Wie erstelle ich ein starkes Passwort, das ich mir merken kann?

Wenn ich zurückdenke an das Jahr 2000 muss ich sagen, hatte ich eigentlich nur wenig mit Passwörtern zu tun. An meinem PC, Windows 2000 bzw. Windows ME, gab es nur ein Kennwort. Mein ICQ Client und meine Mail Adresse hatte ich noch zusätzlich, aber das war es dann auch. Mit 14 Jahren hatte man zu der Zeit einfach weniger technische Raffinessen und auch weniger digitalen Impact auf das Leben. Heute sind Passwörter überall vorhanden. Alles was ich im Netz machen möchte benötigt ein Passwort, schließlich muss ich mich authentifizieren. Auch mein Smartphone hat ein Passwort, meine Mailkonten, alle möglichen Messenger und Systeme. Wie sieht hier jetzt das Management aus? Ich muss alle Passwörter zur Hand haben und sie müssen sicher sein, also relativ lange und aus vielen unterschiedlichen Zeichen bestehen.

Mein Kollege Dennis Mauf hat hierfür einen interessanten Beitrag über die Diceware Methode verfasst. Er zeigt damit wie man starke Passwörter selbst erstellt.

Die Anatomie eines sicheren Passwortes

Ein Passwort ist erst dann sicher, wenn es einigen Kriterien entspricht, die alle rein mathematisch definiert sind. Es muss beispielsweise nicht komprimierbar sein. Das heißt, ich könnte es mit ZIP oder RAR versuchen zu packen, aber es gibt keinerlei Speicher, den ich mir sparen könnte. Solche Passwörter sind aber eher etwas für Maschinen und nicht für den Menschen gedacht. Gehen wir also lieber zu den durch uns nutzbaren Passwörtern und fragen uns, wie sichere Kennwörter aussehen:

  • Passwörter müssen eine akzeptable Länge haben. Dieser Wert steigt mit Rechenpower (14 ist ein guter Wert)
  • Passwörter müssen aus Großbuchstaben, Kleinbuchtaben, Zahlen und Sonderzeichen bestehen
  • Es dürfen keine Muster im Passwort vorkommen (bspw. viele gleiche Buchstaben/Zahlen/Sonderzeichen nacheinander)
  • Passwörter dürfen nicht aus Wörtern bestehen, die im allgemeinen bekannt sind

Warum eignet sich Diceware nicht?

Diceware basiert auf Codebüchern. Das heißt, es gibt Listen, die teile von Passwörtern beinhalten. Wenn man mit Diceware ein Kennwort generiert, dann benötigt man einen Würfel und die Webseite, auf der die Wörterliste liegt.

Also würfelt man nun 5 Mal und schreibt die Zahlen auf: 5, 5, 1, 2, 5

Und diese Zahl macht also das Passwort sieden aus. Das ganze muss man einige Male wiederholen, damit das Passwort noch länger wird. Aber leider sind diese Codebücher öffentlich und damit ist auch ein Teil meines Passwortes eventuell schon erraten beim nächsten Angriff.

Blog aktiv unterstützen

Wie erstelle ich ein leicht merkbares Passwort?

Bruce Schneier’s Methode

Er schreibt nicht nur Bücher und einen Blog, er hat auch eine Methode, die er nutzt für sichere Passwörter, die man sich merken kann. Ein Satz wird als Basis für ein Passwort genommen.

Beispiel: Meine Frau ist die beste und weiß nichts von einem geheimen Konto.

Wir nehmen nun alle Anfangsbuchstaben und bauen Sonderzeichen ein die logisch sind, aber auch Zahlen!

Passwort: MFidb+wnv1gK.

Je nach Assoziation ist dies nun leichter merkbar oder auch nicht. Je interessanter die Umstände, umso leichter merken wir uns natürlich solche Kennwörter.

