Tag des sicheren Kennworts

Der Tag an dem das unsichere Kennwort starb

Heute früh mahnte mich mein Computer zum neuerlichen Ändern meines Kennworts. Irgendwelche Sicherheitsexperten meinen, dass es sicher ist, wenn man dies alle Nase lang tut. Gut, von mir aus. Also schnell ein neues Passwort ausgedacht, dass ich auch in fünf Minuten noch kenne.

Kurz darauf lese ich zufällig einen passenden Beitrag im Internet Board gulli.com, nachdem neueste Untersuchungen einem die Haare zu Berge stehen lassen. Kaum einer verwendet wirklich sichere Kennwörter und viele verraten diese sogar völlig Fremden auf Anhieb. Gut, bei der ein oder anderen Internetsite habe ich auch nicht wirklich ein komplexes Kennwort gewählt und dieses kommt dann auch schon mal häufiger vor.

Grund genug sich einmal mehr Gedanken zu sicheren Kennwörtern zu machen und den heutigen Tag zum Tag des sicheren Kennworts auszurufen. Das Datum ist immerhin eines, welches man sich merken kann und an komplexe Passworte erinnern sollte: 12.11.10.

An diesem Tag sollte ein jeder sich Gedanken über seine Passwörter machen und diese ggf. mal wieder ändern. Wie, wo und womit, das verrate ich im Folgenden.

Was ist ein sicheres Passwort

Ein sicheres Kennwort ist immer eines, welches von einer dritten Person nicht erraten oder in kurzer Zeit durch einen Angriff ermittelt werden kann. Ein Angriff kann dabei im schlimmsten Falle mit “roher Gewalt” (brute force) erfolgen, bei dem das Kennwort einfach gnadenlos durchprobiert wird. Das machen heutige PC’s bei entsprechend kurzen Kennwörtern schon binnen Minuten. Noch schneller geht es, wenn das Kennwort entsprechend leicht gestaltet wurde, z.B. aus einem in einem Lexikon enthaltenem Wort besteht.

Unser Ziel sollte also ein Passwort sein, bei dem sich ein möglicher Angreifer die Zähne ausbeißt. Dies geht mit drei grundsätzlichen Elementen, die hier in absteigender Wichtigkeit aufgelistet sind:

  1. Das Kennwort sollte möglichst lang sein,
  2. aus einem möglichst großen Pool an Zeichen bestehen und
  3. kein bekanntes oder gültiges Wort darstellen.

Warum? Nun, warum das Kennwort nicht “Schatzi”, “Mausi”, den Namen des Kindes oder das Geburtsdatum o.ä. sein sollte, ist sicherlich jedem einleuchtend. Wenn ich ein System knacken sollte, dann sind dies mit die ersten Kennwörter, die ich probiere…

Betrachten wir mit ganz wenig Mathematik einmal den Punkt 1 der Liste, also die Kennwortlänge, die der wichtigste Punkt zur Schaffung eines sicheren Kennworts darstellt.

Für ein Kennwort mit der Länge von 6 Zeichen gibt es 308.915.776 Möglichkeiten (wenn man nur Kleinbuchstaben verwendet). Eine Stelle mehr vergrößert die Zahl der Kombinationen um den Faktor 26 auf 8.031.810.176 (8 milliarden). Und dies geht mit jeder Stelle so weiter, so dass ein Kennwort mit der Länge 10 auf sage und schreibe 141.167.095.653.376 (141 Billionen) verschiedene Kombinationen kommt. Bei dieser Zahl ist ein Angreifer, der alle Möglichkeiten durchprobieren möchte eine ganze Weile beschäftigt, obwohl das Kennwort vielleicht nur “heidelberg” oder “kirschbaum” lautet. Also: je länger, desto besser.

