Passwort (Bild: Tim Reckmann [CC BY-NC-SA 2.0] via flickr)

Warum sind sichere Passwörter so schwierig zu erstellen?

Wer technisch halbwegs bewandert und besorgt um die Sicherheit seiner Daten ist, wird Wert auf sichere Passwörter legen. Doch diese sind oft gar nicht so sicher, wie man denkt.

Passwort (Bild: Tim Reckmann [CC BY-NC-SA 2.0] via flickr)

Was macht ein Passwort sicher? Mindestens acht Zeichen, die aus einer Mischung aus Groß- und Kleinbuschstaben, Zahlen und Satz- oder Sonderzeichen bestehen und nicht in Wörterbüchern zu finden sind, auch nicht mit ausgetauschten Zeichen, wie etwa in ‚P@sswort‘. Diese Regeln befolgst du akribisch und betest sie in- und auswendig jedem deiner technisch weniger versierten Freunde vor? Du fühlst dich und deine Daten so sicher, wie möglich, denn wer um alles in der Welt könnte diese willkürliche Zahlenfolge erraten? Du musst jetzt tapfer sein. Ich hoffe du sitzt? Denn das meiste, was du über Passwörter weißt, ist nicht korrekt.


Warum ist das wichtig? Passwörter beschützen unsere Daten vor fremden Zugriffen, effektiv sind sie allerdings nur, wenn sie wirklich sicher sind, was auf die wenigsten zutrifft.

  • Die gängigen Passwortregeln, mindestens 8 Zeichen und eine Kombination aus Groß- und Kleinbuschstaben, Zahlen und Satz- oder Sonderzeichen, kennt jeder, aber kaum jemand verwendet sie.

  • Moderne PCs verfügen über Rechenleistung, die selbst kompliziertere Passwörter leicht knackbar macht und lediglich noch durch hochkomplexe Passwörter vor Herausforderungen gestellt wird.

  • Neben Passwort-Managern ist die „Fastwords“-Methode von Dr. Macrus Jacobsen ein Weg, wie man zumindest vorrübergehend seine Daten beschützen kann.


Wie Passwörter gehackt werden

Okay, das ist jetzt vielleicht alles etwas schwer zu verdauen, aber ein Passwort, das den gängigen Regeln folgt, um aus diesem Weg den typischen Hacking-Techniken zu widerstehen, kann genauso schnell entschlüsselt werden, wie ‚Passwort‘ oder ‚123456‘. Doch wie werden Passwörter eigentlich gehackt? Dafür ist es nicht ganz unwichtig zu wissen, dass keine Website (außer Sony Pictures) die Passwörter als Klartext speichert. Vielmehr werden diese einseitig verschlüsselt. Der Algorithmus, der diese Operation ausführt wird ‚hash‘ genannt und sorgt dafür, dass sich das Passwort anhand des Ergebnisses nicht mehr rekonstruieren lässt. Wenn man sich auf einer Website einloggt, wird das Passwort ‚gehasht‘ und mit der auf dem Server gespeicherten Version verglichen.

Ein Hacker, der eine Datei mit gehashten Passwörtern in die Finger bekommt, geht mit sogenannten Brute-Force-Methoden, also mit roher Gewalt, vor um die Passwörter herauszufinden. Zunächst werden die gängigsten Passwörter ausprobiert, dann Wörter aus Wörterbüchern und dann Wortkombinationen. Natürlich sind längere Passwörter, die komplexe Zeichensätze verwenden exponentiell schwerer zu knacken, als kurze, simple Passwörter, allerdings verkürzt die erschwinglich gewordene rohe Rechenkraft diese Zeit erheblich. Aktuelle Rechner mit einem Grafikkarten-Array arbeiten sich durch Milliarden und sogar Billionen Passwörter pro Sekunde, wenn der SHA-1-Algorithmus zum Einsatz kommt. Dieser ist zwar veraltet, aber aufgrund der Trägheit immer noch weit verbreitet – doch selbst aktuellere Verschlüsselungsalgorithmen verlangsamen den Vorgang auf „nur“ Zehntausende bis Hunderttausende Passwörter pro Sekunde. Mit anderen Worten, die schiere Rechenleistung ermöglicht es Hackern alle nur erdenklichen Zeichenkombinationen in kurzer Zeit auszuprobieren. Ein Passwort, das aus 10 bis 12 Zeichen besteht und allen möglichen Zeichenarten besteht, bleibt auch weiterhin sehr sicher, und kann höchstens den determiniertesten Hackern zum Opfer fallen. Wer also Passwortgeneratoren und -Manager wie 1Password, KeyPass oder LastPass verwendet, minimiert mit einzigartigen und zufälligen Passwörtern das Risiko zumindest. Die wenigsten Nutzer tun dies allerdings und genau hier liegt das Problem.