Die zufälligen Wörter

Ein schönes Comic dazu liefert xkcd mit folgender Erklärung zur Sicherheit von Passwörtern, die lediglich aus langen, zufälligen Wörtern bestehen. Sie wären etwas leichter zu erraten, da sie reale Worte darstellen, die meistens in Wörterbüchern vorkommen. Trotzdem spricht hier die Mathematik für sich:

Passwort Comic
Passwort Comic

PAO Methode

Person Action Object, sind die ausgeschriebenen Buchstaben (PAO) dieser Methodik. Erschaffen wurde diese Methode von einigen Informatikern an der Carnegie Mellon University. Großer Vorteil dieser Methode ist, dass unser Gehirn sich bestimmte Dinge gut merken kann. Das heißt, wir nutzen die kognitiven Fähigkeiten:

  • Die Fähigkeit der Visualisierung
  • Ungewöhnliche Szenarien

Beispiel:

  • Interessanter Ort: Kaufland
  • Person: Steven Hawking
  • Action: beschwerde
  • Object: Getriebeöl

Steven Hawking beschwert sich bei Kaufland über das mangelhafte Getriebeöl für seinen Rollstuhl.

Daraus lässt sich nun ein schönes Passwort erstellen, nach der Bruce Schneier Methode.

SHbsbKü1mGöfsRs!

Fazit

Passwörter sind die Basis für unsere Authentifizierung in der digitalen Welt, aber auch oft die Grundlage einer sicheren Verschlüsselung. Es werden also beide Faktoren eines Sicherheitssystems dadurch geschützt. Die Vertraulichkeit und die Authentizität. Umso wichtiger wird es in den nächsten Jahren sein, dass wir unsere Passwörter sicher verwalten können und uns viele unterschiedliche Passwörter auch gut merken können.

Ansonsten ist der Identitätsdiebstahl nicht mehr weit weg und wir verbringen unsere Zeit damit gegen Probleme an zu kämpfen, die das neue Zeitalter mit sich bringt. Wir sollten lieber ein paar Regeln festlegen und dann die Vorzüge der digitalen Welt genießen.

Bücher zum Thema

 

Beitragsbild Google login screen von Christian Coolen. Lizenz CC BY-SA 2.0

Artikel teilen:

Ein Gedanke zu „Wie erstelle ich ein starkes Passwort, das ich mir merken kann?

  • 10. Januar 2016 um 18:42
    Permalink

    Zu Diceware: Es spielt keine Rolle, ob das Wörterbuch öffentlich ist. Die Zeichen, die in einem Passwort verwendet werden können, sind ja auch bekannt, und die Auswahl ist geringer (95 Symbole für alphanumerisch + Sonderzeichen + Leerzeichen). Demgegenüber stehen 7776 (6⁵) verschiedene Worte in der Liste. Eine Liste aus genauso vielen chinesischen Schriftzeichen (gibt es da so viele?) würde den gleichen Zweck erfüllen. Wenn man jetzt jedes Wort als ein Symbol sieht, ergibt das mit 5 Wörtern 7776⁵ ~ 2,8*10¹⁹ Möglichkeiten. Verglichen mit 95¹⁴ (14 Zeichen) ~ 4,8*10²⁷ sieht das zwar wenig aus. Aber diese Anzahl wird nur für echte Zufälligkeit erreicht, Ausschluss von common patterns (“123456”, Muster auf der Tastatur etc.) und regelbasierte Bildung (wie eben PAO) reduzieren schon wieder die Zufälligkeit. Dagegen bläst die Verwendung von Worten die Länge auf, ohne die Merkbarkeit im gleichem Maß zu verringern. Eine Diceware-Passphrase aus 7 Worten erreicht eine Entropie von 90 Bit und liegt damit vergleichbar einem 14stelligen (alphanumerisch+special) zufälligem Passwort (91 Bit)

    Merksatz/PAO verringert die Anzahl der verfügbaren Symbole deutlich: Typischerweise kommen nur die gängigsten Interpunktionszeichen (.!?,) zum Einsatz, selbst für Sprachgewandte gibt es kaum eine Verwendung für {}[]\|#*^ in einem sinnvollen Satz. Außerdem schlägt dann die Redundanz in der Sprache zu: Buchstaben wie czyxwj kommen nur selten vor, und z.B. einen Satz mit genau dieser Folge zu bilden dürfte kaum möglich sein. D.h. ein Angreifer kann durchaus regelbasiert den Suchraum verringern. Allein die Beschränkung auf Interpunktion reduziert die Anzahl der Symbole auf 66 und die Entropie auf 84 Bit für ein 14stelliges Passwort. Ich will PAO nicht schlechtreden, aber es ist auch ein Kompromiss, der die Sicherheit zugunsten der Bequemlichkeit verringert.

    Antwort

Kommentar verfassen