BLOG

MIT SICHERHEIT IT-SICHERHEIT

Warum sichere Passwörter unsicher aber unsichere Passwörter sicherer sind

Wer kennt es nicht? Montagmorgen – nach dem Sommerurlaub – zurück am Rechner und das Passwort stimmt nicht. Oder besser gesagt: Wir erinnern uns nicht mehr an das korrekte Passwort. Diese Situation ist mir persönlich schon sehr häufig passiert. Damit bin ich sicher kein Einzelfall. Statistisch kann man in großen Konzern sogar anhand der Anzahl der Anfragen an den IT-Service zum Rücksetzen des Passwortes ablesen, in welcher Abteilung vermehrt Urlaubsrückkehrer:innen zu verzeichnen sind. Genauso verhält es sich mit Passwörtern, die wir nur sehr selten verwenden, wie beispielsweise den Zugang zu „Arbeitnehmer online“ zum Abholen der Jahressteuerbescheinigung.

Woran liegt unser Problem mit Passwörtern? Im Prinzip soll ein Passwort nur eine einzige Eigenschaft erfüllen: Es soll praktisch unmöglich sein das Passwort zu erraten. Um dies zu erreichen, versucht man den Suchraum für mögliche Passwörter möglichst groß zu gestalten. So gibt es für ein Passwort mit 8 Stellen aus Ziffern 108 Möglichkeiten; für ein 8-stelliges Passwort aus Buchstaben 268 2×1011 Möglichkeiten und für ein Passwort aus Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen (26+26+10+15)8 1×1015 Möglichkeiten.

PASSWORTSICHERHEIT – WORAUF SIE ACHTEN SOLLTEN

Eine naheliegende Schlussfolgerung ist: Man sollte für Passwörter erzwingen, dass diese Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen enthalten. Diese Regelung ist derzeit in den meisten „sicheren“ IT-Systemen hinterlegt und zwingt Nutzer:innen zum Anlegen eines solchen sicheren Passworts. Sie geht zurück auf eine Empfehlung aus den frühen 2000er von Bill Burr, eines damaligen Mitarbeitenden des National Institutes for Standards and Technology.

Diese Regel bringt aber ein fundamentales Problem mit sich. Das Gedächtnis von Menschen ist stark hierarchisch und vernetzt organisiert. Das bedeutet, dass die Größe einer Information weniger relevant für den Aufwand des Einprägens ist. Viel mehr hängt dies von der Komplexität der Information ab. So können sich die meisten Personen beispielsweise 4-5 Ziffern problemlos im Kurzzeitgedächtnis merken. Im Gegensatz dazu ist es für dieselben Personen ähnlich schwierig sich eine 32-40 stellige Ziffer zu merken – sofern diese beispielsweise aus den Geburtsdaten von 4-5 nahen Verwandten zusammengesetzt ist. Es kommt also darauf an, wie viele Assoziationen wir mit dem Passwort oder Teilen davon herstellen können. Leider kommen in unserer Alltagsumgebung nur sehr wenige Worte mit Sonderzeichen und/oder Zahlen vor. Deshalb entwickeln Menschen Eselsbrücken. So werden z. B. Sonderzeichen, die einem Buchstaben ähnlich sind, verwendet z. B. „P@sswor7“ statt „Passwort“. Damit ist es dann relativ einfach, sich ein „sicheres“ Passwort einfach zu merken. Aber ist dies denn nun wirklich sicher?

.

.
Das Problem mit solch allgemeingültigen Eselsbrücken ist, dass diese eben allgemein bekannt sind. So gibt es beispielsweise das Leetspeak-Alphabet. In diesem Alphabet sind häufige Buchstaben-Sonderzeichen-Ziffern Ersetzungen zusammengefasst.

Es ist davon auszugehen, dass im Falle eines gezielten Angriffs dieses Leetspeak-Alphabet auch den Angreifer:innen bekannt ist. Eine einfache, effektive Strategie ist dann etwa eine Wörterbuchattacke mit 8-12 stelligen Wörtern und für jedes Wort alle möglichen Kombination mit den bekannten Ersetzungen zu verwenden. Wenn man davon ausgeht, dass ein durchschnittliche Person aus Mitteleuropa einen aktiven Wortschatz von ca. 3.000-4.000 Wörtern besitzt, bleiben vielleicht 700-800 Wörter dieser Länge übrig. Geht man weiter davon aus, dass maximal 3 Ersetzungen vorgenommen werden und jeweils 5 Varianten möglich sind, so bleiben 800*53 =100.000=106 Möglichkeiten.

