Passwörter sollen sicher sein. Das versteht sich von selbst. Aber es kann sehr schwer sein, ein sicheres Passwort zu finden, dass man sich auch noch merken kann. Ich bin überzeugt, dass es aus diesem Passwort-Dilemma heute noch keinen richtigen Ausweg gibt. Warum? Das erkläre ich hier.

Wie Menschen mit Passwörtern umgehen

Wie hältst Du es mit der Sicherheit im Internet? Was für Passwörter nutzt Du? Glaubst Du, dass sie wirklich sicher sind? Generell kann man die Menschen im Hinblick auf ihre Einstellung zu sicheren Passwörtern in drei Gruppen einteilen:

1. Menschen, denen das egal ist. Ihnen kommt es vor allem darauf an, dass sie sich ihre Passwörter merken können. Häufig nutzen sie so tolle Kombinationen wie qwertz, 123456, „passwort“ oder den Namen ihres Haustiers oder Ehepartners. Ihr Passwort ist immer dasselbe, auf jeder Seite, für alle Konten. Ich muss wohl nicht darauf hinweisen, dass das extrem unsicher ist.

2. Menschen, die eine Wissenschaft daraus machen. Sie nutzen für jedes Login ein anderes Passwort, und jedes mit maximaler Sicherheit, also einem Mix aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Alle diese Passwörter kann sich dann kein Mensch mehr merken, also werden sie in Passwort-Safes gespeichert. (Ein Passwort-Safe ist eine verschlüsselte Software, die viele Passwörter speichert, zusammen mit Benutzername, URL etc. Normalerweise braucht man sich hierbei nur noch ein einziges Passwort zu merken.)

3. Menschen, die immer dasselbe Passwort benutzen, aber das hat es dafür in sich. Oft sind das die Anfangsbuchstaben eines Satzes, bei denen einige Buchstaben ersetzt oder vertauscht werden, wie bei: „n0b0Dyc4Nr3aDTh!s“.

Das Dilemma

Leider sind alle diese Lösungen problematisch:

1. Bei der ersten Gruppe besteht ganz offensichtlich ein hohes Risiko, dass das Passwort gehackt wird. Denn einfach zu merkende Passwörter sind auch einfach zu erraten, und dann haben die Angreifer Zugriff auf alle Benutzerkonten ihres Opfers.

2.  Das ist SEHR sicher, oder? Das sollte man meinen, aber die Antwort ist: ja und nein. Die Schwachstelle besteht darin, dass ein Passwort-Safe üblicherweise mit einem einzigen Passwort geöffnet werden kann – und dann all die komplizierten Passwörter freigibt, die in ihm gespeichert sind. Außerdem ist diese Lösung ein wenig umständlich, und von unterwegs kann man sich nirgendwo einloggen. Das ist schon ein bisschen ärgerlich.

3. Das hört sich nach einer guten Lösung an, aber das Problem ist: Jede Webseite hat ihre eigenen Regeln, wie ein Passwort aufgebaut sein muss. Einige verlangen mindestens ein Sonderzeichen, während andere keine Sonderzeichen akzeptieren. Einige geben eine minimale (oder maximale) Länge vor. Also hat man am Ende wieder mehrere Passwörter, die man sich mühsam merken muss, insbesondere bei Logins, die man nicht so häufig nutzt.

Und nun?

Das scheint ein unlösbares Dilemma zu sein. Und wir haben dafür auch nicht die ultimative Lösung. Ich hoffe, dass es künftig eine einfache Lösung geben wird, zum Beispiel einen sicheren Iris-Scanner. (Die Technologie existiert bereits, aber sie ist noch nicht sicher genug. In diesem Video kannst Du sehen, wie einfach die derzeitig verfügbaren Iris-Scanner überlistet werden können.) Oder auch einen automatisch generierten Schlüssel, der von Deinem Mobiltelefon geschickt wird, um Dich zu identifizieren. Oder etwas Vergleichbares.

Bis dahin lautet mein Vorschlag: Wir sollten uns alle auf eine Mindestanforderung an Passwörter als Standard für alle Logins einigen, beispielsweise auf eine Mindestlänge und die zu verwendenden Zeichen. Unter diesen Voraussetzungen würde die Passwort-Option Nummer 3 viel attraktiver und realistischer.

