umgehungslösung auf Seiten des Anbieters nicht zu überwinden.

1 „Gefällt mir“

FIDO2, Push Token oder OTP Generatoren sind ohne eingerichtete Umgehungslösung auf Seiten des Anbieters nicht zu überwinden.

Und genau das ist eben der Punkt, vor dem ich ein wenig Angst habe. Im Gesetztestext steht zwar nur etwas von „Passwort-Hashes“, aber in der Gerichtsbarkeit zählt ja bekanntlich die Intention der Norm - und da ein einfacher Hash eben keinerlei Nutzen hat, sehe ich ihn hier als synonym zu „Voller Zugang zum Benutzeraccount“. Damit wären es dann auch möglich, die Anbieter zur Einrichtung einer Umgehungslösung zu zwingen. Kannst du als Jurist hier Aufklärung schaffen, Ulf? :slight_smile:

Falls dem nicht so wäre, also der Anbieter zwar zur Herausgabe ders Passwort-Hashes aber nicht zur Einrichtung einer Umgehungslösung gezwungen wäre, fände ich die konsequenz noch skurriler: So greift die neue Überwachungsklausel nur gegenüber technisch unversierte „Normalos“, die keine 2FA einsetzen. Eine weiter Verbreitung von 2FA wäre der einzig gute Effekt dessen - das ist aber wohl kaum Hintergrund des Gesetzes ^^

Das mag schon sein, und technik-affine Menschen wie Du und ich sind sicherlich in der Lage das zu bedienen. Aber es gibt eben auch Menschen, denen schon die Bedienung eines Passwort-Safes zu komplex ist. Diese wären mit der neuen Regelung quasi Freiwild.

1 „Gefällt mir“

@skn0tt @WilliWuff

Bislang glaube ich tatsächlich, dass ausschließlich mit Maßnahmen auf Seiten der Diensteanbieter schon ausreichend Schutz aufgebaut werden kann, damit der Staat wegen der verbleibenden technischen Hürden mit den neuen Möglichkeiten nicht auf Falschparker losgeht.

Ansonsten werden wir in den nächsten Wochen auf üblichen Kanälen im Bereich der Netzpolitik noch viele qualifizierte Einschätzungen dazu hören und können uns dann ohne viel zu spekulieren die Tastaturen heißtippen. :wink:

1 „Gefällt mir“

Mich würde mal interessieren, wie lange ein Passwort mit den gängigen Sonderzeichenregeln aktuell sein muss, damit es nicht in akzeptabler Zeit von dem schnellsten Rechner per brute-force geknackt wird. Habe da auf die Schnelle nichts gefunden, hat da jemand aktuelle Daten?

Das sagt das BSI dazu:

Die Zeit, die es dauert mit Brute-Force ein Passwort zu finden variiert stark vom Geldeinsatz. Und damit eben auch wogegen ich mich schützen will. Will ich mich gegen Kleinkriminelle schützen, die ihre Hand an die Passwort-Datenbank meines Fussball-Forums bekommen haben, oder eben gegen Geheimdienste wie die NSA?

Edit:
Hier noch etwas Aktuelles: