Wie merke ich mir eigentlich

Passwörter

Immer wieder stellt sich vor allem im Büro das gleiche Problem: Mein Passwort ist eigentlich zu einfach. Was passiert z.B. wenn mein Passwort ‘Fledermaus’ ist und ein böser Mensch nur ‘Fleder...’ sieht ? Den Rest des Passwortes kann er sich denken. Manche Menschen verwenden auch Passwörter, die über dem Schreibtisch hängen, z.B. die Namen von Kindern, Partnern, Haustieren oder Geburtstage. Es gibt Programme, die systematisch Wörterbücher durchgehen und jedes gefundene Wort als Passwort eingeben - da ist ein Passwort schnell geknackt.

Von Rechenzentren und IT-Dienstleistern bekommt man oft Buchstabensalat als Passwörter - aber wer kann sich so etwas merken ?

Standardpasswörter

Es gibt eine relativ einfache Methode Passwörter zu konstruieren, die einerseits schwer durchschaubar sind, nicht in Wörterbüchern vorkommen und auch noch leicht zu merken sind: Man wählt die Anfangsbuchstaben der Worte eines Merksatzes, nimmt Satzzeichen mit und ersetzt Wörter - soweit möglich - in Zahlen. Hier einige Beispiele:

Passwort Merksatz Quelle
Sons,dihdF Sein oder nicht sein, das ist hier die Frage Hamlet, Shakespeare
Sg6ueg8 Sie gibt Sex und er gibt acht alter Otto-Kalauer
SminA,K Schau mir in die Augen, Kleines Humprey Bogart in ‘Casablanca’
Sn1m,S Spiel's noch einmal, Sam Ingrid Bergmann in ‘Casablanca’
Ü7Bmdg Über sieben Brücken mußt Du gehen Schlagertitel von Peter Maffay
Mu7idWniO Morgens um 7 ist die Welt noch in Ordnung Buchtitel von Eric Malpass
Lange Passwörter
n = Anzahl
Buchstaben
MöglichkeitenRechenzeit
1

62

15,5 ns

2

3.844

961 ns

5

916.132.832

229 ms

10

839.299.365.868.340.000

6,66 Jahre

14

1,24017694346575 · 1025

98.300.000 Jahre

Längere Passwörter sind sicherer. Das kann man sich auch ganz schnell ausrechnen: Je nach Betriebssystem und Programm dürfen Sie mal mehr und auch mal weniger Zeichen verwenden.
Ganz allgemein unterscheiden aber alle Betriebssysteme zwischen Groß- und Kleinschreibung und sie lassen Ziffern zu.

Wenn die Großbuchstaben A...Z (ohne Umlaute), die Kleinbuchstaben a...z und die Ziffern 0...9 in Passwörtern erlaubt sind, dann gibt es für ein Passwort mit n Zeichen

    (26 + 26 + 10)n

verschiedene Möglichkeiten ein Passwort zu wählen. Die rechte Tabelle zeigt, wie viele verschiedene Möglichkeiten es gibt, sich ein Passwort auszudenken. Die rechte Spalte 'Rechenzeit' beschreibt, wie lange man mit einer 'brute force' Attacke, also dem systematischen durchprobieren aller Passwörter braucht, um ein bunt gewürfeltes Passwort zu knacken.
Die Rechnung enthält dabei folgende Annahmen zu Gunsten des Hackers, der das Passwort knacken will:

  • Wenn der Hacker verschiedene Passwörter knackt, muss er im ststistischen Mittel die Hälfte aller Möglichkeiten probieren, bis er das richtige Passwort findet.

  • Der Rechner hat einen 2 GHz Prozessor und kann bei jedem Arbeitstakt ein neues Passwort berechnen, ausprobieren und erhält von der Gegenstelle auch die Information, daß das Passwort angenommen/zurückgewiesen wurde. (Diese Annahme ist natürlich Unfug, so schnell arbeitet kein Passwort-Knacker)

Speicherung von Passwörtern

Eine gute Anwendung speichert Passwörter nicht direkt, sonst könnte sie ein erfolgreicher Hacker sofort auslesen und unauffällig verwenden. Statt dessen wird ein "Hash" gespeichert, d.h. wenn das Passwort erstellt wird, erzeugt ein Programm aus dem Passwort einen Code, aus dem das Passwort nicht mehr rekonstruiert werden kann. Gibt man im Passwort-Dialog den Hash statt dem Passwort an, wird der aber nicht als gültiges Passwort erkannt und es gibt (hoffentlich) keinen Weg, auf einfache Weise aus dem Hash-Wert das richtige Passwort zu berechnen.

