Sichere Passwörter
Es gibt keine sicheren Passwörter. Aber es gibt unsichere Passwörter.
Bequemlichkeit
Menschen neigen dazu, Dinge schneller zu vergessen, die keinen Bezug zu ihrer Lebenswirklichkeit haben. Vermutlich ist dies der Grund, warum so viele Menschen unsichere Passwörter verwenden, um Daten abzusichern, die eigentlich nicht für andere bestimmt sind. Für die weiteren Betrachtungen spielt es dabei kaum eine Rolle, ob es sich um das geheime Tagebuch in Form einer Text-Datei handelt, um den Online-Zugang zu einem Diskussionsforum, zu einem UNIX-Account, der Windows 2000-Maschine im Büro oder um Finanzdaten – Online-Banking oder Aktien-Depot.
In allen Fällen (und vielen mehr) werden Passwörter verwendet, die berechtigten Personen Zugang zu Informationen ermöglichen, unberechtigte aber vor die Türe sperren sollen. Werden Passwörter von unbefugten Personen missbraucht, kann der Schaden eine beliebige Höhe erreichen und sowohl finanzieller als auch nicht-finanzieller Natur sein (Image-Schaden, Datenverlust). Der Phantasie sind hier kaum Grenzen gesetzt.
Wörterbuch-Attacken
Jedes Wort, das in einem Wörterbuch steht, ist unsicher. Die Wahl der Sprache spielt dabei nur eine untergeordnete Rolle, obwohl klar sein sollte, dass englische Wörter und Wörter in der Muttersprache des Opfers (sofern bekannt) eher unsicher sind, als bspw. Wörter in der Sprache der Somali. Im Internet existieren Wörterbücher, die bestens geeignet sind, sie in ein Programm zum Brechen von Passwörtern zu füttern und Wort für Wort durchzutesten.
Obwohl es ein gewisses Maß an Sicherheit gibt, die Groß- und Kleinschreibung zu variieren (dort, wo sie eine Rolle spielt), stellt auch dies kein allzu großes Hindernis dar. Letztendlich kann auch »reGeNScHirM« in einer angemessenen Zeit entdeckt werden.
Ein englisches Wörterbuch enthält etwa 150.000 Wörter, nimmt man Abweichungen in der Groß/Kleinschreibung hinzu kommt man auf etwa 15 Millionen Wörter. Wenige Sekunden reichen zum Brechen des Passwortes aus.
2002 wurde eine Liste mit 10.000 Accounts eines existierenden Servers durch ein Programm zum Brechen von Passwörter analysiert. Bereits nach einer halben Stunde waren 30 Prozent der Passwörter ermittelt (nach Passwords: the weakest link?).
Persönliche Daten
Die Verwendung von persönlichen Daten für Passwörter – allen voran Vor- und Nachnamen, Geburtsdaten, Telefonnummern, Figuren aus Filmen und Büchern, Hobbys, Vorlieben des Benutzers, Partners, eines Familienmitgliedes – sind ebenso beliebt wie unsicher. Mehr noch als Wörter aus Wörterbüchern ergeben diese Passwörter Sinn und sind mehr oder weniger leicht zu erraten.
Bei einer Umfrage im Jahr 2001 unter 1200 britischen Büroangestellten wurde festgestellt, dass fast die Hälfte der Befragten ihren eigenen Namen, den Namen von Haustieren oder von Familienangehörigen als Passwörter verwendet hatten. Andere verwendeten Namen wie »Darth Vader« oder »Homer Simpson« (nach Homeland Insecurity).
Musterketten
Beliebte Passwörter sind Zeichenketten, die Muster wie »qwertz« oder »12345« aufweisen und daher besonders leicht zu tippen sind. Solche Passwörter sind unsicher, da sie allgemein bekannt sind (es gibt eigens Wörterbücher mit solchen Musterketten).
