Immer wieder stellt sich vor allem im Büro das gleiche Problem: Mein Passwort wird nicht akzeptiert. Inzwischen ist es üblich, vom Nutzer Passwörter mit mindestens 8 Zeichen zu verlangen, wobei jeweils mindestens eines der Zeichen aus mindestens drei der vier Kategorien Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Ziffern bestehen muss. Der ADAC verlangt inzwischen 14 Zeichen aus allen vier Kategorien - ohne Aufschreiben geht hier gar nichts mehr.
Ein Problem kann dabei entstehen, wenn man sprachspezifische Buchstaben wie die deutschen Umlaute oder Sonderzeichen wählt, jedenfalls, wenn man das Passwort auf unterschiedlichen Computern mit unterschiedlichen Tastaturlayouts eingeben muss oder wenn man das Passwort mal auf dem Computer, mal auf dem Smartphone eingeben will.
So empfiehlt es sich, als Buchstaben nur die 26 Zeichen A…Z und a…z zu wählen und sich bei den Sonderzeichen auf die zu beschränken, die auf den genutzten Tastaturlayouts (englisch, französisch, ...) an der gleichen Stelle liegen.
Wer beispielsweise öfter zwischen einer deutschen und einer englischen Tastatur wechselt, sollte z/Z und y/Y meiden, da die bei beiden Tastaturen vertauscht sind und wer das vergisst, muss die wenigstens die Passworteingabe noch einmal beginnen. Auf kleinen Notebooks fehlt der separate Ziffernblock. Statt dessen wird der Ziffernblock auf die normale Tastatur gelegt, gerne in das Trapez der Tasten [7], [0], [-], und [M]. Manchmal sind Notebooks bockig und schalten nach dem Booten immer (mal) wieder diesen Ziffernblock ein oder beim Arbeiten führt ein falscher Tastendruck zu dessen Aktivierung. Danach endet jeder Versuch, ein Passwort einzugeben, mit einer Ablehnung.
Oft wird gefordert, dass ein Passwort regelmäßig gewechselt werden soll. Doch auch das ist überholt, das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt dazu, dass Passwörter durch den regelmäßigen Wechsel eher immer schwächer würden und rät zur 2-Faktor-Authentifizierung oder zu Passkeys - aber wer bietet die an?
Inzwischen wird für dümmlichste Angebote im Internet ein Benutzerkonto gefordert oder über den Account werden nur Informationen verwaltet, die man auch in der Zeitung veröffentlichen könnte. Aber den Betreibern geht es um Argumente, um möglichst hohe Einnahmen aus Werbung zu erhalten und da zählt ein großer Stamm angemeldeter Benutzer.
Da werden dann oft komplizierte Passwörter verlangt, die wie oben beschrieben gebaut sind. Grundlage dafür ist beispielsweise der Cyber Resilience Act (CRA) 2024/2847 der Europäischen Union vom 23.10.2024. Das BSI beschreibt in der Technical Guideline TR-03183 und in weiteren Dokumenten seine Vorstellungen von Passwörtern: 8…16 Zeichen reichen, aber nur wenn Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten sind.
Damit wird das Ganze zum Problem für den Benutzer. Wenn das Passwort diesen Regeln entspricht, kann ein Anbieter sagen, dass seine Art der Passwortverwaltung dem Stand der Technik und der Empfehlung des BSI entsprach. Wenn also das Passwort des Benutzers trotzdem gehackt wurde, muss der Benutzer dem Anbieter ein Verschulden nachweisen.
Meiner Meinung nach führt das nur dazu, dass mehr Passwörter auf einen Zettel geschrieben werden und an Monitor oder unter der Tastatur kleben – also Pseudosicherheit. Natürlich kann man einen Passwortmanager benutzen, aber der müsste auf allen Endgeräten des Benutzers verfügbar und synchronisiert sein und wäre beim Booten des Betriebssystems nicht verfügbar.