Unsere scheinbar „sicheren“ Passwörter sind also massiv unsicher. Dies ist inzwischen in der Wissenschaft weithin bekannt und allgemein akzeptiert. Auch Bill Burr selbst bezeichnet die von ihm aufgestellte Regel inzwischen als nicht mehr sinnvoll. Leider hat sich diese Passwortregelung inzwischen in so vielen Standards, Softwareapplikationen und IT-Abteilungen durchgesetzt, dass es nur sehr langsam zu einem Umdenken kommt. Die Frage, die sich nun stellt ist: Was sind denn nun wirklich sichere Passwörter? 

Zurück zur Grundidee eines Passwortes – es soll kaum von Angreifer:innen zu erraten sein. Gleichzeitig soll es einfach zu merken sein. Die Lösung für dieses Problem liegt in der Verwendung von persönlichem, individuellem Wissen. Eine gute Lösung ist beispielsweise, dass Passwort aus den Anfangsbuchstaben eines sehr persönlichen Satzes zu bilden, der nur Ihnen bekannt ist. Vielleicht der Kommentar einer Professorin oder eines Professors zur ersten nicht erfolgreichen Prüfung, ein lustiger Versprecher der Kinder oder eine Liebkosung der Partnerin oder des Partners. Alternativ können Sie beispielsweise auch aus den Buchstaben der Haltestellen auf Ihrem Arbeitsweg ein Passwort konstruieren oder auch die Mengen der Zutaten Ihres Lieblingsgerichts bieten sich an. Mit diesen Mechanismen spielt es auch keine Rolle mehr, ob das Passwort 8 oder 16-stellig ist. Sie werden sich beides gleich einfach merken können.

.

sichere Passwörter

.

Wichtig ist, dass ein Zusammenhang gewählt wird der nicht allgemeingültig, sondern persönlich ist. Durch reines Ausprobieren ergibt sich hier ein gigantischer Lösungsraum. Geht man beispielsweise wieder von einem Wortschatz von 3.000 Wörtern aus und einem Satz aus 10 Wörter, so ergeben sich theoretisch 3.00010 5×1034 Möglichkeiten. Diese sind natürlich noch signifikant durch Grammatikregeln zu reduzieren. Dennoch bleibt ein riesiger Lösungsraum. Einziges Gegenargument ist, dass Personen, die sie persönlich sehr gut kennen natürlich einen Vorteil beim Knacken des Passwortes hätten. Aber selbst für diese Personen bleiben viele Millionen Lösungen, so dass es auch für sie nur mit entsprechendem Fachwissen und Technologie möglich ist. Außerdem finden sich die Angreifer:innen in den wenigsten Fällen im Kreis der engsten Vertrauten.

Sollten Sie dennoch ein komplexes Passwort benötigen oder wollen Sie vermeiden, dass Sie ihr sicheres Passwort für all Ihre Zugänge verwenden, probieren Sie doch mal einen Passwortmanager aus. Dies ist ein Programm, das für Sie komplexe Passwörter zufällig generiert und in einer verschlüsselten Datei (möglichst auf einem Datenträger, auf dem nur Sie Zugriff haben) speichert. Der Vorteil: Sie können für die Vielzahl an Zugängen jeweils ein langes und komplexes Passwort erzeugen und müssen sich nur Ihr individuelles und sehr geheimes Master-Passwort merken. Hier gilt der Grundsatz: Das beste Passwort ist jenes, welches ich selbst nicht kenne.

.

AUTOR &
ANSPRECHPARTNER

Frank Ortmeier

Frank Ortmeier

Safety & Security
  • KONTAKT

    Mittelstand 4.0-Kompetenzzentrum Magdeburg “vernetzt wachsen”
    c/o Otto-von-Guericke-Universität Magdeburg
    Universitätsplatz 2
    39106 Magdeburg

    0391 – 67 52 804

©Nadine Hiller

.