Ein sehr einfaches Beispiel für einen Hash wäre es, wenn Sie allen Buchstaben eines Passwortes einen Wert geben und dann alle Werte aufaddieren. Am Beispiel des Passwortes "REGEN" sieht das so aus:

REGEN=18+5+7+5+14=49

Leider führt das Passwort REGEN (Niederschlag) zum gleichen Hash-Wert wie NEGER (Afrikaner) oder GENRE (Musik), diese Passwörter würden also mit dieser Art der Hash-Wert-Berechnung ebenfalls den Zugang erlauben. In Excel 2000 und Excel 2002 (XP) hat Microsoft einen Hash-Wert von einem Byte generiert, man musste lediglich ein Probierprogramm in Excels eigener Programmierumgebung VBA erstellen, welches systematisch 256 Passwörter erzeugte und das nach wenigen Minuten die Datei öffnete.

Natürlich kann man den Hash-Algorithmus verfeinern, in dem beispielsweise der Stellenwert ebenfalls in die Berechnung einbezogen wird, damit wird auch die Reihenfolge der Buschstaben im Hash berücksichtigt. Besser, aber immer noch nicht gut ist diese Berechnung:

  Einfache Hashwert-Berechnung
Passwort R E G E N
Buchstabenwert 18 5 7 5 14
Stelle 1 2 3 4 5
Produkt 18 10 21 20 70
Hash 18×1+5×2+7×3+5×4+14×5=139

Man kann sich leicht ausrechnen, dass wenn das Passwort c unterschiedliche Zeichen enthalten darf und die Länge n Zeichen lang sein darf, dann gibt es maximal c×n×(n+1)/2 verschiedene Hash-Werte.

Aktuelle Hash-Algorithmen meinem Lehr-Beispiel weit überlegen. Grundsätzlich bietet die Speicherung des Passwortes als Hash-Wert mehrere Vorteile: Das Passwort muss nicht im Klartext gespeichert werden, es muss noch nicht einmal im Klartext übermittelt werden, denn der Hash-Generator-Algorithmus kann beim Client laufen (sicherheitshalber auch noch einmal als zweiter Hash-Generator auf dem Server). Falls verschiedene Server unterschiedliche Hash-Generatoren verwenden, kann man am Hash noch nicht einmal erkennen, ob der Nutzer auf jedem Server das gleiche oder mehrere unterschiedliche Passwörter verwendet.

Natürlich könnte ein Hacker den Hash-Wert austauschen und sich Zugang verschaffen, aber dem Nutzer fällt beim nächsten Login sofort auf, dass sein Passwort nicht mehr funktioniert.

Allerdings kann man Hashes auch knacken, dazu erstellt man auf Vorrat aus allen möglichen Zeichenkombinationen einen Hash-Wert und legt ihn in einer großen Tabelle (Rainbow-Table) ab. Sobald man einen Hash-Wert gefunden hat, sucht man in der Rainbow-Table nach dem Hash und dem Passwort, dass ihn erzeugt hat. Doch auch dagegen gibt es Mittel, z.B. ist eines als "Salt" bekannt …

Viel zu viele Passwörter

Leider verlangt heute viel zu viele Anwendungen ein Passwort und oft fehlt mir die Relation zur Bedeutung des zu schützenden Zugangs und zum Passwort. So machen komplizierte Passwörter beim Onlinehändler wenig Sinn, da ein Hacker einen erschlichenen Einkauf an eine Adresse liefern lassen muss. Bei Emails ist der Zugang auch sinnarm, wenn unverschlüsselte Emails über die vielen unbekannten Server zum Mailkonto finden. War mitlesen wollte, hat das getan, bevor die Email ankam.

Was früher der Türschlüssel war, ist heute die Passwortsammlung. Wenn ein Passwort so viel wiegen würde, wie ein Türschlüssel, dann wären heute im Autohandel nicht etwa SUVs, Vans und Geländewagen in Mode, sondern Kleinlaster.