In der Fertigung eines Unternehmens brauchen die Mitarbeiter nicht unbedingt einen eigenen Computer, also gibt es Besprechungszonen, wo die Mitarbeiter allgemeine Unternehmensinformationen oder Kantinenpläne abrufen können. Aufgrund verschiedener Industrienormen dürfen auch solche Computer nicht ohne Passwortzugang sein - also muss auch hier ein Passwort her, welches als Zettel unter der Tastatur klebt …
Wenn Unternehmen Konformität zur ISO/IEC 27001 anstreben (müssen), dann beschreibt Annex 9 in dieser Norm, wie Passwörter zu speichern sind. Das betrifft die Passwörter von Kunden wie auch die von Systemen und Mitarbeitern, vor allem wenn das Unternehmen auch noch eine kritische Infrastruktur betreibt. der genannte Annex 9 fordert, dass Passwörter erst kryptografische(!) Hash-Algorithmen und Salts durchlaufen müssen, bevor sie abgelegt werden. So gespeicherte Passwörter sind nicht rekonstruierbar. Bei der nächsten Anmeldung durchläuft das angegebene Passwort den gleichen Prozess bis zum Hash und wird dann mit dem gespeicherten Wert verglichen.
Was heißt das? Eine Hash-Funktion verarbeitet eine Eingabe so, dass aus der Ausgabe die Eingabe nicht rekonstruierbar oder auch nur einschränkbar sind, obwohl die Hash-Funktion öffentlich bekannt ist. Der Hash wird dann beim Absender und erneut beim Empfänger angewendet und in der Passwort-Datenbank des Empfängers abgelegt. Wird die Datenbank jetzt von einem Datendieb kopiert, kann dieser nichts mit de Passwörtern anfangen, denn er muss Passwörter finden, die beim Übermitteln an den Empfänger durch die Hash-Funktion gelaufen sind und genau das gespeicherte Passwort ergeben.
Eine Möglichkeit das zu erreichen wäre, Rainbow-Tables zu erstellen. Dazu gibt man beliebige Werte in die Hash-Funktion ein. SHA3-256 erzeugt daraus immer einen Wert mit 256 Bit, was bedeutet, dass SHA3 bis zu 2256 ≈ 115·1075 (115 Dodezilliarden) unterschiedliche Ausgaben liefert. Die speichert man mit den Eingaben, braucht aber entsprechend viel Speicher und Rechenzeit, bis die Tabelle voll ist. Nun könnte man die Tabelle tatsächlich erzeugen und hätte dann für alle Hash-Verfahren, die auf SHA3-256 basieren, ein gültiges Passwort zum Hash. Dagegen lässt sich eine zweite Maßnahme anwenden, der Salt. Der Empfänger hängt an jedes übermittelte Passwort (oder dessen Hash) noch eine beliebige (aber immer gleiche) Zeichenfolge an. Dadurch entstehen aus der Eingabe völlig andere Hashes und die Rainbow-Tabelle wird wertlos.
Ein sehr einfaches Beispiel für einen Hash wäre es, wenn Sie allen Buchstaben eines Passwortes einen Wert geben und dann alle Werte aufaddieren. Weisen wir jedem Buchstaben dessen Position im Alphabet als Zahl zu, alsso A=1, E=6 und Z=26. Am Beispiel des Passwortes "REGEN" sieht das so aus:
REGEN=18+5+7+5+14=49
Leider führt das Passwort REGEN (Niederschlag) zum gleichen Hash-Wert wie EGERN (Ortsteil von Rottach-Egern im Landkreis Miesbach), NEGER (Afrikaner) oder GENRE (Musik), diese Passwörter würden also mit dieser Art der Hash-Wert-Berechnung ebenfalls den Zugang erlauben. In Excel 2000 und Excel 2002 (XP) hat Microsoft einen Hash-Wert von einem Byte generiert, man musste lediglich ein Probierprogramm in Excels eigener Programmierumgebung VBA erstellen, welches systematisch 256 Passwörter erzeugte und nach wenigen Sekunden die Datei öffnete.
Natürlich kann man den Hash-Algorithmus verfeinern, in dem beispielsweise der Stellenwert ebenfalls in die Berechnung einbezogen wird, damit wird auch die Reihenfolge der Buchstaben im Hash berücksichtigt. Besser, aber immer noch nicht gut ist diese Berechnung:
| Einfache Hashwert-Berechnung | |||||
|---|---|---|---|---|---|
| Passwort | R | E | G | E | N |
| Buchstabenwert | 18 | 5 | 7 | 5 | 14 |
| Stelle | 1 | 2 | 3 | 4 | 5 |
| Produkt | 18 | 10 | 21 | 20 | 70 |
| Hash | 18×1+5×2+7×3+5×4+14×5=139 | ||||
Man kann sich leicht ausrechnen, dass wenn das Passwort c unterschiedliche Zeichen enthalten darf und die Länge n Zeichen lang sein darf, dann gibt es maximal c×n×(n+1)/2 verschiedene Hash-Werte für cn verschiedene Passwörter.
