Im Beitrag geht es um Passphrases, die extrem sicher, leicht zu merken – und manchmal sogar poetisch sind.
Passwörter regeln den Zugang zu unserem Online-Leben. Wer sie knackt, kann mehr über uns in Erfahrung bringen, als wenn er in unsere Privaträume einbrechen würde.
Viele schützen ihre digitalen Wohnungstüren im Internet daher mit starken Passwörtern, die beispielsweise so aussehen:
Ev2s%pr+4M
Großbuchstaben! Kleinbuchstaben! Sonderzeichen! Ziffern! Mehr als 8 Zeichen! Steht in keinem Wörterbuch! Da all diese Regeln eingehalten werden, ist das Passwort in der Tat relativ gut (die ungefähre Stärke von Passwörtern kann man auf zahlreichen Webseiten testen; die Ergebnisse weichen jedoch oft stark voneinander ab, je nachdem, nach welchem Verfahren die Berechnung jeweils abläuft). Mit der richtigen Mnemotechnik kann man es sich vielleicht sogar einprägen. Aber insgesamt ist es doch sehr mühsam, mit solchen Zeichenkombinationen zu arbeiten.
Deutlich verbreiteter dürften dagegen Passwörter wie 123456 oder p4ssw0rt sein. Diese sind schlecht (in diesem Fall sogar sehr schlecht), aber leicht zu merken. Muss man sich also zwischen Passwörtern entscheiden, die entweder sicher oder leicht zu merken sind?
In einem Cartoon wird erklärt, warum selbst der Zeichensalat, der oft für Passwörter empfohlen wird, nicht unbedingt sinnvoll, aber garantiert schwer zu memorisieren ist (lies hier weiter; etwas ausführlicher werden die mathematischen Grundlagen starker Passwörter hier erklärt). Vielmehr sind zwei Aspekte entscheidend, nämlich dass…
- … das Passwort ausreichend lang ist – deswegen sollte man nicht Passwörter, sondern Passphrases verwenden.
- … die Passphrase rein nach dem Zufallsprinzip erzeugt wird.
Wenn man die Wörter der Passphrase streng nach dem Zufallsprinzip aneinanderreiht, ist es sogar unproblematisch, wenn sie in gewöhnlichen Wörterbüchern zu finden sind. Eben diesen Umstand macht sich die so genannte Diceware-Methode zunutze (eine detaillierte Beschreibung in Englisch ist hier zu finden).
Dabei wird von der Tatsache ausgegangen, dass Menschen nicht in der Lage sind, bewusst wirklich zufällige Muster zu erzeugen. Genau dies wäre eine mögliche Schwachstelle von Passphrases, die man sich selbst überlegt (hier ein interessantes Video der Khan-Academy, in dem kurz und anschaulich erklärt wird, warum wir beim Erzeugen von zufälligen Mustern schlecht abschneiden). Daher wird empfohlen, ein wirklich nach dem Zufallsprinzip funktionierendes Spielzeug zu verwenden: einen gewöhnlichen sechsseitigen Würfel.
Mit einem solchen Würfel erwürfelt man nun 5 Ziffern und notiert sie. Diesen Vorgang wiederholt man mehrfach, je nachdem, wie stark die gewünschte Passphrase sein soll. Mit 4-5 x 5 Ziffern erhält man auf diese Weise bereits die Grundlage für eine starke, mit 6-7 x 5 Ziffern für eine sehr starke Passphrase. Ich habe das für diesen Beitrag ausprobiert und die Ziffernfolge 41323 13255 23242 54631 erzeugt.
Das Problem ist damit aber noch nicht gelöst – schließlich ist eine 20 bis 30-stellige Ziffernfolge ebenso schwer zu memorisieren wie herkömmlicher Zeichensalat nach dem Muster Ev2s%pr+4M.