Kommen wir nun zum Zeichenpool, also der Menge an Zeichen, die für das Kennwort verwendet werden können. In den obigen Beispielen habe ich von 26 Zeichen gesprochen, also zum Beispiel den kleinen Buchstaben “a” bis “z”. Die Komplexität eines Kennworts erhöht sich deutlich, wenn wir die großen Buchstaben hinzunehmen, also ein Passwort auswählen, welches aus großen und kleinen Buchstaben bestehen kann. Unser 10 stelliges Kennwort ist dann eines von – hier streikt der Taschenrechner ca. 97.656.250.000.000.000 (52 hoch 10, eine 9 gefolgt von 16 weiteren Ziffern, 97 Billiarden!). Neben Groß- und Kleinbuchstaben hat unsere Tastatur aber auch noch zehn Ziffern und diverse Satz- (“.,!?) und Sonderzeichen (#+*~<, etc.) zur Verfügung. Damit kommt man auf eine Menge von insgesamt rund 100 möglichen Zeichen, die in einem Passwort verwendet werden können. Für die Berechnung brauche ich dann auch keinen Taschenrechner mehr, denn 100 hoch 10 (100 mögliche Zeichen für ein 10 Stellen langes Passwort) ergibt 100.000.000.000.000.000.000 (100 Trillionen), was in etwa der Zahl an Talern in Dagobert Ducks Geldspeicher entsprechen dürfte.

Noch eine Bemerkung zur Komplexität: Wie schon angedeutet bringt eine zusätzliche Stelle im Passwort ein vielfaches mehr an Sicherheit, als ein zusätzliches mögliches Zeichen. Unser nun schon komplexes Kennwort (1:100 Trillionen) erlangt durch eine weitere Stelle den Grad 1 aus 10 Trilliarden, wenn wir statt 100 nun 101 mögliche Zeichen verwenden, dann sind es nur 1 aus 110 Trillionen.

Wie lang sollte denn nun ein Passwort sein? Ganz klar ist, dass ein Kennwort der Länge 6 dem aktuellen Stand der Technik nicht mehr entspricht. (Nachtrag: Im November 2010 zeigte ein Deutscher Computerspezialist, dass er für das durchprobieren aller 6 stelligen Passwörter, die mit dem sogenannten SHA1 Verfahren verschlüsselt wurden nur 49 Minuten benötigte. Dies geschah auf einer gemieteten Umgebung, die ihm nur rund 3 € je Stunde gekostet hat. Mit dieser Datenbank kann er nun verschlüsselte Kennwörter sofort rückübersetzen. Jede Stelle mit der das Kennwort verlängert wird, erhöht die Zeit, die er benötigt dabei um den Faktor 100. Rechnerisch benötigt sein Programm für 7 stellige Passwörter dann run 4.900 Minuten, also 82 Stunden, bzw. 3,4 Tage.) Meine Faustformel lautet daher, dass das Kennwort mindestens so viele Stellen haben sollte, wie die letzten beiden Stellen der Jahreszahl vorgeben. In 2010 sind dies dann 10 Stellen, 2011 11 Stellen, etc. Die Betonung liegt dabei auf dem Wort “mindestens”, denn wie oben schon gezeigt wurde, erhöht jede weitere Stelle die Komplexität um den Faktor 100. Die Faustformel trägt dabei der Tatsache Rechnung, dass im Laufe der Zeit die Rechenleistung von Computern, die zum Knacken dieser Codes verwendet werden entsprechend steigt.

Die Tücken

These: Sichere Passwörter kann sich doch keiner merken!

Richtig! Da schließe ich mich nicht aus, zumindest kann man sie sich wohl kaum sofort merken. Ein Kennwort, welches ordentlich gebildet wurde, also 10 oder mehr Stellen lang ist, aus über 100 verschiedenen möglichen Zeichen besteht und auch noch in keinem Lexikon zu finden ist, ist nicht für das menschliche Gehirn gedacht – aber sicher.