Das Verfahren kann man noch verbessern, indem man dem Wort REGEN noch einen Salt anhängt, also beispielsweise mit dem Salt IZT das Wort REGENIZT dem Hash-Algorithmus übergibt.
Aktuelle Hash-Algorithmen meinem Lehr-Beispiel selbstverständlich überlegen. Grundsätzlich bietet die Speicherung des Passwortes als Hash-Wert die bereits genannten Vorteile: Das Passwort muss nicht im Klartext gespeichert werden, es muss noch nicht einmal im Klartext übermittelt werden, denn der Hash-Generator-Algorithmus kann beim Client laufen (sicherheitshalber auch noch einmal als zweiter Hash-Generator auf dem Server). Falls verschiedene Server unterschiedliche Salt-Werte verwenden, kann man am Hash noch nicht einmal erkennen, ob der Nutzer für jeden Account das gleiche oder mehrere unterschiedliche Passwörter verwendet.
Außerdem haben Hashes feste Längen. Ein mit SHA3-256 erstellter Hash benötigt 256 Bit = 32 Byte Speicherplatz.
Natürlich könnte ein Hacker den Hash-Wert in der Datenbank austauschen und sich Zugang verschaffen, aber dem Nutzer fällt beim nächsten Login sofort auf, dass sein Passwort nicht mehr funktioniert.
Der Empfänger, der ein Passwort speichert, darf bei normkonformer Speicherung das Passwort nicht kennen. Aber speichert der Empfänger das Passwort wirklich auf diese Art?
Wenn beim Passwortwechsel bestimmte Begriffe im Passwort abgelehnt werden, ist ihr Passwort vermutlich im Klartext übermittelt worden und damit wäre es möglich, das Passwort im Klartext zu speichern.
VORSICHT FALSCHE VERUNSICHERUNG: Manche Anwendungen verlangen "gute" Passwörter. Insbesondere wenn die Anwendung beim Passwortwechsel meckert, weil das neue Passwort dem alten zu ähnlich ist (beispielsweise von Hurz23 → Hurz24), können Sie davon ausgehen, dass Ihr Passwort im Klartext, und nicht als Hash gespeichert wurde! Wenn dann der Betreiber des Servers noch über irgend welche AGBs Ihnen besondere Verantwortung für Risiken durch Passwortverlust zuschieben, dann lassen Sie die Finger von diesem Anbieter.
Immer wieder werden in Medien Hitlisten der einfältigsten Passwörter veröffentlicht und das angeblich ungeheure Sicherheitsrisiko oder die unglaubliche Ignoranz der Benutzer gegenüber der Cyber Sicherheit angeklagt.
Die erste Frage, die man sich hier stellen muss, ist: Wie kann man die Passwörter überhaupt ermitteln? Das deutet eher auf ein Sicherheitsrisiko bei den Passwort-Datenbanken von Webseitenbetreibern hin, die offensichtlich nicht den Standard nach ISO/IEC 27001 Annex 9 erfüllen.
Zum anderen ist die Frage, ob solche Passwörter überhaupt für schützenswerte Daten und Konten eingesetzt werden. Ein Werbe-Newsletter mit den neuesten Sonderangeboten enthält mit Sicherheit keine schützenswerten Daten und trotzdem verlangen die Anbieter oft, dass man mehr als nur eine Emailadresse angibt. Also meldet man sich vielleicht mit einer Wegwerf-Emailadresse und einem einfallslosen Universal-Passwort an.
Es gibt eine relativ einfache Methode Passwörter zu konstruieren, die einerseits schwer durchschaubar sind, nicht in Wörterbüchern vorkommen und auch noch leicht zu merken sind: Man wählt die Anfangsbuchstaben der Worte eines Merksatzes, nimmt Satzzeichen mit und ersetzt Wörter – soweit möglich – in Zahlen. Hier einige Beispiele:
| Passwort | Merksatz | Quelle |
|---|---|---|
| Sons,dihdF | Sein oder nicht sein, das ist hier die Frage | Hamlet, Shakespeare |
| Sg6ueg8 | Sie gibt Sex und er gibt acht | alter Otto-Kalauer |
| SminA,K | Schau mir in die Augen, Kleines | Humprey Bogart in ‘Casablanca’ |
| Sn1m,S | Spiel's noch einmal, Sam | Ingrid Bergmann in ‘Casablanca’ |
| Ü7Bmdg | Über sieben Brücken mußt Du gehen | Schlagertitel von Peter Maffay |
| Mu7idWniO | Morgens um 7 ist die Welt noch in Ordnung | Buchtitel von Eric Malpass |
Eine Methode, um sich nicht allzu viele Passwörter zu merken, besteht darin, das ein Grundpasswort wie Sn1m,S (aus "Spiel's noch einmal, Sam") mit einem Präfix für den Dienst kombinieren, also beispielsweise mit amzn zu amznSn1m,S oder ottoSn1m,S für den jeweiligen Online-Händler oder webSn1m,S und gmxSn1m,S für die Konten bei Freemailern.