Doch wer kann sich diese Passwörter alle merken? Unternehmen verpflichten ihre Mitarbeiter und Kunden zu besonderen Maßnahmen, um ihr Passwort geheimzuhalten und verlangen manchmal auch noch regelmäßige Wechsel des Passwortes, obwohl eigentlich allen klar sein sollte, dass sich das kaum jemand merken kann und solche Bestimmungen eher umgangen als befolgt werden.

Solcher Unsinn hilft also eher bei Abmahnungen und der Abwehr berechtigter Kundenbeschwerden, bei gleichzeitiger Verschlechterung der Sicherheit.

Eine kleine Hilfe

Einen interessanten Vorschlag, um die Passwortflut überschaubar zu halten, hat die c't publiziert: Man nehme beispielsweise ein kompliziertes Grundpasswort für Webanwendungen und hänge für jeden Webdienst ein eigenes Suffix an. Beispielsweise wird aus dem Satz "Schau mir in die Augen, Kleines" das Grundpasswort "SmidA,K" gewählt und bei Google als "SmidA,KGoogle" verwendet, bei Amazon als "SmidA,KAmazon" usw.

Die Methode hat nur noch einen kleinen Nachteil, an dem aber nicht der Anwender schuld ist: Wie wir noch aus den großen Hackerangriffen in 2011 wissen, legen immer noch zu viele Webdienste und sogar Webanwendungen die Passwörter der Kunden/Nutzer im Klartext ab und offenbaren damit auch das Bildungsgesetz für solche Passwörter. Daher ist es auch hier nicht verkehrt, unterschiedliche Grundpasswörter für unterschiedliche Gruppen von Anwendungen festzulegen.

PIN's
1
 
2
ABC
3
DEF
4
GHI
5
JKL
6
MNO
7
PQRS
8
TUV
9
WXYZ
*
 
0
 
#
 

In manchen Fällen muß das Passwort eine Zahl sein. Pech, wenn die Zahl vorgegeben wird, so wie bei EC-Karten. Manche Kreditkarten-Anbieter erlauben, die PIN selbst festzulegen und bei Handys kann man einige PIN's frei wählen.

Speziell bei Handys funktioniert die Buchstabenmethode, denn wie das Beispiel rechts zeigt, sind auf der Zifferntastatur sind auch Buchstaben angegeben. In den USA sind seit Jahren sogenannte 'Vanity'-Nummern üblich, also Nummern, die sinnvollen Buchstabenfolgen entsprechen (in Deutschland bei der Bundesnetzagentur zu beantragen). In der Werbung heißt es dann 'Wählen Sie 0800-Pizza', gemeint ist, daß sie 0800-74992 wählen sollen. Tippen Sie auf Ihrem Handy mit den Buchstaben das Wort Pizza zusammen und Sie erhalten die Ziffern 74991.

Das geht auch mit ganz normalen PIN's:

  • Wählen Sie ein spezielles Wort, wie z.B. 'Pizza' oder -wie oben- einen Satz als Passwort, z.B. 'Es gibt kein Bier auf Hawaii'

  • Suchen Sie die Ziffern zu den Anfangsbuchstaben dieses Satzes, also E=3, G=4, K=5, B=2, A=2, H=4

  • Die PIN dieses Beispiels lautet also 345224.

Man sollte allerdings bedenken, daß bei dieser Konstruktionsmethode für PINs weder die 0 noch die 1 in der PIN vorkommen.


Ein bei manchen Radiosendern sehr beliebtes Spiel ist es, dem Hörer eine Zahl zu geben und ihn den zugehörigen Text raten zu lassen. Dazu muß man 'einfach' alle Buchstabenkombinationen erstellen, die mit den gegebenen Ziffern möglich sind und dann die sinnvollen Worte heraussuchen.
Es gibt aber auch noch eine zweite Anwendung: Ich habe eine PIN, die ich mir schlecht merken kann. Gibt es ein Wort, welches der PIN entspricht ? Die Anwtort liefert das kleine JavaScript in dieser Seite - einfach eine Nummer eintippen und den Button klicken.

PIN:    

Sicherheitshinweis: Dieses JavaScript läuft nur lokal auf Ihrem Rechner und gibt keine Daten weiter. Diese Seite kann daher auch auf der Festplatte gespeichert, und von dort offline ausgeführt werden. Das Skript ist rekursiv programmiert und die Laufzeit nimmt exponentiell mit der Zahl der eingegebenen Ziffern zu - bei mehr als 5 Ziffern bitte ich daher um Geduld. (Genaue Beschreibung des Skripts)