Nehmen wir an, wir entscheiden uns für den ASCII-Zeichensatz, der zu den am häufigsten verwendeten Standards gehört und 95 druckbare Zeichen umfasst. Wenn wir dann noch eine Standardlänge von beispielsweise 10 Zeichen vereinbaren, würde es

safe password calculation

mögliche Passwörter geben, was etwas sicherer ist als ein 64-Bit-Key. Natürlich ist das noch nicht stark genug, um einem Brute-Force-Angriff zu widerstehen, aber in Kombination mit einem reCAPTCHA oder einer begrenzten Zahl von Eingabeversuchen pro Stunde würde es uns in die Lage versetzen, dasselbe (oder ein jeweils leicht verändertes) Passwort für verschiedene Webseiten zu nutzen.

Wenn wir die Länge auf 32 Zeichen erweitern, würden wir maximal 32 Byte Speicherplatz pro Passwort benötigen und kämen auf

safe password calculationmögliche Passwörter, was mit einem 210-Bit-Key vergleichbar ist – und das ist ziemlich stark, jedenfalls viel sicherer als alle Deine aktuellen Passwörter.

keys

Warum Sonderzeichen nichts nützen

Es ist ein weit verbreitetes Missverständnis zu glauben, dass das Hinzufügen von möglichen Zeichen (wie Sonderzeichen) am besten geeignet ist, ein Passwort sicherer zu machen. Aus mathematischer Sicht definiert sich die Stärke eines Passworts durch die Anzahl der Versuche, die ein Brute-Force-Angriff braucht, um das Passwort zu erraten. Der Einfachheit halber behandeln wir hier jede Zeichenkombination gleich. In der Praxis solltest Du aber auf jeden Fall echte Wörter vermeiden, die in Bücher stehen, denn diese Kombinationen probieren Passwort-Hacker normalerweise zuerst aus.

Um ein Würfelergebnis zu erraten, brauchen wir maximal 6 Versuche, im Durchschnitt aber nur 3,5 Versuche.

Unser lateinisches Alphabet hat 26 Buchstaben; doppelt so viele, wenn man die Großbuchstaben einbezieht. Dazu kommen 10 Ziffern. Insgesamt sind das 62 Optionen.

keys

Auf die Länge kommt es an

Der erlaubte Zeichensatz definiert die Zahl der Optionen. Der Schlüsselfaktor für die Sicherheit ist aber die Länge des Passworts, denn jede zusätzliche Stelle erhöht den Exponenten um 1:

Zahl der OptionenBeispiele:

  • Einfaches Alphabet (26 Zeichen) und eine Länge von 6: 308.915.776 Optionen
  • Würfel (6 Zeichen) and eine Länge von 26:

ForelNoch ein Vergleich: Die folgende Grafik zeigt, wie bei einem Zeichensatz von 26 Buchstaben und einer Länge von 10 Stellen jeweils die Komplexität zunimmt, wenn man 2 Zeichen hinzufügt (rote Kurve) oder die Länge um 2 Stellen erweitert (blaue Kurve):

password complexity

Es wird deutlich: Das Hinzufügen von Stellen erhöht die Komplexität von Passwörtern viel schneller als das Hinzufügen von erlaubten Zeichen.

Zusammenfassung

Wie soll man also das gefürchtete Passwort-Dilemma angehen? Auch wenn das noch lange keine perfekte Lösung ist, plädiere ich für eine Kombination der hier diskutierten Methoden. Ein einfacher (langer) Satz ist stärker als eine Buchstabenfolge, die Du Dir nicht merken kannst. Ein Passwort-Safe wie KeePass oder LastPass kann Dir dabei helfen, Dich an all die Passwörter für Deine verschiedenen Konten zu „erinnern“. Abgesehen davon können wir nur hoffen, dass eines Tages jemand eine wirklich brillante Lösung findet. Und dann werden wir lächelnd sagen: „Kannst Du Dich noch an die Zeit erinnern, als wir uns Passwörter merken mussten?“