Dennoch sind hier verschiedene Grundpasswörter sinnvoll, z.B. eines für sehr Email-Konten, ein anderes Grundpasswort für regelmäßig benutzte Online-Händler und einige für unwichtige Zugänge.
Den Rest packt man in einen Passwort-Manager wie KeePass, idealerweise auf einen USB-Datenträger, der nur eingesteckt wird wenn ein Passwort gebraucht wird. Doch auch hier besteht das Problem dass die Synchronisation zwischen unterschiedlichen Systemen wie Windows PC und iPhone eher Handarbeit ist.
Der Passwortverwaltung des Browsers würde ich persönlich nur unwichtige Passwörter anvertrauen, auch wenn ich dem Browserhersteller selbst vertraue. Der Browser ist stets mit dem Internet verbunden und wegen der nur noch drei existierenden Browser-Engines (Webkit in Apple-Browsern, Chromium in Google Chrome und Microsoft Edge und schließlich Gecko in Firefox) ist es für Hacker sehr interessant, einen integrierten Passwortmanager zu knacken.
Passwort-Manager sollte man von vertrauenswürdigen Seiten laden, ich persönlich bevorzuge dazu heise.de, da hier die Downloads von Heise gehostet und mit mehreren Virenscannern geprüft werden. Einen solchen Service bieten sicher auch andere, vertrauenswürdige Webseiten.
| n = Anzahl Buchstaben |
z = Passwortvarianten | Rechenzeit |
|---|---|---|
| 1 |
62 |
15,5 ns |
| 2 |
3.844 |
961 ns |
| 5 |
916.132.832 |
229 ms |
| 10 |
839.299.365.868.340.000 |
6,66 Jahre |
| 14 |
1,24017694346575 · 1025 |
98.300.000 Jahre |
Längere Passwörter sind zweifellos sicherer. Das kann man sich auch ganz schnell ausrechnen:
Je nach Betriebssystem und Programm dürfen Sie mal mehr und auch mal weniger Zeichen
verwenden.
Ganz allgemein unterscheiden aber alle Betriebssysteme zwischen Groß- und Kleinschreibung und
sie lassen Ziffern zu.
Wenn die Großbuchstaben A…Z (ohne Umlaute), die Kleinbuchstaben a…z und die Ziffern 0…9 in Passwörtern erlaubt sind, dann gibt es für ein Passwort mit n Zeichen
z verschiedene Möglichkeiten, ein Passwort zu bilden.
Die Summe in Klammern gibt für ein einzelnes Zeichen in einem Passwort an, wie viele verschiedene Möglichkeiten es gibt, dieses einzelne Zeichen zu wählen und die Potenz n gibt an, wie viele Zeichen das Passwort haben soll.
Die rechte Tabelle zeigt, wie viele verschiedene Möglichkeiten es gibt, sich ein Passwort
auszudenken. Die rechte Spalte 'Rechenzeit' beschreibt, wie lange man mit einer 'brute force'
Attacke, also dem systematischen durchprobieren aller Passwörter braucht, um ein bunt
gewürfeltes Passwort zu knacken.
Die Rechnung enthält dabei folgende Annahmen zu Gunsten des Hackers, der das Passwort knacken
will:
Wenn der Hacker verschiedene Passwörter knackt, muss er im statistischen Mittel die Hälfte aller Möglichkeiten probieren, bis er das richtige Passwort findet.
Der Rechner hat einen 2 GHz Prozessor und kann bei jedem Arbeitstakt ein neues Passwort berechnen, ausprobieren und erhält von der Gegenstelle auch die Information, dass das Passwort angenommen/zurückgewiesen wurde. Diese Annahme ist natürlich auch bei einem Multicore-Prozessor Unfug, so schnell arbeitet kein Passwort-Knacker, und ohne weitere Unterstützung (Grafikkarten, KI-Beschleuniger, Rechenzentrum, Geheimdienst) passiert da wohl nichts.
