Warum sind sichere Passwörter so schwierig zu erstellen?

Wer technisch halbwegs bewandert und besorgt um die Sicherheit seiner Daten ist, wird Wert auf sichere Passwörter legen. Doch diese sind oft gar nicht so sicher, wie man denkt. Was macht ein Passwort sicher? Mindestens acht Zeichen, die aus einer Mischung aus Groß- und Kleinbuschstaben, Zahlen und Satz- oder Sonderzeichen bestehen und nicht in Wörterbüchern zu finden sind, auch nicht mit ausgetauschten Zeichen, wie etwa in ‚P@sswort‘. Diese Regeln befolgst du akribisch und betest sie in- und auswendig jedem deiner technisch weniger versierten Freunde vor? Du fühlst dich und deine Daten so sicher, wie möglich, denn wer um alles in der Welt könnte diese willkürliche Zahlenfolge erraten? Du musst jetzt tapfer sein. Ich hoffe du sitzt? Denn das meiste, was du über Passwörter weißt, ist nicht korrekt.

Wie Passwörter gehackt werden

Okay, das ist jetzt vielleicht alles etwas schwer zu verdauen, aber ein Passwort, das den gängigen Regeln folgt, um aus diesem Weg den typischen Hacking-Techniken zu widerstehen, kann genauso schnell entschlüsselt werden, wie ‚Passwort‘ oder ‚123456‘. Doch wie werden Passwörter eigentlich gehackt? Dafür ist es nicht ganz unwichtig zu wissen, dass keine Website (außer Sony Pictures) die Passwörter als Klartext speichert. Vielmehr werden diese einseitig verschlüsselt. Der Algorithmus, der diese Operation ausführt wird ‚hash‘ genannt und sorgt dafür, dass sich das Passwort anhand des Ergebnisses nicht mehr rekonstruieren lässt. Wenn man sich auf einer Website einloggt, wird das Passwort ‚gehasht‘ und mit der auf dem Server gespeicherten Version verglichen.

Ein Hacker, der eine Datei mit gehashten Passwörtern in die Finger bekommt, geht mit sogenannten Brute-Force-Methoden, also mit roher Gewalt, vor um die Passwörter herauszufinden. Zunächst werden die gängigsten Passwörter ausprobiert, dann Wörter aus Wörterbüchern und dann Wortkombinationen. Natürlich sind längere Passwörter, die komplexe Zeichensätze verwenden exponentiell schwerer zu knacken, als kurze, simple Passwörter, allerdings verkürzt die erschwinglich gewordene rohe Rechenkraft diese Zeit erheblich. Aktuelle Rechner mit einem Grafikkarten-Array arbeiten sich durch Milliarden und sogar Billionen Passwörter pro Sekunde, wenn der SHA-1-Algorithmus zum Einsatz kommt. Dieser ist zwar veraltet, aber aufgrund der Trägheit immer noch weit verbreitet – doch selbst aktuellere Verschlüsselungsalgorithmen verlangsamen den Vorgang auf „nur“ Zehntausende bis Hunderttausende Passwörter pro Sekunde. Mit anderen Worten, die schiere Rechenleistung ermöglicht es Hackern alle nur erdenklichen Zeichenkombinationen in kurzer Zeit auszuprobieren. Ein Passwort, das aus 10 bis 12 Zeichen besteht und allen möglichen Zeichenarten besteht, bleibt auch weiterhin sehr sicher, und kann höchstens den determiniertesten Hackern zum Opfer fallen. Wer also Passwortgeneratoren und -Manager wie 1Password, KeyPass oder LastPass verwendet, minimiert mit einzigartigen und zufälligen Passwörtern das Risiko zumindest. Die wenigsten Nutzer tun dies allerdings und genau hier liegt das Problem.

Nicht Goethe zitieren

Das große Problem mit den Passwort-Richtlinien ist, dass sie den Nutzer mehr in Gefahr bringen, als ihn zu schützen. Denn auch wenn die Seite, auf dem man ein Passwort eingibt, einem suggeriert, dass dies sicher sei, weil es den Sicherheitsanforderungen entspricht, muss dem nicht so sein. Das Problem ist, dass das menschliche Gehirn nicht dafür gebaut ist, sich wahllose Ketten aus Buchstaben, Zahlen und Satzzeichen zu merken. Wenn Nutzer aufgefordert werden, ein sicheres Passwort zu erstellen, nehmen die meisten ihr Lieblingswort oder Konzept und versuchen es in die entsprechende Form zu pressen. Menschen erzählen sich halt keine merkwürdigen Zeichensequenzen, sondern Geschichten. Die meisten Indikatoren für die Qualität eines Passwortes messen letztendlich nur, wie unwahrscheinlich es ist, sich ein Passwort zu merken. Doch genau das ist schließlich sehr wichtig für Nutzer, vor allem, wenn sie keine Passwortmanager einsetzen. In einem Feldversuch hat Ars Technica 2013 drei Experten im Knacken von Passwörtern beauftragt, sich eine geleakte Passwort-Datenbank vorzunehmen. Mit den üblichen Methoden zum Minimieren der unendlichen Kombinationsmöglichkeiten, wie Markow-Ketten, konnten die Experten innerhalb einer Stunde Passwörter mit einer Trefferquote von 60 Prozent ermitteln, nach 20 Stunden waren es bereits 90 Prozent.

