Erst vor ein paar Wochen, ich weiß nicht mehr genau die Quelle, da las ich in einem Artikel von einer britischen Studie, die feststellte, dass nicht nur zu einfache Passwörter ein Sicherheitsproblem darstellen, sondern dass auch der Zwang zum häufigen Wechsel von Passwörtern ein Sicherheitsproblem darstellen kann.
Für mich ist das durchaus nachvollziehbar und ich diskutiere diese Tatsache bereits seit Jahren immer wieder mit Administratoren auch in der eigenen Firma und bei Kunden.
Die Problematik bei häufigen Änderungsanforderungen an das Passwort, z.B. zur Anmeldung am eigenen Rechner, ist die Schwierigkeit sich ein Passwort mit hoher Komplexität jedes Mal erneut zu überlegen und dieses dann auch noch zu merken. Alleine bei Windows Passwörtern führt das dazu, dass dann die komplexen Passwörter doch immer wieder auf einem Post-it irgendwo auf dem Schreibtisch neben dem PC landen, weil sich eben eine Kombination aus Groß und Kleinbuchstaben Ziffern und Sonderzeichen, das ganze ohne Bestandteile eines gängigen Wortes und nicht mit einem der letzten 5 Passwörter der vorangegangenen Versionen vergleichbar, dann eben doch kaum einer merken kann.
So führt sich die eigentlich gut gemeinte Passwort Regel schnell selbst ad absurdum, weil sie den Nutzern zu viel abverlangt. Die Sicherheit sinkt sogar. Denn ein Passwort, dass, für jeden Fremden zugänglich, irgendwo notiert ist, ist weniger sicher als beispielsweise „Bibiana1972“ der Geburtstag der eigenen Ehefrau, auch wenn man solche Passwörter eigentlich nicht verwenden soll. Aber das steht zumindest nicht gleich überall auf jedem Zettel.
Ich halte diese Praxis der ständig wechselnden Passwörter für faktisch unmöglich. 30-60 Passwörter für Webseiten, Anmeldungen an Rechner, E-Mail-Zugängen und wo man sie heute noch so alles braucht sind heute keine Seltenheit mehr. Würde man sich für alle Passwörter an die grundlegenden Komplexitätsregeln halten, würde dies bedeuten sich für im Schnitt 45 Zugänge alle 2-4 Monate neue Passwörter merken zu müssen, die alle ebenfalls der Sicherheit zu liebe den Komplexitätsregel entsprechen sollten.
Ehrlich gesagt, dass tut niemand. Lösungen dafür gibt es viele, nur führen sie alle nicht unbedingt zu mehr Sicherheit. Es gibt Passwort Manager, die alle Passwörter zentral verwalten, oder gar Vereinfachungen wie Windows Hello seit Windows 10. Warum diese Lösungen letztlich meiner Meinung nach auch noch lange nicht die optimalen Lösungen sind, werde ich in einem späteren Artikel genauer erläutern.
Doch das größte Manko, auf das ich immer wieder treffe, ist die Sicherheit von Passwörtern im Allgemeinen. Unabhängig davon wie häufig man Passwörter nun wechselt, sind mit der Anlage sicherer Passwörter die meisten Nutzer bereits überfordert.
Das 12345, qwertzui, qqq, asdfg ebenso wenig sichere Passwörter darstellen, wie bekannte Namen oder lexikalische Begriffe, also Wörter, die in irgendwelchen Wortlisten abgebildet sein könnten, dass sollte sich inzwischen herumgesprochen haben.
Aber wer bitte soll sich denn Passwörter merken können, die derart komplex sind? Dies ist das wohl am weitesten verbreitete Problem, deren Lösung eigentlich so einfach ist und trotzdem kennt sie kaum einer, sie wird kaum irgendwo gelehrt und die allermeisten Menschen kennen sie nicht oder beherzigen diese Regeln nicht.
Machen wir uns an eine Erklärung:
Das Passwort: &ns$G@nmW1.
wird sich kaum einer von Ihnen mehr als ein paar Sekunden lang merken können.
