Home > Passwörter
Passwörter
Alle guten Verschlüsselungs-Verfahren gründen ihre gesamte Sicherheit auf den Schlüssel – die Sicherheit eines Verfahrens soll ganz und gar vom Schlüssel abhängen. Gute Programme müssen dies unbedingt berücksichtigen. Denn Programme, die Schlüssel bzw. Passwörter unerlaubterweise verändern (z. B. alle Buchstaben in Großbuchstaben umwandeln), schwächen die Sicherheit des ganzen Systems. So wird es Angreifern erleichtert, Brute-Force-Angriffe durchzuführen, da der Schlüsselraum durch die Manipulation verringert wurde. Solchen Programmen ist nicht zu trauen; meiden Sie sie. Wer weiß, was sonst noch alles "hinter Ihrem Rücken" geschieht ... Wenn Sie mit starker Verschlüsselung arbeiten, denken Sie bitte unbedingt daran, dass die Sicherheit zu einem sehr großen Teil von Ihrem Passwort abhängt. Leider ist diese Tatsache ein sehr, sehr großes Problem: Menschen neigen bedauerlicherweise dazu, kryptographisch außerordentlich schwache Passwörter zu wählen. Paradebeispiele dafür sind persönliche Daten wie Geburtsdatum, nahestehende Personen, Namen von Tieren, Kennzahlen jeglicher Art etc. pp. Mit solchen Passwörtern vereiteln Sie die Bemühungen des Krypto-Systems, Ihre Daten zu schützen. Angreifern, die sich über Ihre Daten hermachen, werden Sie damit eine große Freude bereiten. Sie werden sich über Sie kundig machen und dann in der Lage sein, die Verschlüsselung zu brechen. Auf diese Art und Weise wurden schon etliche verschlüsselte Informationen geknackt. Ein Mann namens Daniel Klein konnte durchschnittlich 40 Prozent aller Passwörter auf einem Computer mit einem ähnlichen Angriff knacken!
Zu den übelsten gehören, wie gesagt, persönliche Daten. Lassen Sie bloß, um Himmels willen, die Finger davon! Vermeiden Sie auch Wörter oder Phrasen aus Ihren Interessengebieten. Wenn Sie z. B. James Bond-Fan sind, würden Sie vielleicht zu bestimmten Personen, Namen, Titeln oder Zitaten, die diesen Bereich betreffen, tendieren. "Mein Name ist Bond, James Bond" ist schlecht. Oder "Octopussy", "Goldeneye" etc. Halten Sie sich davon fern. Etwas clevere Leute kommen vielleicht auf die Idee, diese Wörter an bestimmten Stellen zu verändern. Beispiel: "goldeneye99" oder "GoLdEnEy@" usw. Dies ist zwar ein guter Ansatz, die daraus resultierenden Passwörter sind aber immer noch zu schwach. Vermeiden Sie also derartige Passwörter, obschon sie sich aufgrund ihrer einfachen Merkbarkeit anbieten. Letztendlich ist es jedoch Ihre Entscheidung, wieviel Ihnen Ihre Daten wert sind.
Streng zufällige Passwörter sind freilich die besten Schlüssel, allerdings sind sie wirklich schwer einzuprägen, da sie mit nichts assoziierbar sind. Lassen wir diese Passwörter also erst mal außen vor und widmen uns geeigneteren Möglichkeiten, starke Passwörter zu erzeugen. Eine gute besteht darin, eine ganze Phrase statt eines einzelnen Wortes als Grundlage für eine Passwort zu verwenden. Ein leicht zu merkender (und unsinniger) Text lautet beispielsweise:
Ein Mann fuhr nach Japan, um dort seine Flagge zu hissen und den Eiffelturm zu besichtigen. Dann stand ihm der Sinn nach Quake3-Zocken.
Dieser Text ist lang und von mir ersonnen. Dieser ganze Text könnte uns bereits als Passwort, besser Passphrase, dienen – falls das Programm dies ermöglicht. Viele Programme verwenden nicht das Passwort bzw. die Passphrase selbst als Schlüssel, sondern den Ausgabewert einer Einweg-Hashfunktion. So kann ein mehrere Wörter umfassendes Passwort in einen Schlüssel gewünschter Länge konvertiert werden. Aus diesem Text könnten wir mit Hilfe von MD5 oder SHA einen 128 Bit bzw. 160 Bit langen Schlüssel erzeugen. Mag sein, dass Ihnen dieses Beispiel zu lang erscheint – ist es vermutlich auch -, deshalb hier noch ein kleiner Auszug aus "Applied Cryptography":My name is Ozymandias, king of kings. Look on my words, ye mighty, and dispair.
Ähnliche Zitate (Randbemerkung: Verwenden Sie lieber keine Zitate, sondern besser sinnentleerte Phrasen; stellen Sie sich vor, dieses Beispiel sei ein von mir ersonnener Spruch ...) sollten auch im Deutschen möglich sein. Dieser Text entspricht in etwa einem 85-Bit-Schlüssel (Standardenglisch besitzt [leider nur] 1,3 Bit an Information pro Zeichen; Entsprechendes im Deutschen ist mir nicht bekannt). Das ist für private Zwecke völlig ausreichend (wahrscheinlich ist die Sicherheit dieser Passphrase noch größer, da Interpunktion und Groß-/Kleinschreibung bei dieser Berechnung nicht berücksichtigt wurden).
Solch lange Texte sind glücklicherweise jedoch nicht immer erforderlich. Wir könnten diese Passphrase in ein kürzeres Passwort konvertieren, indem nur die Anfangsbuchstaben der Wörter sowie die Punkte und Kommata verwendet werden. Beim "My name is ..."-Beispiel sähe das Resultat dann wie folgt aus:
MniO,kok.lomw,ym,ad
Oder beim ersten Beispiel (länger und schwerer zu memorieren):
EMfnJ,udsFzhudEzb.dsidSnQ3-Z.