Aus diesem Grund werden die Abfolgen von Ziffern nun mit einer speziellen Methode in Abfolgen von Wörtern übersetzt. Hierfür werden Listen benutzt, auf denen mehrere Tausend Wörter einer natürlichen Sprache in alphabetischer Ordnung und von 11111 bis 66666 durchnummeriert zu finden sind. Listen für Deutsch und andere Sprachen sind hier verlinkt.
In der Liste für die gewünschte Sprache sucht man nun nacheinander die Abfolgen aus 5 Ziffern, die man zuvor erwürfelt hat. Die oben genannten Ziffernreihen 41323 13255 23242 54631 beispielsweise werden so zur Passphrase leon angina ernten servo. Man kann sie leicht memorisieren, indem man sich eine kleine Geschichte ausdenkt. Falls die Passphrase Groß- und Kleinschreibung und/oder Sonderzeichen und/oder Ziffern enthalten muss, kann man sie nach einer selbst gewählten, ebenfalls leicht einprägsamen Regel verändern, z. B. „schreibe die letzten beiden Buchstaben groß, ergänze das Prozentzeichen und die Hausnummer der Wohnung deiner Kindheit“. In meinem Fall würde neue Passphrase dann leonanginaerntenserVO%10 lauten.
3-4 solcher Passphrases könnte man sich mühelos einprägen. Allerdings nutzen wir in der Regel dutzende Online-Dienste, und Sicherheitsexperten raten bekanntlich dringend dazu, für jeden ein anderes Passwort bzw. eine andere Passphrase zu verwenden. Andernfalls hätten Hacker, denen es gelingt, das Passwort auch nur eines dieser Dienste zu entwenden, mit einem Schlag Zugriff auf verschiedene Konten der jeweiligen Nutzer.
Muss man sich also in Zukunft Dutzende Passphrases merken? Auch wenn diese den Charme dadaistischer Poesie haben können…
leon-angina-ernten-servo-mist-huette
tollen-taiwan-streik-kochte-nobel-winkt
klima-eisern-arena-mol-unfall-kessel
prallt-bse-wegen-sabbat-getobt-madrid
… wäre es dennoch sehr mühsam, sich allzu viele von ihnen einzuprägen. Hier können spezielle Programm helfen, die es ermöglichen, entweder solche Passphrases in beliebiger Zahl oder auch klassische Passwörter wie
truejyej$Vav+filib7hutu2ctEt2Grefsho
zu benutzen, ohne dass man sich ein einziges von ihnen selbst merken muss. Ein solches Programm wird im nächsten Beitrag vorgestellt.
Update 13.3.2016: Wie man mit wenigen Mausklicks Passphrases nach der Diceware-Methode erzeugen kann, kannst Du hier nachlesen.
Update 9.8.2019: Beispiel-Passphrases von 5 auf 6 Wörter Länge geändert, Bindestriche ergänzt; Hintergrund: Wie stark die Entropie durch zusätzliche Wörter in einer Passphrase zunimmt, ist komplett unintuitiv. Glenn Rempe (Autor des oben genannten Diceware-Generators) gibt für jede Passphrase die Entropie und auch die geschätzte Zeit für einen erfolgreichen Brute-Force-Angriff an (auf Grundlage der Empfehlungen von Snowden: Angriff mit 10 hoch 12 keys/Sekunde):
- 5 Wörter: 0,45 Jahre (Entropie ca. 64 bit)
- 6 Wörter: 3505 Jahre (Entropie ca. 77 bit)
- 7 Wörter: über 27 Millionen Jahre! (Entropie ca. 90 bit)
Die alles entscheidende Grenze verläuft also aktuell zwischen 5 und 6 Wörtern!
Wie gehst Du mit dem Passwort-Problem um? Hinterlass einen Kommentar!
Bildnachweis: Lucky Dice by Alexas_Fotos is licensed as CC0 Public Domain.
Hat Dir der Beitrag gefallen? Empfiehl ihn weiter! Einfach einen der unten eingeblendeten Buttons anklicken. Danke!