Aber wenn wir uns dieses Passwort nun nach ein paar einfachen Regeln ausgedacht hätten, dann wird sich das Rätsel Stück für Stück lösen.
Jedes Zeichen steht für einen Buchstaben. Zahlen, die im Anschluss einen Punkt mitführen stellen eine Zahl dar. Somit ist klar, dass Passwort besteht aus insgesamt 10 Worten.
Der Trick, sich ein sicheres Passwort auszudenken, besteht aber nicht nur darin, einen Satz in Zeichen zu übersetzen, sondern er muss auch merkbar sein.
Gehen wir mal davon aus, der Inhaber dieses Passworts ein Fan der großen Klassiker der deutschen Literatur ist, so könnte er sich auf der Suche nach einem leicht zu merkenden Passwort, an seine Schulzeit und sein Lieblingsgedicht aus dieser Zeit, den Zauberlehrling erinnert haben.
Die Zeile, an die er sich noch am besten erinnert ist:
Und nun sollen seine Geister
Auch nach meinem Willen leben.
Übersetzen wir das nun in ein Passwort:
Und = & (ihm erscheint einfach nur ein Buchstabe am Anfang zu einfach und gerade das „und“ bietet sich dafür an, durch ein alternatives Zeichen ersetzt zu werden. Dazu bieten sich neben dem „&“ auch „+“, oder bei Betätigung bzw. weglassen der „SHIFT“-Taste die Komplementäre „6“ oder „*“ an.
nun = hier ersetzt der Erfinder unseres Passwortes einfach das Wort nur durch den ersten Buchstaben und schriebt ein „n“
sollen = wie zuvor, das kleine „s“ ersetzt das gesamte Wort.
seine = noch mal ein kleines „s“ erscheint unserem Protagonisten zu einfach, also ersetzt er dies durch ein alternatives Zeichen. Er entscheidet sich für ein „$“, welches eine gewisse Ähnlichkeit mit einem „S“ hat. Zwei „s“, die aufeinander folgen, ließen sich aber beispielsweise zu einem „$“ oder einer „5“ die ebenfalls optische Ähnlichkeit zu einem „s“ zusammenfassen. Möglich wären auch die Verwendung solcher Ersatzzeichen für Groß- oder für Kleinbuchstaben.
Geister = Auch hier wird wieder einfach der erste Buchstabe verwendet.
Auch = Schon wieder, auf Grund der Zeilenweise Schreibweise ein großer erster Buchstabe? Nein dann doch lieber ein Ersatz, in diesem Fall das @-Zeichen.
nach, meinem, Willen = alle Wörter werden jeweils nur durch den ersten Buchstaben ersetzt.
leben = schon wieder ein kleiner Buchstabe erschien unserem Passwort-Ausdenker zu trivial und er wählte stattdessen eine „1“, die optische Ähnlichkeit mit einem kleinen „l“ hat, um zu verdeutlichen, dass es sich hierbei doch um einen Buchstaben handelt, ersetzt er den Buchstaben nicht nur direkt mit einer Zahl, sondern kombiniert dies mit einem Punkt als Erkennungszeichen. Doppelpunkt, Komma, Semikolon sind ebenso denkbar, wie auch eine Kombination.
Wichtig bei alle dem ist immer nur, dass man sich als Anwender selber ein Regelwerk aufbaut, an das man sich jederzeit selbst wieder erinnern kann. Hier bedarf es einfach ein klein wenig Übung.
Insgesamt wirkt also mit einer entsprechenden Erläuterung ein solches Passwort gar nicht so schwer. Plötzlich ist es gar nicht mehr so schwer zu erstellen und auch gar nicht mehr so schwer zu merken.
Noch etwas einfacher wird es, wenn die verschiedenen Passwörter, die man verwenden sollte einen Bezug zur Realität haben, möglicherweise direkt zum Ort der Verwendung. Klar, theoretisch macht sie das zwar einfacher knackbar, aber gerade die Komplexität der Passwörter, die Eigenart, dass jeder Mensch von uns andere Angewohnheiten hat einen Satz zu bilden und etwas anders spricht und die unterschiedlichen persönlichen Daten und Bezüge machen es praktisch unmöglich ein solches Passwort zu knacken, wenn man sich dabei immer an ein paar weitere Grundregeln hält.
