Das Passwort-Dilemma

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) ist es nun auch angekommen: Regelmäßiger Passwortwechsel ist grober Unfug. Doch was ist ein gutes Passwort?

Die Güte eines Passworts bemisst sich letztendlich daran, wie lange es Rateversuchen stand hält. Zumindest im digitalen Bereich gibt es dafür Automaten, die ziemlich flott alles Mögliche durchprobieren können. Dafür nehmen sie Wortlisten, geklaute Passwörter, … – die Quellen sind vielfältig. Der maßgebliche Schutz entsteht durch den Faktor »Zeit«.

Denn bei aller Geschwindigkeit, kostet Ausprobieren jedes Mal ein paar Sekunden. Je nach angegriffenem Konto und dessen Schutzmechanismen führen mehrere Anläufe zu Zeitsperren, die jeden weiteren Versuch immer länger dauern lassen. Daher ist die Abwehr der ersten und typischen Angriffe auf einen geschützten Bereich die wesentliche Eigenschaft eines Passworts. Ist es zu schlicht („123456“) kommt sogar der Aushilfshausmeister an die Fernzugriffssoftware des Tresors der Sparkasse, dessen Direktor damit seinen auf dem Schreibtisch zurückgelassenen Laptop „schützt“.

Das erste Paradigma: Länge

Die lässt sich sehr einfach durch Worte erzeugen.

DielässtsichsehreinfachdurchWorteerzeugen.

Schon ist ein ziemlich robustes Passwort gefunden. Das sind 42 leicht erreichbare Zeichen von über 80, die für Passwörter nahezu überall verwendbar sind:

abcdefghijklmnopqrstuvwxyzäöüß
ABCDEFGHIJKLMNOPQRSTUVWXYZAÖÜ
0123456789#.:-_!?$§()[]{}=…

Sonderzeichen (dazu zählen im internationalen Bereich auch äöüß) sind häufig aus fadenscheinigen Gründen nur beschränkt nutzbar, doch aus den rund 80 unkritischen und bei einer Länge von 42 Zeichen ergeben sich 8042 also etwas über 8,5*1079 Möglichkeiten. Selbst wenn berücksichtigt wird, dass es für sinnvolle Worte weniger Kombinationen gibt, hilft das nur bedingt, weil es lediglich eine kann, jedoch keine muss-Einschränkung ist. So oder so bleiben verdammt viele Möglichkeiten, die selbst bei einer theoretischen Geschwindigkeit von 1/1000-tel Sekunde pro Versuch ziemlich lang dauert ( circa 2,69*1069 Jahre).

Ein neben vielen weiteren ausgerechnet bei Webseiten von Banken gebräuchliche Beschränkung der Passwort-Länge vereinfacht Angriffe erheblich. Häufig finden sich Anmerkungen wie »…mindestens 6, jedoch höchstens 12 Zeichen«. Damit ist vorher klar, wie lang die verwendeten Passwörter sein müssen bzw. sein können. Es schränkt die Anzahl auf etwas über zwei Billionen Möglichkeiten ein. Gegenüber rund 85 Tredezillionen1 ist das überschaubar.

Wer lediglich sechs Zeichen aus 80 nutzt, kommt in zeitliche Reichweite, denn das dauert gerade einmal circa 8,3 Jahre. Klingt lang, doch kann das durch den Einsatz mehrerer parallel arbeitenden Systeme auf Stunden verkürzt werden.

Bei einer eingeschränkten Passwort-Länge ist die Maximal-Länge die Mindestlänge für ein „gutes“ Passwort.

Das zweite Paradigma: Komplexität

Hier geistert immer wieder die Annahme herum, dass ein Passwort möglichst kryptisch aussehen müsse. Das ist objektiv Käse, denn für eine Maschine sind die verwendeten Zeichen schlicht egal. Sie verwendet verschiedene Strategien, in denen für uns „komische“ Zeichen allein schon deshalb vorkommen, weil uns das als Strategie für sichere Passworte weisgemacht wurde.

Komplexität entsteht durch Länge (s.o.) und Unerwartbarkeit. Während „123456“ ein sehr erwartbares Passwort ist, stellt „423651“ dagegen schon eine gewisse Herausforderung dar, die jedoch immer noch meilenweit von einem „guten“ Passwort entfernt ist.

Gute Passworte

Das sind Kunstworte, die es bestenfalls in keinem Wörterbuch gibt, kombiniert mit ein paar Zahlen und Sonderzeichen mit reichlich Länge. Als „Merkhilfe“ für die eigenen Passworte (denn natürlich werden verschiedene für Verschiedenes verwendet) lassen sich Regeln definieren, beispielsweise doppelte Buchstaben durch Zahlen oder Zeichen beim ersten oder erneuten Vorkommen ersetzen, Groß-/Kleinschreibung nach einem System falsch anwenden, … – darüber einmal nachgedacht und konsequent angewandt, sind „gute“ Passworte schnell erstellt und → merkbar!

Wer sich für Passworte eine „Fantasiewelt“ erschafft, durch die gewandert werden kann, damit aus den dortigen Wesen und Dingen für andere bizarre Passworte erstellt werden können, hat gute Chancen auf ein langlebig sicheres Passwort, das sich gut merken lässt und bei jedem Eingeben vielleicht sogar ein Schmunzeln ins Gesicht malt. Sicherheit kann Spaß machen!

„Gute“ Passworte müssen nur geändert werden, wenn der Verdacht besteht oder angenommen werden muss, dass sie in fremde Hände gefallen sind. In diesen Fällen sind grundlegend neue Passworte Pflicht.
Wer lediglich Abwandlungen vermutlich komprimierter Passworte nutzt, handelt grob fahrlässig.

Für „Passwort-Vergesser“ gibt es – neben mehr oder weniger bepreisten kommerziellen, aber deshalb keineswegs besseren/sichereren Lösungen – die kostenlose, hochwertige (, deutschsprachige) Software »KEEPASS«, mit der sich Passwörter luxuriös verwalten, merken und „kryptische“ erzeugen lassen. Die Passwort-Datenbank lässt sich sogar auf das Mobil-Telefon kopieren, weil es (soweit mir bekannt) sowohl Android als auch iOS Software gibt, mit der sich die mit dem Programm geschützten Passworte wie der Haustürschlüssel in die Tasche stecken lassen.

Das Bild stammt von Pixabay.


  1. Das habe ich bei Wikipedia nachgeschlagen. ↩︎