Sichere und einfach zu merkende Passwörter //2011/05/05

geschrieben von .

Dieser Artikel erschien im Oktober 2010 ursprünglich auf the-creative-crew.com, ist inzwischen aber nicht mehr verfügbar.
Die anfänglichen Meldung, dass beim Einbruch in SONYs Netzwerk Passwörter im Klartext gestohlen wurden (was aber im Playstation-Blog schon dementiert wurde), hat mich wieder an den Artikel (z.B. Abschnitt »Noch ein Tipp«) erinnert. Als ich merkte, dass er nicht mehr verfügbar war, habe ich ihn aus meinen Archiven gekramt und nochmal hier online gestellt:

Der Artikel über die gehackten RockYou Passwörter hat mich dazu veranlasst mein eigenes Passwort-Verhalten kritisch zu überprüfen, und was soll ich sagen: alles paletti. ;-) Ich kenne aber die Realität in Team und Familie und weiß daher, dass ich eher die Ausnahme bin. Laut dem o.g. Techcrunch-Artikel sogar eine sehr große Ausnahme, denn nur 0,2% der User hatten ein »starkes Passwort«. In diesem Artikel möchte ich für die häufigsten Fehler bei Passwörtern sensibilisieren und Wege aufzeigen, wie man sich ohne viel Aufwand leicht zu merkende Passwörter ausdenken kann, die auch noch sicher sind.

1. Der Schwaches-Passwort-Fehler

Was sind schwache Passwörter? Kurz gesagt: sie sind kurz, bestehen nur aus Buchstaben und man findet sie im Wörterbuch (selbst Kombinationen solcher, z.B. ichliebedich zählen dazu). Es sollten schon mindestens acht Zeichen sein, damit man einem Brute-Force-Angriff widerstehen kann. Je mehr, desto besser. (Wer denkt es wäre dann zu schwer zu merken, kann sich der Gutes-Passwort-Methode-3 bedienen.) Jedes Zeichen, um das man ein Passwort verlängert, vervielfacht die Kombinationsmöglichkeiten enorm (siehe Anhang): schon neun statt acht Zeichen ver-26-fachen die Kombinationsmöglichkeiten bei nur-Kleinbuchstaben von 0,2 auf etwa 5 Billionen!

2. Der Gleiches-Passwort-Fehler

Aber selbst gute Passwörter nützen nichts, wenn das Passwort bekannt wird (irgendwo im Klartext gespeichert, niedergeschrieben, …), und dann mit diesem Passwort alle anderen Accounts geöffnet werden können.
Folgendes Szenario ist durchaus möglich, wenn es etwas zu lange ist, bitte ich das zu entschuldigen (alternativ: das Comic von xkcd zum Thema Password Reuse).
Man hat eine neue SIM bekommen, weil man den Anbieter gewechselt hat. Dummerweise hat man aber im Handy die SIM-Sperre aktiviert und weiß den Telefoncode nicht mehr. Kein Problem: es gibt viele mehr oder weniger gute Foren, die sich dieses Themas angenommen haben. Dummerweise gerät man an ein nicht so seriöses, von einem 14jährigen, gelangweilten Teenager geführtes Forum, das für den Login eine valide Email-Adresse voraussetzt. Das Passwort, das man für das Forum wählt, ist dummerweise das selbe, dass man für den Email-Acount benutzt, den man zur Registrierung angibt. Der 14jährige liest aus Langeweile (weil gerade die illegalen Downloads zuviel Bandbreite benötigen, als dass er gleichzeitig auf Youporn Facebook surfen könnte) per MySQL seine Forums-Datenbank aus. Dort stehen im Klartext Passwort und Email-Adresse nebeneinander (selbst wenn das Passwort verschlüsselt ist, kann man das per Brute-Force ggf. herausfinden, deshalb ist es wichtig ein starkes Passwort zu haben!). Der 14jährige loggt sich nun mit dem Passwort in Email-Konto ein, und findet dort die Zugangsdaten für eBay & Co.
Ein Trick ist, die Passwörter etwas zu variieren: z.B. m$p8fAz für Amazon und m$p8feB für eBay. Natürlich nicht zu offensichtlich, sonst kann der 14jährige auch einfach auf die Variationen schliessen, Bots allerdings nicht.