Nicht Goethe zitieren

Das große Problem mit den Passwort-Richtlinien ist, dass sie den Nutzer mehr in Gefahr bringen, als ihn zu schützen. Denn auch wenn die Seite, auf dem man ein Passwort eingibt, einem suggeriert, dass dies sicher sei, weil es den Sicherheitsanforderungen entspricht, muss dem nicht so sein. Das Problem ist, dass das menschliche Gehirn nicht dafür gebaut ist, sich wahllose Ketten aus Buchstaben, Zahlen und Satzzeichen zu merken. Wenn Nutzer aufgefordert werden, ein sicheres Passwort zu erstellen, nehmen die meisten ihr Lieblingswort oder Konzept und versuchen es in die entsprechende Form zu pressen. Menschen erzählen sich halt keine merkwürdigen Zeichensequenzen, sondern Geschichten. Die meisten Indikatoren für die Qualität eines Passwortes messen letztendlich nur, wie unwahrscheinlich es ist, sich ein Passwort zu merken. Doch genau das ist schließlich sehr wichtig für Nutzer, vor allem, wenn sie keine Passwortmanager einsetzen. In einem Feldversuch hat Ars Technica 2013 drei Experten im Knacken von Passwörtern beauftragt, sich eine geleakte Passwort-Datenbank vorzunehmen. Mit den üblichen Methoden zum Minimieren der unendlichen Kombinationsmöglichkeiten, wie Markow-Ketten, konnten die Experten innerhalb einer Stunde Passwörter mit einer Trefferquote von 60 Prozent ermitteln, nach 20 Stunden waren es bereits 90 Prozent.

Der Sicherheitsforscher Dr. Marcus Jacobsen hat in einem Interview mit Fast Company einen anderen Vorschlag für sichere Passwörter unterbreitet, den er „Fastwords“ nennt. Diese Methode soll Geschichtenerzählen, Passwortstärke und Wahrscheinlichkeit vereinen und dadurch nahezu unknackbare Passwörter erstellen. Diese Methode ist der aus einem bekannten xkcd-Comic nicht unähnlich, in der vorgeschlagen wird, sich eine kurze Geschichte auszudenken, die man dann auf wenige Wörter herunterbricht. Zum Beispiel: Man tritt beim Joggen durch den Wald beinahe auf ein Eichhörnchen – daraus wird dann „Joggen Wald Eichhörnchen„. Da Passwörter aus Phrasen mit mehr als 10-12 Zeichen durch Brute Force nicht effizient zu knacken sind, versuchen Hacker Wortkombinationen und andere Techniken, weshalb die Kombination der Wörter in dieser Reihenfolge aufgrund der geringen Wahrscheinlichkeit wichtig ist.

Um herauszufinden, ob ein Fastword so sicher wie möglich ist, sollte die Wahrscheinlichkeit seines Vorkommens in einem großen Textkörper überprüft werden. „Des Pudels Kern“ kommt in Goethes Faust vor und wird als gängiges Zitat sehr häufig anzutreffen sein. Je seltener die Wortkombination, desto besser die Verteidigung gegen Passwortknacker. Diese Methode könnte endlich eine Abkehr von einer Passwortpolitik herbeiführen, die dem Nutzer mehr schadet, als ihn vor genau diesem zu beschützen. Auf lange Sicht wird dies allerdings auch nicht ausreichen – hier wird ein zweiter Faktor nötig, etwa biometrische Sensoren wie Fingerabdruck-Scanner, die bereits im iPhone 6 oder im Samsung Galaxy S6 zu finden sind. In diesem Bereich forschen viele Unternehmen an Alternativen für das alte Passwort, doch bis diese sich durchsetzen und sicher sind, werden wir uns noch mit den alten Passwörtern herumschlagen müssen.


Teaser & Image by Tim Reckmann (CC BY-NC-SA 2.0)


Schlagwörter: , , , , , , ,
Daniel Kuhn

Daniel Kuhn

ist Wahl-Berliner mit Leib und Seele und arbeitet von dort aus seit 2010 als Tech-Redakteur. Anfangs noch vollkommen Googles Android OS verfallen, geht der Quereinsteiger und notorische Autodidakt immer stärker den Fragen nach, was wir mit den schicken Mobile-Geräten warum anstellen und wie sicher unsere Daten eigentlich sind.

More Posts - Website - Twitter - Facebook - Google Plus