Ver­öf­fent­licht am 18.3.2019

„Risi­ko Mensch” bei der Passwortwahl

Siche­re Pass­wör­ter soll­ten aus Son­der­zei­chen, Zah­len und Groß- und Klein­buch­sta­ben bestehen.

Dadurch wird bei glei­cher Pass­wort­län­ge die Vari­anz vergrößert.

Zudem soll­te eine Min­dest­län­ge von 8 Zei­chen ein­ge­hal­ten wer­den, weil zu kur­ze Pass­wör­ter „erra­ten” wer­den kön­nen (Bru­te-For­ce-Metho­de).

Die­se Emp­feh­lun­gen set­zen eine Gleich­ver­tei­lung der mög­li­chen Pass­wör­ter (Schlüs­sel) voraus.

Jeder theo­re­tisch mög­li­che Schlüs­sel wird mit glei­cher Wahr­schein­lich­keit als Pass­wort genutzt.

In der Pra­xis wäh­len Men­schen aber bevor­zugt Pass­wör­ter, die man sich „leicht mer­ken” kann.

Aus die­sem Grund kommt es inner­halb des Schlüs­sel­raums zu unter­schied­li­chen Ein­tritts­wahr­schein­lich­kei­ten der ein­zel­nen Schlüs­sel (Pass­wör­ter).

Bei­spiels­wei­se wird häu­fig emp­foh­len, sich einen Satz zu mer­ken und aus den Anfangs­buch­sta­ben der ein­zel­nen Wör­ter das Pass­wort zusammenzusetzen.

„Tipps für ein gutes Pass­wort” (BSI)

Dabei ent­ste­hen oft Pass­wör­ter, die „sehr sicher” wir­ken, tat­säch­lich aber rela­tiv leicht zu cra­cken sind.

Das liegt u.a. dar­an, dass die Buch­sta­ben­häu­fig­keit in Tex­ten nicht gleich­ver­teilt ist. Bei­spiels­wei­se wer­den mit nur 5 Buch­sta­ben bereits 46,7% aller Anfangs­buch­sta­ben inner­halb von Fließ­tex­ten abgedeckt:

Buch­sta­ben­häu­fig­keit (Wiki­pe­dia)

Um real exis­tie­ren­de Wör­ter zu ver­schlei­ern, kann zusätz­lich eine „indi­vi­du­el­le Trans­for­ma­ti­on” erfolgen.

Bei­spiels­wei­se könn­te aus „Spiel­platz” „8p!el6latz” wer­den (S=>8, i=>!, p=>6), denk­bar sind natür­lich deut­lich bes­se­re Transformationsmuster.

Aber auch Son­der­zei­chen kom­men mit unter­schied­li­cher Häu­fig­keit in Pass­wör­tern vor, bei­spiels­wei­se schei­nen „!” und „+” bei der Pass­wor­t­er­stel­lung belieb­ter zu sein als „Π” und „Ñ”.

Cra­cker „ler­nen” zuneh­mend, wie Men­schen Pass­wör­ter kre­ieren und wel­che Pass­wör­ter bevor­zugt wer­den. Dafür kön­nen rie­si­ge Pass­wort­samm­lun­gen aus­ge­wer­tet werden.

„Neue Pass­wort-Leaks: Ins­ge­samt 2,2 Mil­li­ar­den Accounts betrof­fen” (Hei­se-Online)

Auf Basis die­ser Erkennt­nis­se wird emp­foh­len, mög­lichst lan­ge Pass­phra­sen (z.B. kom­plet­te Sät­ze) als Pass­wort zu verwenden.

Die­se Pass­phra­sen soll­ten mög­lichst indi­vi­du­ell sein und weder in Wör­ter­bü­chern vor­kom­men, noch all­ge­mein bekannt sein (kei­ne Musik­tex­te, kei­ne Film­ti­tel usw.).

„Vie­le der her­kömm­li­chen Sicher­heits­re­geln brin­gen nichts” (Hei­se-Online)

Aber auch die­se Emp­feh­lung kann bezüg­lich des Sicher­heits­ni­veaus kri­tisch hin­ter­fragt werden.

Kri­tik­punkt Sicherheitsniveau

Um das Sicher­heits­ni­veau eines von Men­schen „kre­ierten” Pass­worts beur­tei­len zu kön­nen, müss­te die Wahr­schein­lich­keit bekannt sein, mit der ande­re Men­schen das sel­be oder ähn­li­che Pass­wör­ter wählen.

Inso­fern sind Sicher­heits­ni­veau und benö­tig­te Schlüs­sel­län­ge nicht quantifizierbar.

Von Men­schen „kre­ierte” Pass­wör­ter überprüfen

Wur­de das eige­ne Pass­wort bereits zufäl­lig von einem ande­ren Men­schen genutzt, könn­te es im Rah­men eines Daten­lecks schon ver­öf­fent­licht wor­den sein.

Auf der Web­site von Troy Hunt kann über­prüft wer­den, ob Pass­wör­ter in einer der öffent­lich bekann­ten Pass­wort­samm­lun­gen geführt werden.

Dabei kann aber nur der „sta­tus quo” über­prüft wer­den, mit jedem neu­en Daten­leck kön­nen sich die Ergeb­nis­se ändern.

Hin­wei­se auf das Sicher­heits­ni­veau eines Pass­worts kön­nen davon nicht abge­lei­tet werden.

Bei­spiels­wei­se ist das Pass­wort „Hallo!12345” erfasst, wäh­rend das Pass­wort „Hallo!123456” (noch) nicht erfasst ist. Trotz­dem ist „Hallo!123456” kein siche­res Passwort!

Troy Hunt (Check: Passwort)

 

Emp­feh­lung für die Passwortwahl:

Aus die­sen Grün­den emp­feh­len wir, Pass­wör­ter nicht selbst zu „kre­ieren”, son­dern ein siche­res Ver­fah­ren für die Gene­rie­rung von Pass­wör­tern zu nut­zen. Dadurch wird das Pro­blem „Risi­ko Mensch” bei der Pass­wort­wahl ausgeschlossen.

Siche­re Pass­wör­ter erzeu­gen und verwenden