Veröffentlicht am 18.3.2019
„Risiko Mensch” bei der Passwortwahl
Sichere Passwörter sollten aus Sonderzeichen, Zahlen und Groß- und Kleinbuchstaben bestehen.
Dadurch wird bei gleicher Passwortlänge die Varianz vergrößert.
Zudem sollte eine Mindestlänge von 8 Zeichen eingehalten werden, weil zu kurze Passwörter „erraten” werden können (Brute-Force-Methode).
Diese Empfehlungen setzen eine Gleichverteilung der möglichen Passwörter (Schlüssel) voraus.
Jeder theoretisch mögliche Schlüssel wird mit gleicher Wahrscheinlichkeit als Passwort genutzt.
In der Praxis wählen Menschen aber bevorzugt Passwörter, die man sich „leicht merken” kann.
Aus diesem Grund kommt es innerhalb des Schlüsselraums zu unterschiedlichen Eintrittswahrscheinlichkeiten der einzelnen Schlüssel (Passwörter).
Beispielsweise wird häufig empfohlen, sich einen Satz zu merken und aus den Anfangsbuchstaben der einzelnen Wörter das Passwort zusammenzusetzen.
„Tipps für ein gutes Passwort” (BSI)
Dabei entstehen oft Passwörter, die „sehr sicher” wirken, tatsächlich aber relativ leicht zu cracken sind.
Das liegt u.a. daran, dass die Buchstabenhäufigkeit in Texten nicht gleichverteilt ist. Beispielsweise werden mit nur 5 Buchstaben bereits 46,7% aller Anfangsbuchstaben innerhalb von Fließtexten abgedeckt:
Buchstabenhäufigkeit (Wikipedia)
Um real existierende Wörter zu verschleiern, kann zusätzlich eine „individuelle Transformation” erfolgen.
Beispielsweise könnte aus „Spielplatz” „8p!el6latz” werden (S=>8, i=>!, p=>6), denkbar sind natürlich deutlich bessere Transformationsmuster.
Aber auch Sonderzeichen kommen mit unterschiedlicher Häufigkeit in Passwörtern vor, beispielsweise scheinen „!” und „+” bei der Passworterstellung beliebter zu sein als „Π” und „Ñ”.
Cracker „lernen” zunehmend, wie Menschen Passwörter kreieren und welche Passwörter bevorzugt werden. Dafür können riesige Passwortsammlungen ausgewertet werden.
„Neue Passwort-Leaks: Insgesamt 2,2 Milliarden Accounts betroffen” (Heise-Online)
Auf Basis dieser Erkenntnisse wird empfohlen, möglichst lange Passphrasen (z.B. komplette Sätze) als Passwort zu verwenden.
Diese Passphrasen sollten möglichst individuell sein und weder in Wörterbüchern vorkommen, noch allgemein bekannt sein (keine Musiktexte, keine Filmtitel usw.).
„Viele der herkömmlichen Sicherheitsregeln bringen nichts” (Heise-Online)
Aber auch diese Empfehlung kann bezüglich des Sicherheitsniveaus kritisch hinterfragt werden.
Kritikpunkt Sicherheitsniveau
Um das Sicherheitsniveau eines von Menschen „kreierten” Passworts beurteilen zu können, müsste die Wahrscheinlichkeit bekannt sein, mit der andere Menschen das selbe oder ähnliche Passwörter wählen.
Insofern sind Sicherheitsniveau und benötigte Schlüssellänge nicht quantifizierbar.
Von Menschen „kreierte” Passwörter überprüfen
Wurde das eigene Passwort bereits zufällig von einem anderen Menschen genutzt, könnte es im Rahmen eines Datenlecks schon veröffentlicht worden sein.
Auf der Website von Troy Hunt kann überprüft werden, ob Passwörter in einer der öffentlich bekannten Passwortsammlungen geführt werden.
Dabei kann aber nur der „status quo” überprüft werden, mit jedem neuen Datenleck können sich die Ergebnisse ändern.
Hinweise auf das Sicherheitsniveau eines Passworts können davon nicht abgeleitet werden.
Beispielsweise ist das Passwort „Hallo!12345” erfasst, während das Passwort „Hallo!123456” (noch) nicht erfasst ist. Trotzdem ist „Hallo!123456” kein sicheres Passwort!
Empfehlung für die Passwortwahl:
Aus diesen Gründen empfehlen wir, Passwörter nicht selbst zu „kreieren”, sondern ein sicheres Verfahren für die Generierung von Passwörtern zu nutzen. Dadurch wird das Problem „Risiko Mensch” bei der Passwortwahl ausgeschlossen.