- Die optimale Passwortlänge beträgt 10 Zeichen
- Das Passwort enthält mindestens einen Kleinbuchstaben
- Das Passwort enthält mindestens einen Großbuchstaben
- Das Passwort enthält mindestens ein Interpunktions- oder Sonderzeichen -+.,;:_#/*%&?${}[]() usw.
- Das Passwort enthält mindestens eine Zahl zwischen 0-9
- Es sind Leerzeichen, Umlaute oder nicht druckbare Zeichen enthalten öäüéàèÖÄÜÉÀÈç
- Es sind keine identischen Zeichen in Folge / maximal 2 enthalten
- Es enthält keine Zeichenfolgen auf der Tastatur (z.B. qwertzui, asdf) mit mehr als 3 Zeichen
- Es enthält keine ABC- und Zahlenreihen
- Das Passwort taucht nicht in der Wortliste ihrer Heimatsprache, der Landessprache oder in Englisch auf.
Diese Grundregeln klingen tatsächlich komplizierter als sie sind, aber mit ein wenig Übung gestaltet man sehr schnell Passwörter, die diesen Regeln entsprechen, wenn man sich selber Gedanken über die Buchstabenübersetzungen bei der Bildung des persönlichen Passwortes macht.
Idealerweise bildet man dabei Passwörter immer aus ganzen Sätzen, die einem selbst am meisten am Herzen liegen.
In der Firma könnten das Dinge sein wie:
- Im Juli arbeite ich seit über 21 Jahren in diesem Laden hier, wie konnte es nur dazu kommen?
- Peter ist als Kollege echt ein cooler Typ, was würde ich nur ohne ihn machen?
- Wer mich morgens vor acht und vor dem ersten Kaffee anspricht hat ein Problem!
Im privaten Umfeld gestaltet man sich seine Passwörter ähnlich. Auch wenn allgemein gesagt wird, keine persönlichen Daten, wie die Namen der Kinder, deren Geburtsdaten oder den Hochzeitstag zu verwenden, so geht das dennoch problemlos, wenn man auch hier etwas Kreativität an den Tag legt.
Der Satz:
„Ich bin mit meiner Freundin Kunigunde nun schon seit 7 Monaten ein Paar!“ lässt sich prima verwenden und hat sogar noch den Vorteil monatlich aktualisiert werden zu können, was immer wieder ein neues Passwort ergibt. Man muss sich nur eine eigene Nomenklatur für die wechselnden Monate überlegen, die einem selber einleuchtend genug erscheint, dass man sich diese auch merken kann.
Oder man wählt Zitate aus seiner Lieblingsserie, den besten Spruch von Sheldon Cooper oder den fiesesten Spruch von Saturday Night, sein Lebensmotto oder was auch immer einem in den Sinn kommt und an was man sich jederzeit erinnern kann.
Wie sie sehen ist es also eigentlich gar nicht so schwer äußerst sichere Passwörter zu kreieren, ohne dass man Probleme damit bekommt, sie sich auch zu merken. Sicherlich bedarf es einiger Übung, bevor man mit solchen Tricks und Hilfen flüssig neue Passwörter bilden kann. Aber wer das ein paar Mal gemacht hat, dem wird dieser Vorteil zwischen auf diese Art selbst gebildeten Passwörtern und Passwörtern aus elektronischen Generatoren schnell klar. Die Merkbarkeit der Passwörter spricht klar für die eigen-überlegte Variante.
Eine Anmerkung zur Sicherheit solcher Passwörter sei aber an dieser Stelle noch erlaubt. Wenn doch die Regeln zum Erstellen solcher Passwörter eigentlich so einfach sind, warum sind sie dann trotzdem so sicher?
