Ein Passwort - so kompliziert? - ach du Schande...

Tagtäglich höre ich obenstehende Worte, wenn es darum geht, sein Passwort zu ändern oder aber einen neuen Account zu erstellen. Dabei ist die Anforderung, sich ein neues Passwort auszudenken, gar nicht so selten. Jede Website fordert sie dazu auf, viele Windowsdomänen haben die Richtlinie, das Passwort alle vier bis sechs Wochen zu ändern. Nun heißt es kreativ zu sein. Doch wie sieht die Kreativität vieler Nutzer aus? Und was kann man tun?

Wie kreativ sind Nutzer?

Schauen wir uns zunächst mal schlechte Passworte an. Dazu schiele ich zu splashdata.com, die hier die 10 schlechtesten Passworte 2014 ausgewertet haben. Tada - hier sind sie, die Top 10 schlechtesten Passworte 2014:

  • 123456
  • password
  • 12345
  • 12345678
  • querty (erste sechs Buchstaben der amerikanischen Tastatur. Im Deutschen wäre das qwertz)
  • 123456789
  • 1234
  • baseball
  • dragon
  • football

Es scheint also so, dass es nicht weit hergeholt ist mit der Kreativität, wenn es um Passworte geht.

Ist eines davon eines Ihrer Passworte? Ich hoffe nicht. Wenn doch: Ändern Sie es , am besten sofort und lesen Sie dann weiter.

Was sagt diese Liste? Sind diese Menschen doof? Warum werden so einfache Passworte verwendet? Ist das überhaupt ein Problem? Eins nach dem Anderen.

Warum sind diese (oder ähnliche) Passworte ein Problem? Ein kurzer Ausflug in die Theorie des Passwortknackens

Versetzen wir uns mal in einen böswilligen Hacker, der in der Hackerszene Cracker genannt wird. Egal, ob er seine Ex ausspionieren will (deshalb ist es ratsam, nach einer Trennung sämtliche Passworte zu ändern), eine Mailadresse für SPAM-Versand ergattern will, oder ihren Paypalaccount plündern oder Firmengeheimnisse stehlen will. Er braucht eins, um es einfach zu haben: Ihr Passwort. Mit diesem Ziel klar vor Augen stehen einem Cracker viele verschiedene Möglichkeiten offen. Da er nicht selbst stundenlang verschiedene Passworte ausprobieren will, wird er also versuchen, die Datei, in der das Passwort gespeichert wird, zu ergattern. Früher war damit seine Arbeit getan, denn das Passwort war dort im Klartext abgelegt.

Heute werden diese Dateien verschlüsselt oder es wird ein Hash-Wert des Passworts gesichert. (Deshalb kann ein Administrator einem Nutzer kein Passwort mehr mitteilen, er kennt es selbst nicht). Ein Hash-Wert ist das Ergebnis eines mathematischen Einbahnstraßenprozesses, in dem aus dem Passwort ein Kurzergebnis berechnet wird und abgespeichert wird. Dies kann man sich in etwa so vorstellen wie eine Quersumme einer Zahl: 12345 hätte also die Quersumme 1 + 2 + 3 + 4 + 5 = 15 Dieses Ergebnis wird also gespeichert. Sie wissen nicht, wie die ursprüngliche Zahl lautete, es könnte z.B. auch 87 sein. So in etwa - nur wesentlich komplizierter - funktioniert ein Hash-Wert. Gibt man nun ein Passwort ein, vergleicht der PC den Hashwert des eingegebenen Passworts mit dem gespeicherten. Also kann ein Cracker nicht sehen, welche Passworte gespeichert sind. Er muss sie knacken. Dazu gibt es zwei Möglichkeiten: Wörterbuch-Angriffe und Brute-Force-Angriffe.

Die erste Methode ist simpel: Der Cracker holt sich Wörterbuchdateien (z.B. Onlinelexica, den Duden, auch Listen bisher geknackter Passworte) und probiert diese aus. Raffinierte Cracker probieren danach noch bis x Zahlenkombinationen aus. Ein Computer macht dies mit atemberaubender Geschwindigkeit.

Hat dies keinen Erfolg, geben die meisten Cracker auf und suchen sich neue Ziele. Ist unser Cracker jedoch hartnäckig, so greift er auf rohe Gewalt (in engl. brute force) zurück. Er lässt den Computer einfach alle möglichen Kombinationen durchlaufen, die es gibt. Denn die Menge der Passworte ist endlich, es kann nur ein Mix aus Zahlen, Großbuchstaben, Kleinbuchstaben und Sonderzeichen sein. Und je schwerer ein Passwort ist, desto schwerer machen wir es einem Hacker und hoffen, dass er die Lust am Passwortknacken verliert. Mit nur Kleinbuchstaben und 2 Worten ist dies schnell erledigt: es gibt lediglich 26*26 = 676 Möglichkeiten eines Passworts. Nimmt man mehr Buchstaben, sagen wir 4, so sind es schon 26^4=456976 Möglichkeiten. Sie sehen das Prinzip: Je länger und je ausgewiefter ein Passwort, desto schwerer hat es der Cracker und desto eher verliert er die Lust dazu, weiterzumachen.