Brute-Force Attacken
Moderne Computer sind leistungsfähig. Zum aktuellen Zeitpunkt sind erschwingliche Rechnersysteme in der Lage z.B. über 10 Millionen Schlüssel des Verschlüsselungsalgorithmus RC5 (der als sicher gilt) pro Sekunde auszuprobieren. Stellt man dieser Zahl Passwörter mit einer Länge von 6 Buchstaben (Groß- oder Kleinschreibung) gegenüber, kann man ohne großen Aufwand die benötigte Zeit zum Brechen errechnen:
52 mögliche Zeichen hoch 6 Zeichen Länge = etwa 20 Milliarden Kombinationen
20 Milliarden / 10 Millionen = 2000 Sekunden = etwa eine halbe Stunde
Aus dieser simplen Rechung ergeben sich zwei Konsequenzen:
- kurze Passwörter sind unsicher
- Passwörter mit einem kleinen Zeichenvorrat (z.B. nur Zahlen oder nur Kleinbuchstaben) sind unsicherer als solche mit einem großen (z.B. Zahlen und Buchstaben und Sonderzeichen)
Fazit
Zusammenfassend sollten Passwörter die folgenden Eigenschaften aufweisen, um ein akzeptables Maß an Sicherheit zu gewährleisten:
- Passwörter sollten lang sein (mindestens 8 Zeichen)
- Passwörter sollten Buchstaben/Zahlen/Sonderzeichen-Kombinationen enthalten
- Passwörter sollten keinen erkennbaren Sinn ergeben
Durch die folgenden Verfahren erhält man hinreichend sichere Passwörter, die trotzdem leichter zu merken sind als willkürliche Buchstabenfolgen:
- Verbindung zweier Wörter oder Silben (mit gemischter Groß/Kleinschreibung) durch ein Sonderzeichen
(z.B. »4zU&hAUse«, »gHE1m#niS«, »zEIt+f0rM«) - Die Anfangsbuchstaben eines Merksatzes, am besten mit zusätzlichen Sonderzeichen und Zahlen
(z.B. »mLksP1nm« für »manche Leute können sich Passwörter einfach nicht merken«) - Sinnlose Wörter, die aus aussprechbaren Silben bestehen, idealerweise um Sonderzeichen und Zahlen ergänzt
(z.B. »dOsil?Ar0n«)
Anmerkung: Verwenden Sie niemals eines dieser Beispiele als Passwort! Finden Sie Ihr eigenes!
Warum auch das nicht ausreicht...
Komplizierte Passwörter sind schwieriger zu merken als einfache. Auch wenn die Verlockung groß ist, Passwörter zu notieren und in der Brieftasche zu verwahren oder an den Monitor zu kleben, sollte man Passwörter nur (!) im Gedächtnis aufbewahren. Egal wie sicher das eigene Passwort gewählt ist, es erspart Dritten viele Mühen, wenn es direkt vom Notizzettel am Monitorrand abgelesen werden kann und es bringt großen Kummer, wenn die Zugangsdaten zu vertraulichen Firmendaten mit der Brieftasche in unbekannte Hände verloren werden.
Eine beliebte Art der Passwort-Verbreitung ist auch die Mehrfachverwendung von Passwörtern für verschiedene Accounts. Ist z.B. dem Betreiber eines Diskussionsforums mein Passwort bekannt, so kann er – genügend kriminelle Energie vorausgesetzt – hoffen, dass ich das gleiche Passwort für meinen Firmenzugang verwende. Passwörter sollten daher immer nur ein einziges Mal verwendet und häufig gewechselt werden.
Beachten Sie bitte auch, dass Passwörter im Internet oder in Firmen-Netzwerken häufig unverschlüsselt übertragen werden und dann auf der gesamten Kommunikationsstrecke abgehört werden können. Verwenden Sie diese Passwörter auf keinen Fall mehrfach!
Passwörter sollten auch niemals Bekannten oder Freunden anvertraut werden, weder als Sicherungskopie gegen das Vergessen, noch zum gelegentlichen Mitbenutzen. Vertrauen Sie niemandem!