Oliver Burkeman
26.12.2012 | 17:30 7

Wie sicher ist ein Passwort?

Internet Die Wahl des Passworts ist ein Dilemma. Ist es zu simpel, geht das zu Lasten der Sicherheit, ist es zu kompliziert, vergisst man es. Ein paar Tricks gibt es trotzdem

Wie sicher ist ein Passwort?

Foto: Wathiq Khuzaie/ AFP/ Getty Images

Lassen Sie mich raten: Bei ihren Internetpasswörtern – jenen Zahlen-, Zeichen- und Buchstabenkombinationen, mit denen sie sich für Onlinebanking, E-Mail, Onlineshops, Twitter oder Facebook einloggen - herrscht das reinste Chaos.

Eigentlich sollten sie sie ja alle auswendig kennen. Regel Nummer eins der herkömmlichen Passwortweisheit lautet immerhin: Niemals aufschreiben! Zu solchen Höchstleistungen ist ihr Gehirn allerdings nicht in der Lage. Also benutzen sie für jede Seite das gleiche Passwort – den Namen Ihres Hundes oder Ihrer Straße etwa. Ab und zu wandeln Sie es leicht ab, indem Sie zum Beispiel nochmal 123 dranhängen. Vielleicht versuchen Sie aber auch, alles richtig zu machen. In diesem Fall wird Ihnen wahrscheinlich ständig der Zugang zu Ihrem Konto gesperrt oder Sie müssen dauernd versuchen, sich an die Antworten auf absurde Sicherheitsfragen zu erinnern, die Sie irgendwann einmal eingegeben haben (beim iTunes-Store wird man unter anderem gefragt, welches Auto man am wenigsten mag).

Ein Grund, sich deswegen nicht allzu schlecht zu fühlen, ist, dass es offenbar alle so machen. Im September offenbarte eine Analyse im Internet veröffentlichter PIN-Nummern, dass einer von zehn Internetbenutzern das Passwort „1234“ verwendet. Als im Juli bei Yahoo Passwörter gestohlen wurden, kam zutage, dass die Zugangsdaten tausender Nutzer entweder „passwort“, „willkommen“, „123456“ oder „ninja“ lauteten. Sogar wenn es um sehr viel mehr geht, als das eigene Ersparte, neigen die Menschen dazu, schlechte Passwörter zu wählen: Unter Sicherheitsexperten ist bekannt, dass der „geheime Entsperrungscode“ der amerikanischen Atomraketen auf dem Höhepunkt des Kalten Kriegs „00000000“ lautete. Ihr persönliches Passwortdesaster heute ist die Folge eines anderen Rüstungsrennens zwischen kriminellen Hackern und sogenannten „White-Hat-Hackern“, die Sicherheitsvorkehrungen testen.

Die Länge macht den Unterschied

Unterhält man sich aber mit Leuten, die sich richtig auskennen, stellt man schnell fest, dass die herkömmlich bekannten Regeln zur Erstellung vermeintlich sicherer Passwörter oft nicht viel taugen. So kann es zum Beispiel durchaus vernünftig sein, ein Passwort aufzuschreiben. Arbeitgeber, die ihre Angestellten zwingen, alle 90 Tage ihre Passwörter zu ändern, erhöhen damit unter Umständen gar nicht die Sicherheit, sondern machen alles nur noch schlimmer. Das Gleiche gilt für die Regeln, auf denen Ihre Bank besteht – nur eine bestimmte Zeichenzahl, keine Leerstellen, usw. Letztlich sind Passwörter grundsätzlich eigentlich keine besonders gute Methode zur Sicherung unserer privaten Daten. Doch auf die Frage, ob das Problem sich ein für alle Mal lösen ließe, weiß auch IT-Sicherheitsexperte Bill Cheswick nur die Antwort: „Verbrennen Sie Ihren Computer und gehen Sie an den Strand.“ Dennoch gibt es durchaus Möglichkeiten, einigermaßen sicher zu fahren und dabei nicht völlig den Durchblick zu verlieren. Bloß sind es eben nicht die, die einem normalerweise nahegelegt werden.

Passworthacker haben viele Methoden. Wichtig ist dabei, zu verstehen, dass sie oftmals nicht mit tückischer Raffinesse vorgehen, sondern einfach mit stumpfer Gewalt. Nehmen wir das Beispiel eines Hackers, der sich Zugriff auf die Server einer Firma verschafft und eine Datei klaut, die mehrere Millionen Passwörter enthält. Diese sind (hoffentlich) verschlüsselt, er kann sich also nicht einfach in Ihr E-Mailkonto einloggen. Lautet ihr Passwort etwa „hallo“ (was eigentlich nicht sollte), dann könnte es in der Datei zum Beispiel als "$1$r6T8SUB9$Qxe41FJyF/3gkPIuvKOQ90" auftauchen. Und sofern Einweg-Verschlüsselung angewandt wurde, kann unser Hacker das Ziffern-Zeichen-Durcheinander auch nicht einfach entwirren. Er kann allerdings Millionen von zufälligen Passwörtern durch einen Verschlüsselungsalgorithmus jagen, bis ein Treffer dabei ist, der einer der kryptischen Zeichenreihen in der Datei entspricht. Dann weiß er, dass er ein Passwort gefunden hat. (Eine zusätzliche Verschlüsselungstaktik namens „Salting“ erschwert diese Art von Angriffen. Es ist aber nicht bekannt, wie viele Unternehmen sie nutzen.)

An dieser Stelle macht die Länge eines Passwortes einen beinahe unglaublichen Unterschied. Ein Hacker, dem ein Computer zur Verfügung steht, der tausend Anfragen pro Sekunde verarbeiten kann, würde drei und eine dreiviertel Stunde brauchen, um ein Passwort zu knacken, das aus fünf zufälligen, allesamt kleingeschriebenen Buchstaben besteht. Für ein aus zwanzig Buchstaben Bestehendes bräuchte er schon 6.500 Billionen Jahrhunderte.

Lieber aufschreiben

Hinzu kommt die Frage der Vorhersagbarkeit. Niemand wählt Buchstaben und Zahlen wirklich zufällig. Vielmehr folgen die meisten Leute Regeln, benutzen etwa echte Wörter und ersetzen den Buchstaben o durch eine Null oder hängen an einen Vornamen noch ein Geburtsjahr dran. Hacker wissen das. Deshalb kann ihre Software bei der Generierung von Anfragen diese Regeln berücksichtigen. Dadurch können sie erheblich schneller Treffer landen. Und jedes Mal, wenn Millionen neuer Passwörter an die Öffentlichkeit gelangen, erweitert sich auch das Wissen darüber, wie Internetnutzer Passwörter erstellen.

Das am schwersten zu hackende Passwort wäre also eine lange, nach dem Zufallsprinzip zusammengestellte Aneinanderreihung von Buchstaben, Zahlen, Leerzeichen und Symbolen – allerdings könnte man es sich wohl niemals merken. Da aber die Länge eine so große Rolle spielt, folgt die erstaunliche Wahrheit, dass eine längere Folge zufälliger, allesamt kleingeschriebener Wörter – etwa „wach räder angelnder straußenvogel“ – sehr viel sicherer ist, als ein kürzeres Passwort, dass den nervigen Regeln ihrer Bank entspricht. Und besser merken kann man es sich auch. Sie haben doch bestimmt jetzt auch ein Bild von einem angelnden Straußenvogel im Kopf, der durch ein von Rädern erzeugtes Geräusch aufgewacht ist, oder?

Bei manchen Webseiten kann man „Passsätze“ wie den mit dem angelnden Vogel Strauß verwenden. Oft geht es aber nicht. Dann empfehlen auch viele Sicherheitsexperten: Aufschreiben. Die Logik dahinter ist simpel: Wenn man weiß, dass man etwas nicht aufschreiben kann, hält man es einfach und wählt letztlich unsichere Passwörter.

Bill Cheswick ist bei weitem nicht der einzige, der glaubt, dass wir im Passwortchaos versinken. 1994, als er bei Bell Labs, der sagenumwobenen Forschungsabteilung von AT&T, arbeitete, war er Co-Autor eines Buches mit dem aufrüttelnden Titel Firewalls And Internet Security: Repelling The Wily Hacker. Es trug zu den Grundlagen der modernen Internetsicherheit bei. Inzwischen aber, sagt er, seien Passwörter einfach nur noch ein „Pain in the Ass“.

Außerdem mache die Fokussierung darauf, Passwörter immer komplexer werden zu lassen, ohnehin immer weniger Sinn. Inzwischen nämlich gehe die Gefahr von Keyloggern aus – das ist heimlich installierte Software, anhand der sich übers Internet verfolgen lässt, welche Tasten ein Computernutzer drückt. Kaum weniger fies sind die „phising“-Angriffe, von denen immer wieder in den Medien die Rede ist. Bei solchen Angriffen versuchen die Übeltäter Internetnutzer über eine E-Mail oder einen Webseite, die einer bekannten und vertrauenswürdigen gleicht, dazu zu bringen, ihr Passwort preiszugeben.

Andere Sicherheitsmethoden

Eines Tages allerdings werden wir uns um all dies keine Gedanken mehr machen müssen. Es sind Innovationen in Entwicklung, die die Passwörter möglicherweise vollkommen ersetzen werden.

Touchscreens könnten so konfiguriert werden, dass sie kleinste Details der Interaktion eines Nutzers mit dem Computer – die Abstände zwischen den Fingern, die Geschwindigkeit, mit der man tippt und scrollt – erkennen können. Technologen an der Rutgers Universität in New Jersey haben den Prototypen eines Rings entwickelt, der am Finger getragen wird und winzige Elektrostöße über die Haut des Nutzers zum Bildschirm sendet, um so dessen Identität zu bestätigen. Fingerabdrucklesegeräte, wie sie bereits in einigen Laptops eingebaut, aber noch zu fehlerhaft sind, um ernstgenommen zu werden, könnten weiter verbessert werden. Zu früh sollte man sich trotzdem nicht freuen: Zumindest in der absehbaren Zukunft werden die Passwörter uns noch erhalten bleiben, sagt Cheswick.

So lange empfiehlt er, das zu tun, was ich auch getan habe, nachdem die Recherchen zu diesem Artikel mich ordentlich aufgeschreckt haben: Ich habe eine als „Passwortmanager“ bekannte Software installiert. Solche Seiten, wie LastPass oder 1Password, generieren für alle Seiten, die man aufsucht, zufällige Passwörter, die unter einem einzigen Masterpasswort gespeichert werden. Ich habe LastPass installiert und bin nun in der verwirrenden Situation, das Passwort für mein E-Mailkonto nicht zu kennen und nie gekannt zu haben. Macht aber nichts: LastPass stellt es bereit, wann immer ich es brauche.

Perfekt ist freilich auch diese Lösung nicht. LastPass ist fast schon zu sicher: Auch die Firma kennt mein Masterpasswort nicht. Sollte ich es also vergessen, könnte mir niemand helfen (es lässt sich auch nicht über Sicherheitsfragen wiederherstellen).  Also habe ich es aufgeschrieben. In „verschlüsselter“ Form, auf einem Stück Papier, dass ich sorgsam versteckt habe. Ich hoffe, dass ich es bald auswendig kenne. Jetzt darf ich nur nicht vergessen, wo ich den Zettel versteckt habe.

Übersetzung der gekürzten Fassung: Zilla Hofman

Kommentare (7)

Rupert Rauch 27.12.2012 | 11:46

Ja, ein uraltes Problem, welches durch die unterschiedlichen Anforderungen verschiedener Seiten und Institute noch erschwert wird.

Ich führe eine Liste mit Passwörtern (und auch login-Namen und Referenzmail, auch die sind immer anders), mittlerweile sind es bestimmt 3 eng beschriebene A4 Seiten die ich an einer festen Stelle abgeheftet habe (natürlich sollte man nicht groß "Passwörter" auf den Ordner hinten drauf schreiben :-)

Passwortmanager sind für einen Veteran wie mich keine Lösung. Computer und Festplatten gehen zu schnell den Bach runter und dann ist der Schaden maximal. Offline ist leider nach wie vor viel beständiger.

Wer ein sicheres Passwort sucht, sollte wissen, wie die üblichen Verfahren funktionieren: aus dem Namen und dem Passwort wird idR ein sogenannter Hash-Wert errechnet. Im Prinzip erfolgt die Berechnung über eine Art Funktion, die die verschiedenen Buchstaben irreversibel (d.h. nicht zurückrechenbar) in eine andere Zeichenfolge umrechnen. Das ist selten 100% eindeutig (d.h. ein Hashwert kann für ein oder mehrere Passwörter identisch sein). Wie sicher ein Verschlüsselungsverfahren ist, hängt zudem vom dafür benötigten Rechenaufwand und der schlussendlichen Hashwertlänge ab. Typische Verfahren sind z.B. md5 oder AES.

Versucht jemand ein Passwort zu knacken, dann wird er idR wie folgt vorgehen:

1) er ermittelt den Hashwert (den kann man oft einfach übers Netzwerk "mitsniffen" oder bei einem gehackten Server auslesen)

2) er lässt diesen Hashwert mit einer Wortlist vergleichen, d.h. es gibt eine Datei mit tausenden von bekannten Wörtern (Lexika-Einträge, gehackte Passwörter etc.) für jedes dieser Worte ist ein Hashwert hinterlegt oder wird berechnet und mit dem gesnifften Hashwert verglichen

3) erfahrungsgemäß kann man allein mit dieser Methode 10-30% aller Passwörter knacken, klappt das nicht, werden zusätzliche Regeln definiert, etwa die Einträge der Wortlist rückwärts buchstabiert verglichen, typische Zeichenfolgen wie "123" oder "abc" vorn und hinten anhängen etc.

4) Bringt das noch keinen Erfolg, dann bleibt nur "brute force" alle denkbaren Kombinationen müssen durchgerechnet werden. An diesem Punkt erwischt ein Hacker (so nicht das cia/nsa mit ihren Superrechnern dahintersteckt) höchstens noch sehr kurze Passwörter. Der extreme Rechenaufwand verhindert dann weiteres.

Daraus folgt:

Es ist NICHT sicher an einen Namen etwa "123" oder das Geburtsdatum anzuhängen, das ist analog zum Ersatzschlüssel unter der Fußmatte das was ALLE machen und sich dabei für clever halten. In meiner alten kleinen Firma hatte ich alle Passwörter geknackt, nur um zu sehen, ob ich es hinbekomme, es war lächerlich einfach.

Wenn man ein Passwort "absichern" will, noch dazu eines was sich ständig ändern soll, dann sollte man z.B. an einer Stelle ein Sonderzeichen einfügen und bei jeder Änderung fügt man eines dazu. Etwa "hund#katze" und bei der nächsten Änderung "hund##katze" etc. schon das allein lässt sich viel schwerer knacken.

Die besten Passwörter die man sich noch merken kann, sind aber sinnlose Sätze mit Sonderzeichen als Trenner. Etwa: "Ich_bin_der_größte_und_schlauste_und_nur_ich_weiß_es,schade!"

;-)

 Sicher ist das auch nur, solange kein Key-Logger die Tastatureingaben abfängt, daher gilt: für wichtige Seiten (Einkauf, Banking, Hauptmail etc.) separate Passwörter, falls doch mal ein Virus die Eingaben mitliest. Für den drittklassigen Rest kann man dann ein persönliches Standardpasswort verwenden...