Hierzu gibt es aber verschiedene Lösungsmöglichkeiten:

a) Die Merksatzvariante: Man denke sich einen Satz aus, der z.B. aus 10 Wörtern besteht (“Dies ist ein wirklich gut zu merkender und sicherer Satz.”) Von diesem Satz nimmt man die Anfangsbuchstaben eines jeden Worts und verwendet diese als Passwort: DiewgzmusS. Dieser Kauderwelsch ist sicherlich nicht in einem Lexikon zu finden, besteht aus 10 (oder mehr) Zeichen und kann dennoch leicht reproduziert werden, wenn man sich den “Kennsatz” merkt. Noch besser wird es, wenn man nun noch Satzzeichen mit hinzufügt und einzelne Buchstaben durch Sonderzeichen austauscht. Hier einige Beispiele:

a – @
b – 6
s – 5 – $
i – 1 oder ! oder l oder |
o – 0 oder ° oder ()
z – 2

Aber Achtung: diesen sogenannten Hackercode kennen die Angreifer mittlerweile auch, so dass entsprechende Tools bei der Wörterbuchanalyse von sich aus schon entsprechend übersetze Worte mit ausprobieren.

Auch sind Worte komplett durch Zeichen ersetzbar. Das Wort “ein” kann auch mit einer 1 codiert werden.

Doch wenn wir uns nun schon einen Merksatz gemerkt haben, warum dann nicht die Regel 1 (lange Passwörter) besonders berücksichtigen und nicht gleich den Merksatz als Kennwort verwenden? In dem Fall hat man sehr schnell ein leicht zu merkendes Kennwort mit einer Länge von 50 und mehr Zeichen generieren. Die Tatsasche, dass dann hier der Zeichenraum recht klein ist, da vorwiegend Buchstaben verwendet werden, ist dann schon fast zu vernachlässigen! Zum Vergleich: Ein Kennwort der Länge 50 bestehend aus Buchstaben und Satzzeichen ist genauso sicher wie ein hochkomplexes Kennwort aus einen Zeichenpool von 100, aber mit einer Länge von 42 Zeichen. Welches der beiden leichter zu merken ist, liegt vermutlich auf der Hand. Warum also nicht eine beliebige Strophe aus Schillers Lied von der Glocke auswendig lernen?

b) Toolunterstützung: Für die Verwendung am Computer existieren verschiedene sehr gut geeignete (und kostenlose) Programme, die einem das Leben erleichtern. So können im Browser Firefox Kennwörter verschlüsselt gespeichert werden, so dass man sich nur noch ein (möglichst sicheres) Masterpasswort merken muss. Sicher ist das ganze aber nur dann, wenn man zum einen die Kennwörter wirklich verschlüsselt speichert (Extras | Einstellungen | Sicherheit | Passwörter speichern und Masterpasswort verwenden) und zum anderen dafür Sorge trägt, dass man immer die aktuellste Version dieses Browsers verwendet.

Eine andere, nicht ganz so komfortable, dafür aber sicherere Variante stellen sogenannte Passwort Safes dar. Hier seien im wesentlichen Password Safe und Keepass zu erwähnen. Hier können ebenfalls alle Kennwörter mit einem Masterpasswort verschlüsselt hinterlegt werden. Ebenfalls können diese Kennwörter nach eigenen Vorgaben generieren, so dass man sich nicht den Kopf zermartern muss, um sich ein “sicheres Passwort” einfallen zu lassen.

Ich empfehle darüber hinaus diese Programme auf einem USB Stick zu installieren und zu verwenden, den man dann immer mit sich tragen kann. Dann sind Angriffe auf den Computer ohne eingesteckten USB Stick hinsichtlich der Kennwörter nur eingeschränkt dramatisch.

These: Die Verwendung von Passwortvorgaben erhöhen die Sicherheit.

Ein ganz klares Jain! In dem Moment, in dem ich vorgebe, dass ein Kennwort mindestens z.B. eine Ziffer, einen kleinen und einen großen Buchstaben sowie ein Satzzeichen beinhalten soll, schränke die die Zahl der Möglichen Passworte wieder deutlich ein. Ein einfaches Beispiel hierzu:

Ohne Vorgabe ist ein Kennwort aus zwei Zeichen eines aus 10.000 möglichen. Existiert die Vorgabe, dass eines der beiden Zeichen eine Zahl ist, so sind es nur noch 2.000 Möglichkeiten, also nur noch ein Fünftel des ursprünglichen Werts. Warum? In der ersten Variante kann ich für das erste Zeichen aus 100 verschiedenen Zeichen auswählen und für das zweite Zeichen ebenso, also 100*100 = 10.000. In der zweiten Variante habe ich zwei Möglichkeiten, entweder das erste oder das zweite Zeichen ist eine Ziffer. Da es nur 10 Ziffern gibt, bedeutet dies, dass wir 10*100 + 100*10 = 2.000 Möglichkeiten haben um das Passwort zu bilden.

