Der ehemalige Astronaut Randall Munroe hat mit seinem (sehr erfolgreichen und sehr zu empfehlenden) Webcomic xkcd den Nagel auf den Kopf getroffen: Früher verwendete man schwierig zu merkende Passwörter, die leicht zu knacken waren, heute kann man leicht zu merkende Passwörter verwenden, die schwieriger zu knacken sind. Eine Erleichterung!
Was macht also ein sicheres Passwort aus?
- Ein sicheres Passwort stellt keine Verbindung zu Ihrem Leben und Ihren Daten her (kein Geburtsdatum, Adresse, Kindernamen, Unternehmen, Haustiere etc.). Das Passwort lässt auch keine Rückschlüsse auf den Dienst zu, den Sie verwenden (etwa
amazon2019) und jedes Passwort wird nur für einen einzelnen Dienst verwendet (kein Recycling!). - Die Länge des Passworts ist stark mit seiner Sicherheit verbunden: Etwas ungenau kann man sagen, je länger, desto besser. Deshalb ist
andersrum-voellig-gegenueber-autobahnsicherer als47av&ga#. Alles unter 12 Zeichen gilt mittlerweile als unsicher. - Bei der Wörtermethode, die auch im Comic oben vorkommt, werden mittlerweile 5–6 Wörter empfohlen, die mit oder ohne Zusatzzeichen aneinandergereiht werden:
werden-aneinander-hintenrum-vorwaerts-baum-stube. Sicherer wird es noch mit zusätzlichen zufällig platzierten Symbolen. - Der Zufall generiert stärkere Passwörter als unsere Gehirne, deshalb gibt es Ideen wie die Würfelmethode, mithilfe derer man aus Wörterlisten willkürliche Passwörter generiert. Wörterlisten gibt es in vielen verschiedenen Sprachen. (Viele Passwortmanager haben diese Funktion eines „Generators“ bereits integriert.)
- Weil diese Wörterlisten aber öffentlich verfügbar sind, sind sie auch gutes Material für Passwort-Cracker. Idealerweise kommen also zumindest einige dieser Wörter weder in Wörterlisten noch Wörterbüchern vor, sondern sind Eigenkreationen oder Dialektwörter.
- Bei gleicher Zeichenanzahl ist eine unterschiedliche Art von Zeichen (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) tendenziell besser als reine Buchstaben.
Ein mögliches Beispiel? clogs-diesel-hurr4-fASEln-@@pulver-f#ische. Und ab just diesem Moment jedes andere Passwort, nur nicht dieses. (xkcd’s correct horse battery staple ist mittlerweile auch schon in Passwortlisten von Crackern zu finden.)
Was wäre noch besser als Passwörter? Eine Alternative sind Technologien, die nur zwischen zwei UserInnen verifizieren: digitale Signaturen. Hier sind aber größere technische Barrieren zu überwinden, was den Komfort einschränkt und die Durchsetzung der Technik erschwert. Eine bereits verwendete Ergänzung ist die Zwei-Faktor-Authentifizierung, die zusätzlich zum Passwort noch ein weiteres Gerät verlangt. Nicht zuletzt werden zunehmend auch biometrische Methoden (Fingerabdruck, Stimme, Iris) für die Authentifizierung eingesetzt – diese eröffnen eine ganz eigene Ebene der Diskussion um Sicherheit.
In diesem Sinne, happy hashing!
Vielen Dank an meinen branchennahen Gesprächspartner zu Sicherheitsthemen, der nicht namentlich genannt werden möchte.
Illustration: „Abstract“ von Ouch! icons8.com.
Danke für den guten Artikel, Sabine. Ich möchte jedoch noch kurz anmerken, dass es aus meiner Sicht wichtig ist, die Wörter zumindest mit wechselnden Sonderzeichen zu trennen. Weil intelligente Passwordcracker bruteforcen natürlich nicht gleich Zeichen für Zeichen, sondern versuchen zuerst genau mit solchen Wörtern aus Wörterbücher aller möglichen Sprachen, bevor sie dann wirklich auf die Zeichen-für-Zeichen Methode umschalten (oder auch nicht, weil zu lange).
Deshalb bin ich immer noch ein Freund von mind. 25-stelligen generierten (Pronounceable)Passwörtern, die man via Password-Manager mit copy/paste einsetzt und gar nicht versucht, sichs zu merken 🙂
Vielen Dank für deine Ergänzung, Willy! Da stimme ich dir sehr gerne zu (und hoffe auch nichts gegenteilig formuliert zu haben). Auch ich bin für den Einsatz eines Passwortmanagers und gegen das Merken. Selten muss man Passwörter dann aber doch händisch eintippen (z.B. das vom Passwortmanager), da hilft es dann vielleicht zu wissen, wie man sich auf der sicheren Seite wähnen kann. Eine Annäherung von Sicherheit und Bequemlichkeit, wie immer bei diesem Thema.