„Risi­ko Mensch” bei der Pass­wort­wahl

Siche­re Pass­wör­ter soll­ten aus Son­der­zei­chen, Zah­len und Groß- und Klein­buch­sta­ben bestehen.

Dadurch wird bei glei­cher Pass­wort­län­ge die Vari­anz ver­grö­ßert.

Zudem soll­te eine Min­dest­län­ge von 8 Zei­chen ein­ge­hal­ten wer­den, weil zu kur­ze Pass­wör­ter leicht „erra­ten” wer­den kön­nen (Bru­te-For­ce-Metho­de).

Die­se Emp­feh­lun­gen set­zen eine Gleich­ver­tei­lung der mög­li­chen Pass­wör­ter (Schlüs­sel) vor­aus.

Jeder theo­re­tisch mög­li­che Schlüs­sel wird mit glei­cher Wahr­schein­lich­keit als Pass­wort genutzt.

In der Pra­xis wäh­len Men­schen aber bevor­zugt Pass­wör­ter, die man sich „leicht mer­ken” kann.

Aus die­sem Grund kommt es inner­halb des Schlüs­sel­raums zu unter­schied­li­chen Ein­tritts­wahr­schein­lich­kei­ten der ein­zel­nen Schlüs­sel (Pass­wör­ter).

Bei­spiels­wei­se wird häu­fig emp­foh­len, sich einen Satz zu mer­ken und aus den Anfangs­buch­sta­ben der ein­zel­nen Wör­ter das Pass­wort zusam­men­zu­set­zen.

„Tipps für ein gutes Pass­wort” (BSI)

Dabei ent­ste­hen oft Pass­wör­ter, die „sehr sicher” wir­ken, tat­säch­lich aber rela­tiv leicht zu cra­cken sind.

Das liegt u.a. dar­an, dass die Buch­sta­ben­häu­fig­keit in Tex­ten nicht gleich­ver­teilt ist. Bei­spiels­wei­se wer­den mit nur 5 Buch­sta­ben bereits 46,7% aller Anfangs­buch­sta­ben inner­halb von Fließ­tex­ten abge­deckt:

Buch­sta­ben­häu­fig­keit (Wiki­pe­dia)

Um real exis­tie­ren­de Wör­ter zu ver­schlei­ern, kann zusätz­lich eine „indi­vi­du­el­le Trans­for­ma­ti­on” erfol­gen.

Bei­spiels­wei­se könn­te aus „Spiel­platz” „8p!el6latz” wer­den (S=>8, i=>!, p=>6), denk­bar sind natür­lich deut­lich bes­se­re Trans­for­ma­ti­ons­mus­ter.

Aber auch Son­der­zei­chen kom­men mit unter­schied­li­cher Häu­fig­keit in Pass­wör­tern vor, bei­spiels­wei­se schei­nen „!” und „+” bei der Pass­wor­t­er­stel­lung belieb­ter zu sein als „Π” und „Ñ”.

Cra­cker „ler­nen” zuneh­mend, wie Men­schen Pass­wör­ter kre­ieren und wel­che Pass­wör­ter bevor­zugt wer­den. Dafür kön­nen rie­si­ge Pass­wort­samm­lun­gen aus­ge­wer­tet wer­den.

„Neue Pass­wort-Leaks: Ins­ge­samt 2,2 Mil­li­ar­den Accounts betrof­fen” (Hei­se-Online)

Auf Basis die­ser Erkennt­nis­se wird mitt­ler­wei­le emp­foh­len, mög­lichst lan­ge Pass­phra­sen (z.B. kom­plet­te Sät­ze) als Pass­wort zu ver­wen­den.

Die­se Pass­phra­sen soll­ten mög­lichst indi­vi­du­ell sein und weder in Wör­ter­bü­chern vor­kom­men, noch all­ge­mein bekannt sein (kei­ne Musik­tex­te, kei­ne Film­ti­tel usw.).

„Vie­le der her­kömm­li­chen Sicher­heits­re­geln brin­gen nichts” (Hei­se-Online)

Aber auch die­se Emp­feh­lung soll­te kri­tisch hin­ter­fragt wer­den.

Kri­tik­punkt Sicher­heits­ni­veau

Um das Sicher­heits­ni­veau eines von Men­schen „kre­ierten” Pass­worts beur­tei­len zu kön­nen, müss­te die Wahr­schein­lich­keit bekannt sein, mit der ande­re Men­schen zu den sel­ben oder ähn­li­chen Ergeb­nis­sen kom­men könn­ten.

Inso­fern sind Sicher­heits­ni­veau und benö­tig­te Schlüs­sel­län­ge nicht quan­ti­fi­zier­bar.

Aus die­sem Grund soll­te ein siche­res Ver­fah­ren für die Gene­rie­rung von Pass­wör­tern genutzt wer­den, Pass­wör­ter soll­ten nicht von Men­schen „kre­iert” wer­den.

Pass­wör­ter über­prü­fen

Selbst­ver­ständ­lich soll­te aus­ge­schlos­sen sein, dass das „kre­ierte” Pass­wort bereits von einem ande­ren Men­schen genutzt wur­de und von einem Daten­leck betrof­fen war.

Auf der Web­site von Troy Hunt kann über­prüft wer­den, ob Pass­wör­ter in einer der öffent­li­chen Pass­wort­samm­lun­gen geführt wer­den.

Dabei kann aber nur der „sta­tus quo” über­prüft wer­den, mit jedem neu­en Daten­leck kön­nen sich die Ergeb­nis­se ändern.

Infor­ma­tio­nen über das Sicher­heits­ni­veau eines Pass­worts kön­nen dadurch nicht gewon­nen wer­den.

Bei­spiels­wei­se ist das Pass­wort „Hallo!12345” erfasst, wäh­rend das Pass­wort „Hallo!123456” (noch) nicht erfasst ist. Trotz­dem ist „Hallo!123456” ein schlech­tes Pass­wort!

Troy Hunt (Check: Pass­wort)

Des­halb ist es bes­ser, ein siche­res Ver­fah­ren für die Gene­rie­rung von Pass­wör­tern zu nut­zen. Dadurch wird die Wahr­schein­lich­keit für die­ses Pro­blem so gering, dass man es ver­nach­läs­si­gen kann.

Wirk­lich siche­re Pass­wör­ter gene­rie­ren

Siche­re Pass­wör­ter erzeu­gen und ver­wen­den