Was macht ein sicheres Passwort aus?2 min Lesezeit

Der ehemalige Astronaut Randall Munroe hat mit seinem (sehr erfolgreichen und sehr zu empfehlenden) Webcomic xkcd den Nagel auf den Kopf getroffen: Früher verwendete man schwierig zu merkende Passwörter, die leicht zu knacken waren, heute kann man leicht zu merkende Passwörter verwenden, die schwieriger zu knacken sind. Eine Erleichterung!

Rundall Munroe, XKCD, Password Strength
(c) XKCD

Was macht also ein sicheres Passwort aus?

  • Ein sicheres Passwort stellt keine Verbindung zu Ihrem Leben und Ihren Daten her (kein Geburtsdatum, Adresse, Kindernamen, Unternehmen, Haustiere etc.). Das Passwort lässt auch keine Rückschlüsse auf den Dienst zu, den Sie verwenden (etwa amazon2019) und jedes Passwort wird nur für einen einzelnen Dienst verwendet (kein Recycling!).
  • Die Länge des Passworts ist stark mit seiner Sicherheit verbunden: Etwas ungenau kann man sagen, je länger, desto besser. Deshalb ist andersrum-voellig-gegenueber-autobahn sicherer als 47av&ga#. Alles unter 12 Zeichen gilt mittlerweile als unsicher.
  • Bei der Wörtermethode, die auch im Comic oben vorkommt, werden mittlerweile 5–6 Wörter empfohlen, die mit oder ohne Zusatzzeichen aneinandergereiht werden: werden-aneinander-hintenrum-vorwaerts-baum-stube. Sicherer wird es noch mit zusätzlichen zufällig platzierten Symbolen.
  • Der Zufall generiert stärkere Passwörter als unsere Gehirne, deshalb gibt es Ideen wie die Würfelmethode, mithilfe derer man aus Wörterlisten willkürliche Passwörter generiert. Wörterlisten gibt es in vielen verschiedenen Sprachen. (Viele Passwortmanager haben diese Funktion eines „Generators“ bereits integriert.)
  • Weil diese Wörterlisten aber öffentlich verfügbar sind, sind sie auch gutes Material für Passwort-Cracker. Idealerweise kommen also zumindest einige dieser Wörter weder in Wörterlisten noch Wörterbüchern vor, sondern sind Eigenkreationen oder Dialektwörter.
  • Bei gleicher Zeichenanzahl ist eine unterschiedliche Art von Zeichen (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) tendenziell besser als reine Buchstaben.

Ein mögliches Beispiel? clogs-diesel-hurr4-fASEln-@@pulver-f#ische. Und ab just diesem Moment jedes andere Passwort, nur nicht dieses. (xkcd’s correct horse battery staple ist mittlerweile auch schon in Passwortlisten von Crackern zu finden.)

Was wäre noch besser als Passwörter? Eine Alternative sind Technologien, die nur zwischen zwei UserInnen verifizieren: digitale Signaturen. Hier sind aber größere technische Barrieren zu überwinden, was den Komfort einschränkt und die Durchsetzung der Technik erschwert. Eine bereits verwendete Ergänzung ist die Zwei-Faktor-Authentifizierung, die zusätzlich zum Passwort noch ein weiteres Gerät verlangt. Nicht zuletzt werden zunehmend auch biometrische Methoden (Fingerabdruck, Stimme, Iris) für die Authentifizierung eingesetzt – diese eröffnen eine ganz eigene Ebene der Diskussion um Sicherheit.

Grundsätzlich ist es aber auch immer eine gute Idee, einen Passwortmanager zu verwenden. Mehr dazu im Beitrag „Sesam, öffne dich.“

In diesem Sinne, happy hashing!

Vielen Dank an meinen branchennahen Gesprächspartner zu Sicherheitsthemen, der nicht namentlich genannt werden möchte.

Illustration: „Abstract“ von Ouch! icons8.com.

2 thoughts on “Was macht ein sicheres Passwort aus?2 min Lesezeit

  1. Danke für den guten Artikel, Sabine. Ich möchte jedoch noch kurz anmerken, dass es aus meiner Sicht wichtig ist, die Wörter zumindest mit wechselnden Sonderzeichen zu trennen. Weil intelligente Passwordcracker bruteforcen natürlich nicht gleich Zeichen für Zeichen, sondern versuchen zuerst genau mit solchen Wörtern aus Wörterbücher aller möglichen Sprachen, bevor sie dann wirklich auf die Zeichen-für-Zeichen Methode umschalten (oder auch nicht, weil zu lange).
    Deshalb bin ich immer noch ein Freund von mind. 25-stelligen generierten (Pronounceable)Passwörtern, die man via Password-Manager mit copy/paste einsetzt und gar nicht versucht, sichs zu merken 🙂

    1. Vielen Dank für deine Ergänzung, Willy! Da stimme ich dir sehr gerne zu (und hoffe auch nichts gegenteilig formuliert zu haben). Auch ich bin für den Einsatz eines Passwortmanagers und gegen das Merken. Selten muss man Passwörter dann aber doch händisch eintippen (z.B. das vom Passwortmanager), da hilft es dann vielleicht zu wissen, wie man sich auf der sicheren Seite wähnen kann. Eine Annäherung von Sicherheit und Bequemlichkeit, wie immer bei diesem Thema.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.