Confiture - mein sporadisches Blog

♦ . ♦

Swordfish!

Oder: Nur ein gutes Passwort ist ein gutes Passwort

Aber schließen sich gut im Sinne von sicher und gut im Sinne von einprägsam nicht gegenseitig aus? Nicht unbedingt. Gehen wir zunächst der Frage nach, was ein starkes Passwort ausmacht.

Ein Angreifer, der versucht, ein Passwort zu erraten, wird so effizient und geschickt vorgehen wie möglich. So besteht der erste Schritt darin, mittels eines sogenannten Wörterbuchangriffs (einer Wortliste, die Millionen von Begriffen geordnet nach absteigender Häufigkeit enthalten kann) die wahrscheinlichsten Passwörter durchzuprobieren. Deshalb sind „123456”, „geheim”, „password” und Konsorten ungeeignete Passwörter, genauso wie Namen, Geburtsdaten und alle anderen sinnvollen Zeichenkombinationen.

Bedingung für ein starkes Passwort ist also, dass es nicht nur aus sinnvollen Worten einer beliebigen Sprache und nicht aus Datumsangaben bestehen oder zusammengesetzt werden darf.

Bleibt der Wörterbuchangriff erfolglos, ist der Angreifer gezwungen, alle möglichen Zeichenkombinationen mit der Brute-Force-Methode auszuprobieren. Dabei wird er zunächst davon ausgehen, dass das Passwort (aus Gründen der Bequemlichkeit für den Benutzer) nur aus Kleinbuchstaben besteht. Das lateinische Alphabet enthält (sieht man von Umlauten und der Ligatur „ß” ab) 26 Buchstaben. Für ein Passwort mit sechs Kleinbuchstaben (ohne Leerzeichen) ergibt das eine Menge von 26 * 26 * 26 * 26 * 26 * 26 oder 26⁶ = 308.915.776 Möglichkeiten.

Die Zahl von knapp 309 Millionen Kombinationen mag auf den ersten Blick hoch erscheinen, aber moderne PCs schaffen ohne Probleme einige Millionen Kombinationen pro Sekunde, z.B. bei dem Versuch, ein verschlüsseltes Dokument zu „knacken”. Auch wenn diese Zahl für das Ausspionieren von Passwörtern über das Web auf einige hundert oder höchstens einige tausend Kombinationen pro Sekunde herunterkorrigiert werden muss, ist das Prinzip klar: Irgendwann wird der Angreifer Erfolg haben, und das sehr wahrscheinlich schon lange bevor er die letzte mögliche Kombination erreicht hat.

Aufgabe eines starken Passworts ist es daher, den (Zeit- bzw. Hardware-) Aufwand, den der Angreifer treiben muss, um es zu entschlüsseln, so zu erhöhen, dass der Versuch für ihn unattraktiv wird.

Deshalb wird oft empfohlen, Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammenzusetzen. Nehmen wir unser sechsstelliges Passwort noch einmal zur Hand, verwenden aber diesmal zusätzlich Großbuchstaben, Ziffern und die Zeichen „.”, „-”, „!” und „@”. Je Zeichen haben wir jetzt nicht mehr 26, sondern 66 Möglichkeiten. Für das Passwort gibt es daher jetzt 66⁶ = 82.653.950.016 mögliche Kombinationen, über 267 mal mehr als vorher.

Doch der wesentliche Faktor bei der Erzeugung einer möglichst großen Zahl möglicher Kombinationen ist nicht die Verwendung eines umfangreicheren Zeichensatzes, sondern ganz simpel seine Länge. Zurück zu unserem Beispiel: Beschränken wir uns wieder auf 26 Kleinbuchstaben, erhöhen die Passwortlänge aber auf 8 Zeichen, wächst die Anzahl der zu durchsuchenden Kombinationen auf 26⁸ = 208.827.064.576

Ein Gefühl dafür, wie die Auswahl der möglichen Zeichen und vor allem die Länge des Passworts die Menge möglicher Kombinationen beeinflussen, können Sie sich hier verschaffen.

Möglichst lange Passwörter mit einem umfangreichen Zeichensatz sind also die wirksamste Methode, die Anstrengungen eines Angreifers ins Leere laufen zu lassen.

Das Dumme ist nur, dass sich kaum jemand Passworte wie „6F§<yXj#j-!98e7ahf6” merken kann, schon gar nicht die zwei Dutzend davon, die wir zur Nutzung all der mit einer Kennwortüberprüfung versehenen Dienste und Funktionalitäten brauchen. Starke Passwörter sind für den Benutzer eben meist schlechte, weil schlecht zu merkende Passwörter. Daher rührt der menschlich nachvollziehbare aber katastrophale Griff zur Haftnotiz oder das nicht minder tödliche Drei-Musketiere-Verfahren: Einer für Alle.

Wirklich gute Passwörter müssen also nicht nur möglichst lang sein und aus einem möglichst umfangreichen Zeichensatz gebildet werden, sie müssen für den Anwender auch noch leicht zu merken bzw. zu rekonstruieren sein.

Das ist keineswegs schwierig, wenn Sie ein paar der Strategien nutzen, die ich Ihnen jetzt vorstelle.

I. Das Leetspeak-Prinzip

Ersetzen Sie Buchstaben durch Ziffern, z.B. „o” durch die Ziffer „0”, das „l” durch die Ziffer „1”, das „s” durch die Ziffer „5” etc. Bestimmte Buchstaben können auch durch mehrere Ziffern ersetzt werden, z.B. das „m” durch „111”. Mehr über Leetspeak, seine Geschichte und seine Verwendung finden Sie hier.

II. Im ganzen Satz

Verwenden Sie Sätze, Zeilen aus Gedichten oder Liedtexten, die Sie zur Thematik des passwortgeschützten Angebots in Beziehung setzen können. Nummerieren Sie die Worte durch oder trennen Sie einzelne Silben mit dem „-”-Symbol. Für ein Reiseportal könnten Sie sich z.B. „1Jetzt2fahrn3wir4ue-bern5See” merken.

III. Polstern Sie Ihre Passwörter auf

Verwenden Sie Prä- und Postfixe für Ihre Passwörter, z.B. „<...2” und „5...>” oder „--MeinGeheimnis:”, um Ihre Passwörter zu verlängern, ohne die Merkbarkeit zu beeinträchtigen.

IV. Streng nach Vorschrift

Denken Sie sich ein Verfahren aus, nach dem Sie einen Teil des Passworts aus z.B. dem Namen des Internet-Angebots ermitteln, für das Sie es einsetzen wollen. „Einkauf-05020125ebay!sEsam” wäre zum Beispiel zusammengesetzt aus dem Präfix „Einkauf-” (um welche Art von Angebot handelt es sich), den Stellungen der Buchstaben des Firmennamens im Alphabet (e=05, b=02 etc.), dann dem Klartextnamen des Online-Angebots und schließlich dem Postfix „!sEsam”. Stolze 26 Zeichen mit jeweils einer von 64 Möglichkeiten, also insgesamt 64²⁶ mögliche Kombinationen für den Angreifer.

Was denken Sie darüber?

Wie gehen Sie mit Passwörtern um? Haben Sie ein Rezept, das es Ihnen erleichtert, Zugangsdaten im Gedächtnis zu behalten? Schicken Sie Ihre besten Passwort-Geschichten, Kommentare und Tipps an info@confidit.de

_{Mit der Einsendung erklären Sie sich damit einverstanden, dass Ihre Beiträge auf dieser Internetpräsenz veröffentlicht werden. Kürzungen und die Nichtveröffentlichung behalte ich mir vor.}