Fakt ist aber, dass der Mensch dazu neigt ein einfaches Kennwort zu erstellen, also eines, welches z.B. nur aus Buchstaben besteht. Wenn er aber selber daran interessiert ist – und das sind wir ja nun alle – seine Daten zu schützen, wählt er gegebenenfalls auch ein komplexeres und erzählt es niemandem. Dann – und nur dann – ist das Passwort “Heidelberg” genauso sicher wie “He1D€/6er,”, denn ein möglicher Angreifer weiß nicht, aus welchem Pool der Nutzer sein Kennwort gebildet hat. Faktisch wird der Angreifer aber erst das Lexikon bemühen, danach Buchstaben und Zahlenkombinationen durchprobieren und erst zuletzt auf völlig wirr zusammengefügte Buchstaben, Zeichen und Ziffernkombinationen zurückgreifen.

Ich empfehle daher die Passwortvorgaben fallen zu lassen und den Usern dringend zu empfehlen Kennwörter komplex zu gestalten, es aber nicht vorzuschreiben. Damit ist der Suchraum für einen Angreifer deutlich größer.

These: Häufige Kennwortänderungen sind sicher.

Auch hier ein ganz klares Jain! Werden die Änderungen vorgegeben, neigt der Mensch dazu sich wieder einfache Passwörter auszudenken und diese ggf. durchzunumerieren. Ein Kennwort, welches allerdings schon Jahre in Gebrauch ist, ist mit der Zeit verbraucht, denn es könnte schon längst geknackt worden sein oder den aktuellen Sicherheitsstandards nicht mehr entsprechen, weil es nicht komplex genug oder nicht lang genug ist.

Warum darf ich ein supersicheres und hochkomplexes Kennwort nicht an mehreren Stellen einsetzen?

Kennen Sie den Betreiber des Forums, auf dem Sie das Passwort eingegeben haben, mit dem Sie auch ihre Bankgeschäfte machen? Sind Sie sicher, dass das Kennwort in dem Onlineshop verschlüsselt gespeichert wird? Es spricht sicherlich nichts dagegen hier und da das Kennwort mehrfach zu verwenden, aber es sollte dann NUR an Stellen geschehen, an denen Sie nichts zu verlieren haben, also nicht an Stellen, wo ihre Bankdaten hinterlegt sind oder ein persönliches Profil vorhanden ist. Auch seinen Ruf kann man verlieren oder durch dritte bösartig beschädigen lassen.

Quintessenz

Was ist also nun zu tun:

  1. Aktualisieren von Browsern.
  2. ggf. Installieren von Passwortsafes
  3. Ermitteln, wo überall Kennwörter hinterlegt sind und da
  4. neue komplexe Passwörter gemäß den o.g. Regeln einrichten.

Zusammengefasst bedeutet dies:

  • Länge 10 oder mehr Zeichen
  • Freie Auswahl der Zeichen (alles was die Tastatur hergibt ist gut!)
  • Überall ein anderes, eigenes Kennwort verwenden

Und das ganze Heute noch, am Tag des sicheren Kennworts, dem 12.11.10!

Schreibe einen Kommentar

Nutze dieses Kommentarfeld um deine Meinung oder Ergänzung zu diesem Beitrag kundzutun. Verhalte dich bitte respektvoll und höflich! Kommentare werden vor der Veröffentlichung in der Regel moderiert und bei Verstößen gegen geltendes Recht, die guten Sitten, fehlendem Bezug oder missbräuchlicher Verwendung nicht freigegeben oder gelöscht.
Über die Angabe deines Namens, deiner E-Mail Adresse und deiner Webseite freuen wir uns, doch diese Felder sind optional. Deine E-Mail Adresse wird dabei zu keinem Zeitpunkt veröffentlicht.

Um mit dem Betreiber dieser Seite nicht-öffentlich in Kontakt zu treten, nutze die Möglichkeiten im Impressum.