Sichere Passwörter erzeugen & merken

Wie dem auch sei: Wir kommen nicht um die Benutzung von Passwörtern herum und es ist nach wie vor wichtig, sichere (= komplexe) Passwörter zu verwenden. Dabei ist es vor allem schwierig, einen Mittelweg aus *sehr schwierigem Passwort* und *trotzdem merkbar* zu finden. Ich möchte hier eine Methode erläutern, bei der man sich ein komplexes Passwort so erzeugt, dass es sich durch eine Eselsbrücke einfach merken lässt.

Kurze Einführung

Ein paar Sätze zu Passwörtern im Allgemeinen: Was ist ein “sicheres” Passwort? –> Eine Aneinanderreihung von allen möglichen Buchstaben/Zahlen/Sonderzeichen, die zufällig erzeugt wurden und daher für einen Angreifer oder ein Computerprogramm nicht zu erraten sind. (Wer sich ernsthaft mit der Komplexität von Passwörtern auseinandersetzen möchte, kann hier weiterlesen. Eine Erkenntnis ist beispielsweise, dass es weniger auf die Anzahl der zu benutzenden Sonderzeichen, sondern mehr auf die Länge des Passwortes ankommt.)

Was ist KEIN sicheres Passwort? –> Irgendein Wort, welches im Zusammenhang mit der Person steht, die es benutzt. Also Beispielsweise der Name eines Familienmitglieds. Generell sind alle Wörter die in einem Wörterbuch stehen für Passwörter völlig ungeeignet! Auch kleine Veränderungen von Wörtern wie das Ersetzen von “E zu 3”, “i zu 1”, usw. taugen wenig, wenn sie innerhalb eines bekannten Wortes verwendet werden.

Wie viele verschiedene Passwörter braucht der Mensch? –> Tja, auch wenn man es nicht hören mag: Am besten für jeden Login ein Eigenes! Das Problem dabei ist: Eine einfache Veränderung eines “Standardpasswortes” für jeden Login reicht nicht aus, da die Logik dahinter einfach erkennbar ist. Beispiel: Wer fjek3ld+ als sein Standardpasswort wählt und dann einfach den Dienst immer dahinter hängt ( fjek3ld+eBay, fjek3ld+Amazon, fjek3ld+Banking), der hat eigentlich nichts gewonnen, da bei Bekanntwerden eines Passwortes sofort alle anderen auch hinfällig sind. Die einzig sinnvolle Lösung dafür ist die Verwendung eines Passwortspeichers wie KeePass, bei dem man ein komplexes Masterpasswort benötigt, um viele verschiedene Passwörter sicher zu speichern.

Passwort erzeugen

Die beste Variante, sich ein wirklich zufälliges Passwort zu erzeugen, ist daher ein Passwortgenerator, der vollkommen randomisierten Kauderwelsch auswirft (siehe hier). Da Mensch sich so etwas aber nur schwer merken kann, kommt hier eine einfache Eselsbrücke für ein gutes Passwort:

–> Man denke sich einen wenig sinnvollen Satz aus, nehme die Anfangsbuchstaben eines jeden Wortes (inkl. Groß- und Kleinschreibung) und verwende dies als Passwort. Zusätzlich baut man mindestens eine Zahl und ein Sonderzeichen mit ein.

Hier ein Beispiel für ein solches Passwort. Zuerst ein frei erfundener Satz:

Dies würde folgende Buchstabenfolge ergeben:

Ersetzt man nun beispielsweise das “ein” durch eine “1” und fügt vor dem “und” ein (grammatikalisch falsches) Komma ein, könnte das fertige Passwort so aussehen:

Somit hat das Passwort immerhin 13 Zeichen, lässt sich durch den dahinterstehenden Satz einfach merken und kommt definitiv in keinem Wörterbuch vor. Ergo ist es ein ernstzunehmendes Passwort, was durch seine Länge bereits als schwer knackbar einzustufen ist.