Die Lösung dafür ist ganz einfach. Demjenigen der ihren Account hacken will, und der dafür keine Phishing Attacken, Ausspähprogramme oder vergleichbares benutzen kann, sondern der auf das Ausprobieren des möglicherweise richtigen Passwortes angewiesen ist, fehlt der Kontext und die Kenntnis darüber unter welchen Umständen sie sich das Passwort bei der Erstellung erdacht haben. Vielleicht enthält das Passwort einen Kontext zu seiner Verwendung, vielleicht haben sie bei der Erstellung aber auch gerade an den nächsten Grillabend mit ihren Kumpels oder an den Geburtstag ihrer Tochter gedacht. Was auch immer es gewesen sein mag, dieser Kontext ist in der Regel nur Ihnen bekannt und er sollte es auch bleiben, denn er wäre die einfachste Möglichkeit bei der Ermittlung des Passwortes anzusetzen.
Dazu kommt, dass sie sich bei häufiger Benutzung eine ganz eigene Nomenklatur und Übersetzungstabelle im Kopf erstellen. Ob sie nun generell ein „ü“, „ä“, „ö“ anstelle von „u“, „a“ und „o“ oder damit groß oder Kleinschreibung deutlich machen, den Buchstaben tatsächlich so verwenden, wie er ursprünglich gedacht war, welche der oben gegebenen Tipps sie auch immer für sich ebenfalls verwenden oder wo sie sich eigene Übersetzungen überlegen mögen, nur sie kennen diese.
In Kombination mit einem aus ihrem persönlichen Kontext erdachten Satzes ergibt sich daraus eine nahezu unknackbare Kombination für ein sicheres Passwort.
Ich will Ihnen das an einen einem weiteren Beispiel noch einmal demonstrieren.
Der Datenschutzbeauftragte des Schweizer Kantons Zürich bietet seit Jahren auf seiner Internetseite eine Funktion an, gewählte Passwörter auf Sicherheit zu überprüfen. Selbstverständlich sollten Sie die Tipps der Seite beachten und niemals wirklich ihr Passwort 1:1 dort eingeben, da auf dem Weg durch das Internet genügend andere Abfangmöglichkeiten bestehen.
Dennoch eignet sich die Seite gut seine eigene Passwort Dialektik auf Sicherheit zu prüfen.
Für das Passwort I5;gµdB;1.eBd3:!
würden modernste Hybrid Cracker etwa 18.581.824.642.121.747.117.036.902.130.126.953.125 Versuche benötigen, das Passwort zu knacken. Ausgeschrieben / Ausgesprochen bedeutet diese Zahl die unvorstellbare Größe von
18 Sextillionen
581 Quintillarden
824 Quintillionen
642 Quadrillarden
121 Quadrillionen
747 Trillarden
117 Trillionen
36 Billiarden
902 Billionen
130 Milliarden
126 Millionen
953 Tausend
125 Versuche, die ein Programm zum Hacken dieses Passwortes benötigt. Das wären selbst bei 2 Milliarden Versuchen pro Sekunde durch einen entsprechend schnellen Großrechner immer noch rund 300 Trillionen Jahre bis zum erfolgreichen Hack dieses Passwortes.
Ein solches Passwort kann man getrost als sicher einstufen. Aber Vorsicht. eine kleine Vereinfachung, eine oder zwei Stellen kürzere Passwörter haben sofort dramatische Auswirkungen auf die Sicherheit. Daher so weit wie möglich, immer die oben angegebene Regel beachten.
Ach ja und für diejenigen die noch darüber rätseln wollen, welche Basis denn dieses Mal zum Passwort unseres Liebhabers klassischer Literatur geführt hat, ihr könnt es ja mal zu lösen probieren, was deutlich einfacher sein dürfte mit den entsprechenden Tipps.
Ansonsten hier die Lösung:
958 l5b, 77näaim dbi 697 2bkm5,
Be 7lk5f 2ne65 65k 4k9mk7!
Dachtet ihr die Lösung steht hier in Normalschrift?
© 2016, DeBussy. All rights reserved.