Passwörter die man sich merken kann

Es haben sich im laufe der Jahre ja so einige Mißverständnisse angesammelt was die Sicherheit von Passwörtern betrifft. Der allgemeine Konsens scheint zu sein: Je kryptischer, desto besser.

The Ghost Logo Quelle: https://xkcd.com

Was heißt das genau? Ich kann also einfach eingeben: “meinpasswortfüryahoo” und das ist wesentlich sicherer als z.B. “Y$/-909u” ?

Zum Beweis einfach hier eingeben: https://www.grc.com/haystack.htm Siehe da: “Y$/-909u” lässt sich in nur einer Minute cracken, “meinpasswortfüryahoo” braucht dagegen Milliarden von Jahren! Die Sicherheit eines Passworts ergibt sich halt einfach nur aus Anzahl der Kombinationsmöglichkeiten im gewählten Raum, und da Fakultät eine steil ansteigende Funktion ist, sind längere Passwörter halt generell sicherer, als die Verwendung eines (begrenzten) Vorrates an Sonderzeichen in einem kurzen Passwort.

Leider kann aus der rein mathematischen Anzahl an Kombinationsmöglichkeiten nicht immer geschlossen werden, ob das Passwort sicher ist. Passwort-Cracker probieren nämlich über sogenannte Rainbow-Tables bekannte Wörter und auch häufig verwendete Phrasen aus. “Systemadministrator” ist daher kein gutes Passwort – obwohl es eigentlich lang genug ist. Die Idee mit “Pa$$w0rd” hatten leider auch schon zu viele Leute.

Dagegen gibt es allerdings auch ein Heilmittel: “Password-Padding”. “Systemadministrator” ist ein bekanntes Wort, “-Systemadministrator-” allerdings nicht mehr. Auch “………..hund” ist ein sicheres Passwort!

Wie aber funktioniert das Passwort-Cracking eigentlich? Wenn man mindestens einige 100 Kombinationen ausprobieren muss, um das Passwort zu erraten, sollte es doch sicher genug sein. Der Dienstanbieter könnte den Account doch nach einigen Fehleingaben sperren, oder?

Passwort cracking

Dazu muss man verstehen, wie die ganze Sache funktioniert. Der Dienstanbieter (z.B. Gmail) kennt das Passwort selbst gar nicht, sondern berechnet aus dem Passwort, wenn es das erste mal festgelegt wird einen Hash. Nur dieser wird abgespeichert. Wenn man sich das nächste mal einloggt, wird das Passwort wieder gehasht und mit dem bestehenden Hash verglichen.

Was jetzt aber passieren kann, ist das Jemand die Liste von Benutzernamen und gehashten Passwörtern an sich bringt, und dann versucht durch ausprobieren an die Passwörter zu kommen. (Das ist dann wenn man die Mail vom Serviceanbieter bekommt, es wären “Daten” abhanden gekommen und man sollte sein Passwort wechseln.) Vorgehensweise: Irgendein Wort hernehmen, Hash berechnen, vergleichen, wiederholen. Dabei können dann viele Millionen von Kombinationen pro Sekunde ausprobiert werden. Und dem sollte ein Passwort standhalten! Wenn dann das passende Passwort zum Hash gefunden wurde, kann man es verwenden um sich beim Dienst einzuloggen (wenn der Benutzer in der Zwischenzeit sein Passwort nicht geändert hat). Schlimmer noch: Wenn der Benutzer überall die gleiche Mailadresse und das gleiche Passwort verwendet, stehen auf einen Schlag alle Benutzerkonten offen.

Merksätze

Daher ist es am besten, wenn man zu jedem Dienst ein eigenes Passwort verwendet. Aber wie soll man sich die alle Merken? Wie oben schon angedeutet am besten mit einer Kombination aus Merksatz und dem Namen des Dienstes. “Loginfürmicrosoft”, “Loingfürgmail”, etc. Beide extrem einfach zu merken, trotzdem sehr sichere Passwörter! Dennoch ist es sinnvoll Zahlen und Sonderzeichen zu verwenden, ganz einfach wegen der ganzen Dienste, die das voraussetzen und einem damit den schönen Merksatz kaputt machen. Mit “Loginfürmicrosoft$0” sollte man also für alle Fälle gerüstet sein.

Kommentar verfassen