Zu beachten ist lediglich, dass ein Passwort aus mindestens 8 Zeichen bestehen soll, besser aber aus 10-12. Wie man an dem Beispiel schnell erkennt fällt dies mit einer solchen Eselsbrücke gar nicht so schwer. Zusätzlich ist es wichtig, für seine Eselsbrücke keinen allgemein bekannten Satz oder ähnliches zu verwenden! Der Lieblingsvers aus der Bibel ist dafür genauso wenig geeignet wie eine Liedzeile von den Beatles. In beiden Fällen existieren nämlich Angriffsszenarien, in denen genau nach solchen Satz-Abkürzungen gesucht wird.

Verwendung

Als kleines Nachwort möchte ich noch mal betonen, dass ein Passwortspeicher wie KeePass verwendet werden sollte, um möglichst viele verschiedene (und natürlich komplexe) Passwörter verwenden zu können. Eine ausführliche Anleitung dazu habe ich hier geschrieben.

Und auch wenn es zunächst komisch klingt: Es spricht nichts dagegen, sich seine Passwörter (bzw. Eselsbrücken-Merksätze) einmal aufzuschreiben und zu seinen ohnehin sicher verstauten Unterlagen/Dokumenten im Keller zu legen. Falls man doch mal ein Passwort vergessen haben sollte, kann man es so wenigstens wiederbekommen. Auf keinen Fall aber sollte man seine Passwörter auf dem Computer in einer Datei speichern! Dort wären sie deutlich weniger sicher vor unbefugtem Zugriff und könnten durch entsprechende Malware leicht gefunden und ausgewertet werden. Es ist generell besser, ein sicheres Passwort zu verwenden und es als Sicherung auf einem Zettel im Portemonnaie aufgeschrieben zu haben, als ein unsicheres Passwort zu benutzen!

So, genug gelesen, jetzt bitte sofort in die Praxis umsetzen! ;)

© Bild “Eselsbrücke” by Mareike Weber – Weberwelten

6 thoughts on “Sichere Passwörter erzeugen & merken

  1. Wäre Diceware nicht viel sicherer als eine Initalendarstellung eines Satzes?

    Denn
    1. dürfte ein Würfel eine wesentlich bessere (zufälligere) “Zufallsquelle” als die eigene Vorstellungskraft darstellen.
    2. sind Initialen nicht gleichmäßig zufällig verteilt: https://de.wikipedia.org/wiki/Buchstabenh%C3%A4ufigkeit#Anfangsbuchstaben
    Ein Cracker könnte womöglich bevorzugt nach den häufigeren Anfangsbuchstaben suchen.

    Nur haben Dicewarepassphrasen den Nachteil, dass sie manchmal nicht sinnvoll zu verwenden sind, da die Länge z. B. auf 16 Zeichen limitiert ist.

    Gruß Benedikt

    1. Ja, du hast Recht, dass *wirklich* zufällige Quellen ein sichereres Passwort liefern würden. Das Problem ist nur die Balance zwischen “sehr sicher” und “für den Otto-Normalverbraucher noch gut zu merken”. Diesbezüglich finde ich die Initialendarstellung einen guten Mittelweg.

      1. Mein Tipp (so praktiziere ich es zumindest neuerdings) wäre halt, 29-mal zu würfeln und anhand dessen mithilfe von Diceware eine aus 5 “Wörtern” mit einkodiertem Sonderzeichen bestehende Passphrase zu erstellen. Dann hat man eine “garantierte” Entropie von 75 bit und eine durchschnittliche “Unintelligente-Brute-Force-Entropie” von ca. 150 bit (hab ich mal berechnet). Die entstehende Passphrase ist im Mittel 25 Zeichen lang und lässt sich (zumindest für mich persönlich) dennoch recht leicht merken.

        Gruß Benedikt

  2. Zum Generieren von sicheren Passwörtern habe ich ein Online Tool erstellt. Man hat eine Auswahl von verschieden Passwörtern, die unterschiedlichen Anforderungen genügen.

Leave a Reply to benedikt Cancel reply

Your email address will not be published.