Der Sicherheitsforscher Dr. Marcus Jacobsen hat in einem Interview mit Fast Company einen anderen Vorschlag für sichere Passwörter unterbreitet, den er „Fastwords“ nennt. Diese Methode soll Geschichtenerzählen, Passwortstärke und Wahrscheinlichkeit vereinen und dadurch nahezu unknackbare Passwörter erstellen. Diese Methode ist der aus einem bekannten xkcd-Comic nicht unähnlich, in der vorgeschlagen wird, sich eine kurze Geschichte auszudenken, die man dann auf wenige Wörter herunterbricht. Zum Beispiel: Man tritt beim Joggen durch den Wald beinahe auf ein Eichhörnchen – daraus wird dann „Joggen Wald Eichhörnchen„. Da Passwörter aus Phrasen mit mehr als 10-12 Zeichen durch Brute Force nicht effizient zu knacken sind, versuchen Hacker Wortkombinationen und andere Techniken, weshalb die Kombination der Wörter in dieser Reihenfolge aufgrund der geringen Wahrscheinlichkeit wichtig ist.

Um herauszufinden, ob ein Fastword so sicher wie möglich ist, sollte die Wahrscheinlichkeit seines Vorkommens in einem großen Textkörper überprüft werden. „Des Pudels Kern“ kommt in Goethes Faust vor und wird als gängiges Zitat sehr häufig anzutreffen sein. Je seltener die Wortkombination, desto besser die Verteidigung gegen Passwortknacker. Diese Methode könnte endlich eine Abkehr von einer Passwortpolitik herbeiführen, die dem Nutzer mehr schadet, als ihn vor genau diesem zu beschützen. Auf lange Sicht wird dies allerdings auch nicht ausreichen – hier wird ein zweiter Faktor nötig, etwa biometrische Sensoren wie Fingerabdruck-Scanner, die bereits im iPhone 6 oder im Samsung Galaxy S6 zu finden sind. In diesem Bereich forschen viele Unternehmen an Alternativen für das alte Passwort, doch bis diese sich durchsetzen und sicher sind, werden wir uns noch mit den alten Passwörtern herumschlagen müssen.


Image (adapted) „Datenschutz“ by succo (CC0 Public Domain)

ist Wahl-Berliner mit Leib und Seele und arbeitet von dort aus seit 2010 als Tech-Redakteur. Anfangs noch vollkommen Googles Android OS verfallen, geht der Quereinsteiger und notorische Autodidakt immer stärker den Fragen nach, was wir mit den schicken Mobile-Geräten warum anstellen und wie sicher unsere Daten eigentlich sind. Mitglied des Netzpiloten Blogger Networks.


Artikel per E-Mail verschicken
Schlagwörter: , , , , , , ,

4 comments

  1. Netter und guter Beitrag, aber heute sollten alle Seiten mit einem sogenannten Zwei-Faktor-Authentifizierung versehen werden wie z.B.: von google http://de.wikipedia.org/wiki/Google_Authenticator
    Aber selbst grosse Anbieter wie Amazon, ebay, paypal(nur per SMS) usw. bieten diese Variante NICHT an. Würde mich mal Interessieren warum eigentlich nicht? Ich selber nutze es z.B. bei meinem WordPress Blog und es fuzzt wunderbar, denn ein Smartphone hat heute wirklich schon fast jeder.

  2. Ich muss zugeben, dass ich der Argumentation des Artikels (und damit auch des XKCD-Comics, der mir schon recht lange bekannt ist) nicht folgen kann:
    Passwörter, die nach den üblichen Empfehlungen erstellt werden und weniger als 13 Zeichen haben, sind aufgrund des heutigen Preis-/Leistungsverhältnisses von Rechenpower per Brute Force recht einfach zu knacken. Das gilt insbesondere, wenn der Hash bereits bekannt ist. So weit, so klar.
    Warum soll jetzt aber die Lösung sein, verschiedene, tatsächliche Wörter aneinander zureihen. Zum einen verringert man dadurch die Anzahl verschiedener Zeichenarten (Groß-, Kleinbuchstabe, Zahl, Sonderzeichen) deutlich, nämlich auf eins oder zwei. Zum anderen sind die Bestandteile für sich ja überhaupt nicht zufällig, sondern einer Liste (dem Wörterbuch) entnommen. Angenommen, diese Art der Passworterstellung setzte sich durch: Würde entsprechende Software dann nicht einfach erst mal ein paar Kombinationen der häufigsten Wörter einer Sprache durchgehen, und damit die Erfolgswahrscheinlichkeit deutlich erhöhen. Für eine Zeichenkette mit nur 12 Stellen, die aber komplett zufällig ist, müsste doch nach wie vor im Schnitt mehr Zeit verwendet werden. Oder wo ist mein Denkfehler?
    Müsste korrekterweise die Handlungsempfehlung nicht einfach lauten: Nutzt längere Passwörter! Ich verstehe nicht, warum ein 16-Zeichen-Passwort, das aus „echten“ Wörtern besteht, sicherer sein soll als ein komplett zufälliges 16-Zeichen-Passwort.
    Merken kann man sich das immer noch über einen Passwort-Algorithmus, bei dem man ein zufälliges Passwort als Ausgangspunkt nimmt, und dann bspw. Bestandteile der jeweiligen Domain einbaut. Auch Zahlen und Sonderzeichen sollte man vom Domainnamen abhängig machen.

  3. Ich bin ein wenig geschockt: wenn man den oben verlinkten Text auf fastcompany.com liest und dann hierher zurückkehrt, könnte man den Eindruck gewinnen, dass hier durch übersetzen, paraphrasieren, etwas kürzen und einstreuen von „Lokalkolorit“ (Goethe ersetzt Shakespeare) ein Text weniger geschrieben als vielmehr frech plagiiert wurde. Schade.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert