Die drei goldenen Regeln für gute Passwörter

Kriminelle können mit unseren Benutzerkonten bei Paypal und Facebook Schindluder treiben, indem sie auf unsere Rechnung einkaufen oder Spass haben. Um die Anmeldeinformation dieser Konten zu schützen ist das Passwort das beste Mittel, das wir haben.

Warum sind gute Passwörter wichtig?

Kriminelle haben das Ziel, Anmeldeinformationen von Benutzerkonten zu erlangen, d.h. in den Besitz gültiger Loginnamen und zugehöriger Passwörter zu kommen. Dazu stehlen sie  Datenbanken mit Kombinationen von Loginnamen und Prüfsummen der dazugehörigen Passwörter. Um das zu einer Prüfsumme zugehörige Passwort zu finden berechnet der Dieb für viele zufällige Passwörter die Prüfsummen, bis er eines findet, das dieselbe Prüfsumme wie in der Datenbank gespeichert ergibt. Damit ist das Passwort dann geknackt, d.h. der Dieb hat einen Loginnamen und ein dazu passendes Passwort. Da Benutzer Anmeldeinformationen aus Bequemlichkeit oft mehrfach verwenden[1], passt diese Kombination unter Umständen auch bei anderen Internetangeboten. Beispielsweise könnte dann mit einem bei YAHOO geklauten und geknackten Passwort auch das PAYPAL-Konto des entsprechenden Benutzers verwendet werden.

Jetzt gibt es aber ziemlich viele mögliche Passwörter, die der Dieb durchprobieren könnte, um das richtige Passwort zu erhalten. Kriminellen raten daher nicht einfach wild drauf los, sondern gehen systematisch vor. Zum Beispiel werden alle jemals bekannt gewordenen Passwörter[2] ausprobiert und diese dann noch neu kombiniert und/oder mit Wörterbuchlisten und komplizierten Regeln[3] zu neuen möglichen Passwörtern verwurstet. Durch systematisches Ausprobieren findet man dann zudem auch  Kombinationen wie a1b2c3 und Ähnliches.

Wir brauchen also ein Passwort, das sich nicht einfach erraten lässt. Also eines, welches weder einer einfachen Zeichenfolge wie c3d4e5f6 entspricht, noch auf Wörterbucheinträgen basiert.

Was macht ein gutes Passwort aus?

Ein gutes Passwort verhindert, dass eine der obigen Vorgehensweisen zum Raten greift. Es muss so lang sein, dass reines Ausprobieren aller Kombinationen nicht zum Erfolg führt. Dann darf es nicht auf einem bekannten Wort oder Passwort basieren. Das ist am einfachsten zu realisieren, wenn das Passwort komplett zufällig ist.

Damit sind die Anforderungen an ein gutes Passwort:

eine komplett zufällige Auswahl aus den tippbaren Zeichen und

eine ausreichende Länge. Denn auch wenn G&3 zufällig sein mag, probiert jemand alle möglichen Passwörter durch, ist das schneller gefunden als GRC=(k!!IoO?w>lV=XEGuQ%-.

Reicht ein einziges, gutes Passwort?

Reicht das eine wirklich gute, d.h. ausreichend lange und zufällige Passwort, wie obiges GRC=(k!!IoO?w>lV=XEGuQ%-, jetzt für alle unsere Benutzerkonten?

Leider nein, denn wir wissen nicht, wie die Anbieter von Internetdiensten unsere Passwörter speichern. Wie im vorherigen Artikel besprochen, sollte ein verantwortungsbewusster Anbieter die Passwörter verschlüsselt speichern. Wir könnten aber auch an ein schludriges Exemplar geraten, dass die Passwörter im Klartext in einer Datenbank speichert.

Wenn unser “Super-Passwort” dann wirklich mal in die Hände Krimineller fällt, haben diese gültige Anmeldeinformation für den Anbieter, bei dem diese gestohlen wurden. Nun sollen die Diebe damit höchstens Schindluder bei diesem einen Anbieter treiben können,  nicht aber bei anderen. Also ist die nächste Anforderung:

für jedes Benutzerkonto ein eigenes Passwort nach obigen Regeln zu erstellen.

Nur damit können wir den Schaden im Falle eines Falles auf ein Benutzerkonto beschränken. Eine Ausnahme hiervon ist das E-Mail-Konto, das zum Zurücksetzen von Passwörtern (“Passwort vergessen”) verwendet werden kann. Wird dieses gehackt, sind alle Eure Accounts in Gefahr. Entsprechend müsst Ihr hier alle Register ziehen, wir werden das in einem gesonderten Artikel speziell betrachten. Für den Anfang sollte das E-Mail-Konto eines der ersten zu verbessernden Passwörter sein.

Obige Regel verbietet dann auch, sich Passwörter wie

1234FACEabcBOOK und

1234AMAabcZON

zu kreieren.

Auch wenn diese Passwörter erst mal “irgendwie” kryptisch aussehen, zufällig sind sie nicht. Sobald das erste Passwort geknackt ist, wird klar, wie das Passwort für Amazon, Paypal usw. aussehen dürfte. Also sind solche Systeme verboten. Zufällig bedeutet, dass keinerlei Zusammenhang zwischen den verschiedenen Passwörtern existiert. Auch keiner, der unserer Meinung nach komplett unauffindbar ist.

Zwischenstand

Zusammengefasst sind damit die allgemeinen, gleich noch konkret werdenden, Anforderungen an gute Passwörter:

– eine ausreichende Länge, d.h. genügend viele Zeichen,

– eine komplett zufällige Auswahl aus verschiedensten Zeichen und

– ein eigenes Passwort nach den beiden vorherigen Regeln für jedes Benutzerkonto.

Jetzt müssen wir noch einen Knopf drankriegen und konkret werden. Was heißt denn jetzt “ausreichende Länge” und “zufällige Auswahl”? Wenn Du direkt zu den Regeln willst und weniger Lust auf die Begründung hast, überspringe ruhig das folgende Kapitel zum Thema Entropie.

Als Maß für die Zufälligkeit

wird ein Wert namens Entropie verwendet. Dieser berechnet sich aus

der Anzahl der möglichen Elemente (also z.B. 26, wenn wir nur Kleinbuchstaben verwenden) und

der Anzahl der aus den möglichen Elementen ausgewählten, d.h. der Länge des Passworts, z.B. 10 für ein 10 Zeichen langes Passwort.

Die Anzahl der möglichen Elemente nennen wir N (d.h. im obigen Beispiel N=26), die Länge des Passworts L (d.h. L=10 im obigen Fall)

Die Entropie wird typischerweise in Bit angegeben. Und alles, was wir uns merken müssen ist, dass ein Passwort mit einer Entropie größer als 128Bit heute als sicher gilt. Die Entropie wird bei Passwort-Generatoren als Maß für die Qualität eines erzeugten Passworts angezeigt. Passwordsafes wie KeePass[4] und dessen Abkömmlinge[5] bieten neben der Möglichkeit Passwörter zu speichern auch die Generierung sicherer Passwörter an.

Beispiel des MacPass[6] Passwortgenerators. Nur mit Kleinbuchstaben (N=26) und einer Länge von 10 Zeichen ergibt sich eine (unzureichende) Entropie von 47 Bit.

Beispiele:

Schauen wir uns in ein paar Beispielen mal an, welche Passwortlänge wir brauchen, um eine Entropie von 128Bit zu erreichen, d.h. ein sicheres Passwort zu erzeugen. Wir untersuchen verschiedene Anforderungen an die Komplexität, d.h. an die erlaubten Zeichen.

– Besteht das Passwort nur aus Ziffern (N=10) brauchen wir eine L=39 Stellen lange Zahl um die notwendige Zufälligkeit zu erreichen, also z.B. 766309118038223394334916483094699728016.

– Beschränken wir uns auf Kleinbuchstaben (N=26) benötigen wir ein 27 Zeichen langes Passwort wie z.B. spucxphrxbvyluyezgriiibiiwr. WICHTIG: einkleineswiwawutzelmaennche

hat zwar auch 27 Stellen und ist nur aus Kleinbuchstaben aufgebaut, aber nicht zufällig. Wir hatten ja oben gesagt, nichts was einem Wörterbuch entstammt hat in dem Passwort etwas zu suchen. Letzteres erfüllt nicht die Anforderungen und ist damit deutlich unsicherer.

– Mit einer Mischung aus Klein-, Großbuchstaben und Ziffern (N=62) brauchen wir immer noch 21 Zeichen z.B. iuuQG17jVxM8iVttUStMm.

Auch hier gilt 1KleinesMaennchen234 hat zuviel Anlehnung an Wörterbücher und ist damit keine gute Wahl.

– Bei allen druckbaren Zeichen (N=95) ergibt sich eine Länge von noch 19 Zeichen ‘Gm!&(85kkN5PXY;nQ0).

In unten stehender Tabelle sind die verschiedenen Beispiele zusammengefasst. Je mehr Auswahl (größeres N) wir an Zeichen zulassen, umso kürzer (kleineres L) darf das Passwort sein, um ein sicheres Passwort (Entropie größer oder gleich 128) sein.

Einfluss der Länge L und der Zeichenauswahl N auf die Entropie eines Passworts.

Die Länge (L) eines Passworts hat bei einer ausreichend großen Auswahl an möglichen Symbolen (N) einen deutlich stärkeren Einfluss auf die Zufälligkeit als die Auswahl der Zeichen. Deshalb gilt immer:

Die Länge des Passworts ist wichtiger als die kompliziertesten Zeichen zu verwenden, die Ihr nie wiederfindet.

Die 3 goldenen Regeln für gute Passwörter

Nun können wir die 3 goldenen Regeln für gute Passwörter konkretisieren:

Regel 1: Jedes Passwort wird nur einmal verwendet.

Regel 2: Jedes Passwort ist komplett zufällig, d.h. wahllos aus mindestens Klein-, Großbuchstaben, Ziffern und ggfls. Sonderzeichen wie  !”§$%&/()=?*+#,.-;:_ zusammengesetzt und ohne Bezug zu anderen Passwörtern oder bekannten Wörtern.

Regel 3: Jedes Passwort ist mindestens 24 Zeichen lang.

Diese Passwörter sind dann nicht mehr leicht zu merken[7]. Und auch wenn das kleine schwarze Buch nicht die schlechteste Art seine Passwörter aufzubewahren ist, wir schauen uns im nächsten Artikel eine bessere Möglichkeit an, die sogenannten Passwordsafes.

m


[1] https://individualsphaere.de/2018/02/24/autorisierung-alpha-alpha-3-0-5/

[2] Troy Hunt veröffentlicht unter https://haveibeenpwned.com/Passwords  aktuell über eine halbe Millarde bekannt gewordene Passwörter. Sehr ausführliche Erklärungen dazu findet Ihr hier https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/

[3] Hier https://www.gracefulsecurity.com/custom-rules-for-john-the-ripper-examples/ finden sich Beispiele für Regeln für John the Ripper https://de.wikipedia.org/wiki/John_the_Ripper , eines der bekanntesten Tools zum Knacken von Passwörtern.

[4] https://keepass.info

[5] unter https://keepass.info/download.html findet Ihr auch Links zu KeePass-Clients für alle möglichen Plattformen

[6] https://github.com/MacPass/MacPass

[7] Der Sicherheitsforscher Bruce Schneier sagt dazu: The whole notion of passwords is based on an oxymoron. The idea is to have a random string that is easy to remember. Unfortunately, if it’s easy to remember, it’s something nonrandom like ‘Susan.’ And if it’s random, like ‘r7U2*Qnp,’ then it’s not easy to remember.

Bruce Schneier (2011). “Secrets and Lies: Digital Security in a Networked World”, p.131, John Wiley & Sons

http://www.azquotes.com/quote/570052

2 Antworten auf „Die drei goldenen Regeln für gute Passwörter“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.