Dieser Text ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.
Das erinnert mich eher an die Satire vom längst verstorbenen Ephraim Kishon, “Kein Weg nach Oslogrolls”. Er möge in Frieden ruhen.
Passwortmanager hin oder her: Das ist solange ganz nett, wenn man nur auf einem einzigen System mit einem einzigen Browser unterwegs ist. Spätestens wenn man Mobile, Notebook und Smartphone nutzt, wird der Sync und Einrichtung desselben eher was für Spezialisten und somit nicht mehr praktikabel.
Was mich bei diesen ganzen Tips (nicht nur hier) weiterhin wundert, ist das Ignorieren von miteinander verbundenen Diensten – wenn ich Google Passwörter ändere, müssen z.B. auch etliche SMTP und IMAP Logins angepasst werden. Nur um mal *ein* mal Beispiel aus der Praxis zu bringen, und nicht gleich IFTTT hervorzuholen.
Ich sehe das Passwortmanagement by Notizbuch weiterhin auf dem Vormarsch, solange die Nerds in dieser Hinsicht Nabelschau betreiben, statt mal was Praktikables zu entwickeln. Mittlerweile bin ich bei den Nicht-Computerfreak-Kunden in erster Linie mit der Suche und Wiederherstellung von Konten und Passwörtern beschäftigt, bevor ich meine eigentliche Arbeit erledigen kann. Das spricht Bände.
Danke für den Hinweis, der Text von Kishon ist wirklich großartig, habe sehr gelacht!
Über die Synchronisation über verschiedene Geräte und evtl. Plattformen habe ich mir natürlich auch Gedanken gemacht (auch schon auf diesen Seiten). Ich synchronisiere die KeePass-Datenbank mit Seafile (natürlich in einer verschlüsselten Bibliothek) zwischen mehreren Rechnern (Windows, Ubuntu Linux und Mac), das funktioniert tadellos. Wer nur unter Windows arbeitet, kann auch die mobile Version von KeePass verwenden und alles komplett auf einem USB-Stick haben. Ja, das Passwort muss auch im Mailclient (IMAP/SMTP) geändert werden, was aber ebenfalls aus KeePass heraus über kopieren – einfügen ruck, zuck geht. Wer viel auf seinem Smartphone oder Tablet erledigt (und sich daher auf diesen Geräten oft in Konten einloggen muss), für den ist KeePass aber möglicherweise nicht optimal. Es gibt zwar eine mobile Version, aber wenn jemand seine Datenbank nicht auf einem Android-Gerät speichern möchte, kann ich das verstehen. Das Problem besteht aber auch für andere Passwort-Manager.
Die Passwortverwaltung mit dem Notizbuch, die Du ansprichst, ist zwar wunderbar “low-tech”, hat aber mehrere offensichtliche Nachteile: 1. Entweder man lässt das Notizbuch zu Hause, dann hat man aber nur dort Zugriff auf die Passwörter; oder man hat es immer bei sich, dann kann es aber verloren gehen oder geklaut werden. 2. Notizbücher können keine starken Passwörter erzeugen. 3. Man muss die Namen und Passwörter immer manuell eingeben, copy-paste oder automatisches Ausfüllen wie bei KeePass stehen nicht zur Verfügung.
Du schreibst, dass “die Nerds in dieser Hinsicht Nabelschau betreiben, statt mal was Praktikables zu entwickeln”. Hm, ich weiß nicht, ich habe eigentlich den Eindruck, dass das Gegenteil der Fall ist, nämlich dass sich die Entwickler um größtmögliche Usability bemühen (u.a. weil sie genau wissen, dass nur solche Programme sich durchsetzen können).
Also, mein Fazit wäre: Den für die individuellen Bedürfnisse besten Passwortmanager suchen; Master-Passphrase guuut einprägen und (s. Kishon) an einem sicheren Ort notieren; einprägen, an welchem Ort man die Passphrase notiert hat 😉