VORSICHT FALSCHE VERUNSICHERUNG: Lassen Sie sich nicht zu sehr von diesen Zahlen beeindrucken. Ich habe schon von "Sicherheitsunterweisungen" gehört, bei denen man den Teilnehmern vormacht, wie ein Rechner ein Passwort aus sechs Kleinbuchstaben (a…z, also 266 = 308 915 776 Möglichkeiten) bei 11 Millionen Versuchen je Sekunde in weniger als 30 Sekunden knackt. Das ist natürlich Unsinn, denn der Fehler liegt hier nicht beim Anwender und seinem Passwort, sondern bei dem Server, der 11 Millionen Passwortanfragen für den gleichen Benutzer in 30 Sekunden beantwortet – das ist ganz offensichtlich ein Problem der IT, welches auf den Anwender geschoben werden soll. Da Passwärter über Netzwerke immer von einem bestimmten Rechner kommen, sollte also eine verzögerte Bearbeitung eines Logins ("Sie warten noch eine Sekunde bis zur Antwort") kein Problem sein.
Hinweis: Nehmen wir an, es wird eine deutsche Standardtastatur verwendet und alle Zeichen sollen über die Tastatur eingebbar sein. Dann gibt es:
30 Kleinbuchstaben a…z, ä, ö, ü, ß
29 Großbuchtsben A…Z, Ä, Ö, Ü
10 Ziffern 0…9
36 Sonderzeichen (ohne die Tottasten ´ ´ ^)
Für jedes Zeichen gibt es also z = (30+29+10+36) Möglichkeiten, außer für vier Zeichen, die aus einer der vier Gruppen stammen müssen. Es gibt also (z–30)·(z–29)·(z–10)·(z–36)·zn-4 verschiedene Möglichkeiten. Ohne Beschränkung wären es zn Möglichkeiten. Na und, werden Sie vielleicht sagen. Ich möchte damit zeigen, dass diese Regeln technische eine Verschlechterung bedeuten, aber ihre praktischen Vorteile aus der unterstellten Faulheit des Nutzers ziehen (wollen).
Insbesondere Firmen lassen ganze Datenträger verschlüsseln, bevor sie ihren Mitarbeitern einen Computer übergeben. Noch bevor das Betriebssystem bootet (fremde Verschlüsselungen wie VeraCrypt) oder spätestens beim Login (Windows BitLocker) wird ein Passwort verlangt, welches einem Treiber erlaubt, die wesentlichen Teile der Festplatte zu entschlüsseln. Durch dieses Verfahren wird sichergestellt, dass ein Dieb weder auf die Daten zugreifen kann noch temporäre Dateien von Windows findet, um an Informationen oder weitere Passwörter zu kommen.
Es gibt prinzipiell zwei Methoden, eine solche Verschlüsselung mit einem Passwort zu sichern:
Die Verschlüsselungssoftware könnte mit dem Anwender-Passwort den ganzen Datenträger verschlüsseln.
Die Software hat einen eigenen geheimen Schlüssel (System-Passwort). Wenn der Anwender sein Anwender-Passwort richtig eingibt, entschlüsselt die Software mit dem System-Passwort die Festplatte.
Beide Verfahren haben Vor- und Nachteile.
Methode 1:Methode 2:
Beide Verfahren:
Hinter dem Passwort in Methode 2 liegt der Wiederherstellungsschlüssel. Besonders Microsoft möchte die Schlüssel seines BitLockers gerne in dem Benutzerkonto in der seiner Cloud speichern. Medienberichte zeigen, dass Microsoft Schlüssel auch an Ermittlungsbehörden herausgibt. Das ist in sofern beunruhigend, als das unter dem Namen "Gagging-Act" bekannte US-Gesetz Unternehmen wie Microsoft zur Kooperation mit Geheimdiensten verpflichtet, ohne dass die betroffenen Personen davon erfahren oder Gerichte etwas genehmigen müssen. Selbst wenn eine Strafverfolgungsbehörde wie das FBI die Herausgabe per Gerichtsbeschluss erzwingt, könnte es um Handlungen gehen, die nur nach US-Recht strafbar wären.
VORSICHT FALSCHE VERUNSICHERUNG: Auch wenn der Anwender regelmäßig aufgefordert wird, sein Passwort zu ändern, verbessert das nicht die Sicherheit von System 2, denn das System-Passwort bleibt unverändert. Änderungsbedarf gibt es höchstens beim Wechsel der Verschlüsselungssoftware oder einer Neuinstallation.