Wie sieht also ein typisches, sicheres Passwort aus? Dieses ist eins:  j3X*y={qy5eBrat Dieses wurde mit einem Passwortgenerator erstellt und erreicht mit einem Passwortprüfer ganze 34 Punkte - ist also mittelstark und damit sicher. Doch da ist das Problem: Können Sie sich das merken? Ich nicht. Zudem weiß ich jetzt schon, dass ich beim Abtippen des Passworts mindestens fünfmal von Vorn beginnen muss, da ich mich vertippe. Also werden solche Passworte bei alltäglichem Gebrauch schnell lästig.

Sind also die Menschen doof, die ein Passwort aus der Liste verwenden?

Sicher nicht. Das Problem ist, dass man meist unvorbereitet vor dem Problem steht, sofort ein neues Passwort einzugeben. Und was fällt einem spontan ein? Tastaturkombinationen, Zahlenkombinationen, Namen von Hobbies, FIlmen, Familienangehörigen (z.B. der Frau, Geliebten, Tochter, Mutter, usw.), Hobbies, Haustiere, usw. Doch wie wir gerade gehört haben, sind all diese Worte schon in den Listen unserer Cracker. Leider. Also können Sie all diese Passworte vergessen: Unser Cracker kennt sie schon. Vergessen Sie also all diese - zugegeben leicht zu merkenden - Ideen, wenn Sie ein Passwort erstellen wollen. Wie wir gesehen haben, helfen auch Zahlen dahinter nichts. Also ist das z.B. Passwort Mama1 genauso schlecht wie Mama.

Doch was tun? Meine Art, der Passwortflut Herr zu werden.

Schritt 1: Regel für das Erstellen sicherer Passworte

Wenn etwas schwierig ist, muss man es sich einfacher machen. Also eine Regel nutzen, die ein kryptisches Passwort erstellt, das aber bei Kenntnis der Regel immer noch gut zu merken ist. Und so eine Regel gibt es:

Denken Sie sich einen Satzt aus, den sie sich gut merken können. Hat Ihre Frau Ihnen ein atemberaubendes Gedicht geschrieben? Prima. Lernen Sie es auswendig. So erfreuen Sie nicht nur Ihre Frau, sondern haben die Grundlage für ein sicheres Passwort.

Oder merken Sie sich einen Satz aus ihrem Lieblingsfilm. Oder aus ihrem Lieblingsroman. Wenn dieser nicht allzu populär ist, umso besser.

Nun notieren Sie sich die Anfangsbuchstaben jedes Wortes, wenn ein Zahlwort erscheint, notieren Sie die Zahl und vergessen Sie nicht die Satzzeichen. Und Voilà, sie haben ein sicheres Passwort.

Kleines Beispiel gefällig: Nehmen wir Das Hochzeitslied von Johann Wolfgang von Göthe. Der Anfang wäre langweilig, also nehme ich den Beginn der dritten Strophe:

Dein ganzes Glück nun zu vollenden,
trittst du ins Heiligtum herein;
die Flamme in des Amors Händen
wird wie ein Nachtlicht still und klein.

Das Passwort lautet also: DgGnzv,tdiHh;dFidAHww1Nsuk. Prüfen wir das also wieder mit dem Passwortprüfer: 40 Punkte, stark. Es ist sogar besser als der unverständliche Kauderwelsch von oben.

Wie sie sehen, sind sichere Passworte gar nicht so schwer. Doch wird man von der Flut an Passwortanfragen regelrecht erschlagen.

Schritt 2: Passwortmanager verwenden

Um dann letztlich der Flut an Anfragen Herr zu werden, nutze ich ein kleines Tool:

Lastpass - ein Passwortmanager, der verspricht, dass man sich nur noch ein Passwort merken muss. Und so ist es. Lastpass verwaltet all ihre Passworte. Sie installieren das Tool auf ihrem Rechner nach einer Registrierung auf der Site und erstellen ein Masterpasswort nach obiger Regel. Wenn Sie nun ein Passwort brauchen, generiert LastPass kryptische Passworte wie das obige und fügt diese in Ihre Seite ein, die sie dazu auffordert. Dazu installiert es Plugins auf dem Rechner. Es gibt sogar Apps für alle gängigen Smartphone-Betriebssysteme, so dass ihr Handy auch mit erfasst wird und Sie Passworte nachsehen können. Diese kosten allerdings extra.

Der Vorteil liegt auf der Hand: Nach Eingabe des Masterpasswords verwaltet LastPass alle Passworte für Logins, die sie benötigen. Es ermöglicht sogar eine Zwei-Faktor-Authentifizierung mit z.B. Yubikey-Systemen der Firma Yubico. Damit stecken Sie ihren Security-Key ein, drücken ein Knöpfchen und nur dann können Sie das Passwort eingeben. Somit kann ohne ihren Key niemand an ihren Account.

 

Ich hoffe, Sie haben Gefallen an meinem ersten Blogeintrag gefunden. Falls dem so ist, würde ich mich über ein "Daumen hoch" freuen, ebenso über ein Sharen und liken auf dem von Ihnen bevorzugen Social Media.

Bis zum nächsten Mal,

Ihr Michael Friedla.