Hm, das reicht uns aber noch nicht. Wir könnten zunächst einmal die Groß-/Kleinschreibung ein wenig zu unseren Gunsten verändern (belassen wir es mal bei Schneiers Beispiel):
mNiO,kOk.LoMw,Ym,Ad
Das ist freilich nur ein Beispiel von sehr vielen. Sie können beliebig viel verändern (aber bitte reduzieren Sie die Sicherheit nicht!). Sieht aber schon recht nett aus, oder? Insgesamt haben wir jetzt schon 19 Zeichen zusammen. Aber damit wollen wir uns immer noch nicht begnügen; im Folgenden verrate ich Ihnen einen noch heimtückischeren Weg, Ihr Passwort sicherer zu machen.
Mit der Tastatur können wir um die 95 Zeichen darstellen, d. h. alle Buchstaben und Zahlen inklusive jede Menge Sonderzeichen wie !, §, &, {, ?, <, _ etc. pp. Lassen Sie uns dort ansetzen. Durch das Einfügen einiger zufälliger Zeichen sind wir in der Lage, unsere Passwörter um Einiges zu verbessern (welche Sonderzeichen Sie am besten benutzen sollten, kann Ihnen ein guter Zufallsgenerator, Würfel oder was auch immer sagen). Nun gut, fügen wir an ausgewählten Stellen ein paar zusätzliche Zeichen ein:
!mNiO,_kOk.%$LoMw,7³Ym,Ad*8
Auf diese Weise konnten wir die Länge des Passwortes auf 19 + 8 = 27 Zeichen erhöhen. Welchem Schlüssel entspräche nun dieses Passwort? Also gut. ~67% (15 Zeichen, bedenken Sie Punkte und Kommata!) des Passwortes bestehen aus Standardenglisch, d. h. hier müssen wir mit nur 1,3 Bit an Information rechnen. Die übrigen 44% (12 Zeichen), d. h. die Sonderzeichen, bieten gar ca. 6,6 Bit an Information! Summa summarum ergibt sich bei der Berechnung 19 · 1,3 + 8 · 6,6 = 98,7 Bit! So kommen wir auf durchschnittlich ~3,7 Bit pro Zeichen.
Ich denke, den Spruch können Sie innerhalb kürzester Zeit auswendig lernen. Welche Sonderzeichen Sie allerdings wo einsetzen, könnte schwieriger werden. Und denken Sie daran, dass Sie das Passwort wirklich auswendig kennen müssen!! In diesem Beispiel habe ich nach jedem Punkt/Komma ein bis zwei zusätzliche Zeichen hinzugefügt – so etwas kann Ihnen als Gedankenstütze dienen.
Wie Sie das Ganze am Ende gestalten, ist Ihre Sache. Lassen Sie sich etwas einfallen, lassen Sie Ihrer Phantasie freien Lauf! Scheuen Sie sich nicht, die Gegner mit Sonderzeichen zu zermürben (aber bitte in Maßen, sonst werden Sie der überwältigenden Masse an Zeichen nicht mehr Herr). Denken Sie sich Sätze aus, die keinen Sinn ergeben und viele Fremdwörter enthalten (keine Zitate!!), fügen Sie einige Sonderzeichen hinzu, verändern Sie hier, tauschen Sie dort usw. Aber bitte versprechen Sie mir hoch und heilig, niemals in Ihrem ganzen langen Leben auch nur einen Anflug von Personalien (Hundenamen sind prädestiniert für grauslig schlechte Passwörter) anzudeuten! Und wenn Ihnen Ihre Daten wirklich etwas bedeuten, dann sollten Sie sich jetzt mal so richtig 'reinknien! Und dann noch eine Sache ... Bitte sagen Sie dreimal laut und deutlich hintereinander folgenden Merksatz, der sich in Ihr Hirn einbrennen soll:
ICH WERDE MEIN PASSWORT NIEMALS AUFSCHREIBEN!
Das sollte genügen, fürs Erste. Übrigens: Wenn Sie wirklich Schwierigkeiten haben sollten, sich all Ihre Passwörter zu merken, schaffen Sie sich einen Passwort-Safe an. Mit solch einem Programm können Sie mit einem Master-Passwort all Ihre Kennwörter verwalten und (verschlüsselt, versteht sich) speichern. Counterpane bietet einen Passwort-Safe, der mit dem bewährten Blowfish-Algorithmus arbeitet, als Freeware-Version zum kostenlosen Download an. Viel Glück noch bei der erfolgreichen Passwortwahl!
Ach ja, bevor ich es vergesse: Eine sehr interessante Möglichkeit, sichere Passwörter zu erzeugen, können Sie bei Diceware kennen lernen. Mit Hilfe einer Wortliste und einem Würfel stellen Sie sich Passwörter zusammen, die Ihrem ganz individuellen Sicherheitsniveau entsprechen. Wenn Sie mit der englischen Sprache vertraut sind, wäre das sicherlich eine gute Alternative zu den bisher besprochenen Methoden.
Auch einen Besuch wert ist das Paper zum Bereich sichere Passwörter/PGP von Ralf Senderek.
Und Sie werden nicht umhinkommen, sich die PGP-Mantra-FAQ zu Gemüte zu führen ("Mantra" entstammt übrigens dem PGP-Jargon und ist gleichbedeutend mit "Passphrase").
 Zurück |
nach oben |
 |
 Übersicht |
Weiter  |
Letzte Änderung: 03.04.2002
© 2002 by Christian Thöing