Ähnlich ist das Problem, wenn statt eines Passwortes ein Fingerabdruck den Zugang erlaubt. Jeder Fingerscan ist ein wenig anders. Wenn das System nicht unbenutzbar werden soll, muss es leichte Abweichungen vom gespeicherten Fingerabdruck zulassen und dann das System-Passwort freigeben. Auch hier liegt die Sicherheit darin, dass sich das System nicht falsche Finger unterschieben lässt (Angriffsmöglichkeiten mit Fingern aus Gelatine sind bekannt) und dass der vom System gespeicherte Fingerabdruck des autorisierten Anwenders nicht gegen einen anderen ausgetauscht werden kann.
Passwörter werden meist per Tastatur eingegeben. Sobald sich ein Keylogger auf dem System eingenistet hat, kann der Tastatureingaben mitschreiben. Wie wir von Banking-Trojanern wissen, können diese Programme sogar erkennen, ob der Anwender gerade seine Bankgeschäfte online erledigen möchte.
Manche Banking-Portale bieten eine Tastatur auf dem Bildschirm an, die mit der Maus bedient werden kann. Das sperrt zwar die Keylogger aus, aber wer in der Firma am Beamer sitzt, zeigt damit jedem sein Passwort.
| 1 (Leerzeichen) |
2 ABC |
3 DEF |
|---|---|---|
| 4 GHI |
5 JKL |
6 MNO |
| 7 PQRS |
8 TUV |
9 WXYZ |
| * |
0 + |
# |
In manchen Fällen muss das Passwort eine Zahl sein. Pech, wenn die Zahl vorgegeben wird, so wie bei EC-Karten. Manche Kreditkarten-Anbieter erlauben, die PIN selbst festzulegen und bei Handys kann man einige PIN's frei wählen.
Speziell bei Handys funktioniert die Buchstabenmethode, denn wie das Beispiel rechts zeigt, sind auf der Zifferntastatur sind auch Buchstaben angegeben. In den USA sind seit Jahren sogenannte 'Vanity'-Nummern üblich, also Nummern, die sinnvollen Buchstabenfolgen entsprechen (in Deutschland bei der Bundesnetzagentur zu beantragen). In der Werbung heißt es dann 'Wählen Sie 0800-Pizza', gemeint ist, dass sie 0800-74992 wählen sollen. Tippen Sie auf Ihrem Handy mit den Buchstaben das Wort Pizza zusammen und Sie erhalten die Ziffern 74991.
Das geht auch mit ganz normalen PIN's:
Wählen Sie ein spezielles Wort, wie z.B. 'Pizza' oder -wie oben- einen Satz als Passwort, z.B. 'Es gibt kein Bier auf Hawaii'
Suchen Sie die Ziffern zu den Anfangsbuchstaben dieses Satzes, also E=3, G=4, K=5, B=2, A=2, H=4
Die PIN dieses Beispiels lautet also 345224.
Eine Zeit lang war es bei manchen Radiosendern ein beliebtes Spiel, dem Hörer eine Zahl zu geben und ihn den zugehörigen Text raten zu lassen. Dazu muss man alle Buchstabenkombinationen erstellen, die mit den gegebenen Ziffern möglich sind und dann die sinnvollen Worte heraussuchen. Spätestens als sich die Wortergänzung T9 auf den Mobiltelefonen durchgesetzt hat, verlor dieses Spiel seinen Reiz.
Es gibt aber auch eine zweite Anwendung: Ich habe eine PIN, die ich mir schlecht merken kann. Gibt es ein Wort, welches der PIN entspricht? Die Antwort liefert das kleine JavaScript in dieser Seite – einfach eine Nummer eintippen und den Button klicken.
Man sollte allerdings bedenken, dass bei dieser Konstruktionsmethode für Wörter aus PINs der 0 und der 1 kein Buchstabe zugeordnet ist.
Sicherheitshinweis: Dieses JavaScript läuft nur lokal auf Ihrem Rechner und benötigt keine Verbindung ins Internet. Sie können also nach dem Laden dieser Seite die Internetverbindung trennen und ihre geheimsten PINs ausprobieren. Sie könnten allerdings Schadprogramme auf Ihrem Rechner haben, aber dafür kann ich wiederum nichts.
Diese Seite können Sie daher auf Ihrer Festplatte speichern und von dort offline ausführen. Das Skript ist rekursiv programmiert und die Laufzeit nimmt exponentiell mit der Zahl der eingegebenen Ziffern zu – bei mehr als 5 Ziffern werden Sie Verzögerungen merken. (Genaue Beschreibung des Skripts)