3. Aber wie finde ich jetzt ein starkes, leicht zu merkendes Passwort?

Mein Tipp ist sich einen längeren, aber einprägsamen Satz zu überlegen. Als Beispiel soll hier dienen (der Satz sollte in erster Linie leicht zu merken sein): »Dies ist ein Blogpost über sichere Passwörter für the-creative-crüe!« Davon nimmt man die Anfangsbuchstabe der Wörter: DieBüsPfTCC. Jetzt ersetzen wir das i durch eine 1 und das B durch eine 8 (leicht zu merken, weil die Zeichen sich optisch ähnlich sind). Heraus kommt: D1e8üsPfTCC. Europäische Sonderzeichen in Passwörtern sind mir nicht so geheuer (siehe Anhang), deshalb ersetze ich das ü durch %. Das sichere Passwort wäre dann D1e8%sPfTCC.
Einige Tipps zum leichteren Merken: S kann man leicht durch $ ersetzen, E durch 3 oder o (Buchstabe O) durch 0 (Null).

4. Passwortgeneratoren

Es gibt Programme, die eine zufällige Zeichenreihenfolge erzeugen. Einige lassen sich noch konfigurieren, so dass man z.B. die Zeichenlänge und die verwendeten Zeichen (Sonderzeichen) angeben kann. Ich selber benutze ein solches, aber nur für »einmalige Benutzung« z.B. für User-Passwörter, die diese gleich nach dem ersten Login ändern sollen. Denn diese (mehr oder weniger) zufälligen Zahlenkombinationen muss man sich entweder merken (schwierig), aufschreiben (unsicher) oder speichern, und zwar mit Hilfe von:

5. Zentrales PW-Management

Es gibt noch die Möglichkeit, Passwörter zentral zu speichern. Ein kleines Programm verschlüsselt diese dann in einer Datenbank und rückt nach Eingabe eines Masterpasswortes das gewünschte Passwort raus. Dieser Weg ist sehr praktisch, weil man sich echte Zufallspasswörter (aus 4.) nicht merken oder notieren muss.
Aber auch er hat drei Haken:
1. Das PW-Management-Tool muss die Passwörter stark verschlüsseln und darf nicht knackbar sein.
2. Ein Passwort gibt Zugang zu allem.
3. Ein PW-Management Tool ist meist nur auf einem Rechner verfügbar, von unterwegs muss ich also irgendwie anders an die Passwörter rankommen (Gedächtnis, (un)sicherer Online-Zugriff, …).

Noch ein Tipp

Ändert Passwörter nicht am Freitag oder vor dem Urlaub: die Chance des Vergessens ist sehr hoch ;-)
Und noch ein Appell an meine Entwickler-Kollegen: bitte bitte bitte speichert die Passworte nicht als Klartext in den Datenbanken, denn sonst nützt das beste Passwort nichts, wenn jeder SysOp mit einem Blick in MySQL die Passwörter sehen kann.


Anhang:

Länge Verwendete Zeichen Mögliche Kombinationen
8 nur Kleinbuchstaben 26 hoch 8 (0,2 Billion)
8 Klein-/Großbuchstaben und Zahlen 62 hoch 8 (218 Billion)
8 Klein-/Großbuchstaben, Zahlen und Sonderzeichen* 77 hoch 8 (1236 Billion)
9 nur Kleinbuchstaben 26 hoch 9 (5 Billion)
9 Klein-/Großbuchstaben und Zahlen 62 hoch 9 (13500 Billion)
9 Klein-/Großbuchstaben, Zahlen und Sonderzeichen* 77 hoch 9 (95000 Billion)
Man sieht: die Kombination von langem Passwort und vielen Zeichen steigert die Kombinationen enorm

* Ich empfehle den vorsichtigen Umgang mit Sonderzeichen! U.U. ist man mal an einer Tastatur auf der es die Zeichen nicht gibt, oder man sie nicht findet (Mac/Windows, Ausland, Internetcafé). Aber !§$%&/()=?.,:; sollten immer gehen. Für die Tabelle gehe ich mal von 15 funktionierenden Sonderzeichen aus.

mehr zum Thema: , , , , .

tweet // plus // post // like // bookmark // flattr

2 Kommentare und Trackbacks

Das schreiben andere darüber:

  1. Secure and easy-to-remember passwords » fAS»forward
  2. Datenpanne bei Facebook, ein erster Kommentar « Neigungsgruppe Design, Code und Netz-Kreativität

Verfasse deinen Kommentar:

Erlaubte HTML Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>