Passwörter: Worauf es wirklich ankommt

Viele Passwörter sind zu einfach, andere unnötig aufwändig

Datum
13. Dezember 2016
Autor

Auch Hacker denken wirtschaftlich. Sie versuchen, mit möglichst geringem Einsatz erfolgreich zu sein. Das können Sie nutzen: Ihr Kennwort muss nicht aus unendlich vielen und kryptischen Sonderzeichen bestehen, um elektronische Geräte wirksam vor Missbrauch zu schützen.

Wie lang muss ein gutes Passwort sein?

Ein Kennwort ist nur sicher, wenn es weder erraten noch durch einfaches Abarbeiten einer Wortliste (Wörterbuchangriff) ermittelt werden kann. Sind die Voraussetzungen erfüllt, bleibt einem Angreifer nur, alle möglichen Kombinationen auszuprobieren. Diese Angriffsart wird Brute-Force-Methode genannt. Mit genügend Rechenleistung können theoretisch alle Passwörter erraten werden, unabhängig von Länge oder Anzahl Zeichengruppen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen). In der Praxis wird aber der Zeitaufwand zu groß, wenn ein Passwort lang oder die Rategeschwindigkeit (Versuche pro Sekunde) zu gering ist.

Online- und Offline-Attacken

Wie oft und mit welcher Geschwindigkeit ein Angreifer raten kann, hängt davon ab, ob er auf das Zielsystem (beispielsweise eine Webseite) angewiesen ist oder die Passwörter selbst ausprobieren kann. Bei einer sogenannten Online-Attacke testet der Angreifer die Passwörter direkt am Zielsystem. Die Anzahl der Versuche wird durch die Geschwindigkeit der Kommunikation mit dem Zielsystem begrenzt. Auch dann, wenn der Hacker ein Programm einsetzt, um mögliche Passwörter auszuprobieren. Außerdem fallen zu viele Fehlversuche irgendwann auf. Das angegriffene Konto würde (hoffentlich) vorsorglich gesperrt oder die Rategeschwindigkeit künstlich gedrosselt.

Schwerer vorzubereiten, aber lohnender sind Offline-Attacken. Ein Angreifer hat beispielsweise eine Datenbank mit verschlüsselten Zugangsdaten kopiert. Mit seinem eigenen Hochleistungsrechner kann er nun mögliche Passwörter auf die gleiche Art verschlüsseln und Ergebnisse vergleichen. Außerdem braucht der Angreifer sich auch nicht darum zu sorgen, dass seine Aktivitäten auffallen.

Experten halten ein Kennwort, das mit einer Million (10^6) Versuchen wahrscheinlich nicht erraten wird, für sicher vor Online-Angriffen. Für Offline-Attacken sollte ein Passwort mit 100 Billionen (10^14) Versuchen nicht ermittelt werden können. Unter günstigen Umständen gelingt es mit handelsüblicher Hardware 100 Milliarden (10^11) Passwörter pro Sekunde auszuprobieren. Deshalb nehmen wir im Folgenden 100 Billiarden (10^17) Versuche als Maßstab für ein Kennwort an, das einer Offline-Attacke widerstehen soll.

Tipps für sichere Passwörter

  • Um bei einer Million Versuchen – also bei einem Online-Angriff – wahrscheinlich nicht erraten zu werden, reichen 6 zufällig gewählte Kleinbuchstaben („azfkxw“). Jedoch nur dann, wenn Sie kein sinnvolles Wort („hamster“) und kein Tastaturmuster („qwertz“) gewählt haben.
  • Eine Kombination von mindestens 4 Ziffern, Groß- und Kleinbuchstaben („1WzF“) ist ebenfalls ausreichend und lässt mehr Raum für Eselsbrücken („Ein Wildschwein zum Frühstück“).

Unter mathematischen Gesichtspunkten genügen diese Empfehlungen. Das BSI für Bürger unterscheidet nicht zwischen verschiedenen Angriffsszenarien und empfiehlt pauschal eine Mindestlänge von acht Zeichen.

Anspruchsvoller wird es, wenn Ihr Passwort auch bei 100 Billiarden Versuchen, also einem Offline-Angriff, wahrscheinlich nicht erraten werden soll:

  • Eine Zeichenkette aus 10 Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen („HO,1WmS+E!“) sollte ausreichen. Mit einer Eselsbrücke („Herr Ober, ein Wildschwein mit Salat und Ei!“) können Sie sich dieses Passwort noch merken.
  • Ähnlich sicher sind außergewöhnliche, ohne Zusammenhang aneinander gereihte Wörter wie „buntkulturaktivpappelholz“. 25 Zeichen sollten reichen.
  • Eine solche Wortreihe können Sie mit einem Würfel und der Diceware-Wortliste erstellen. Fünf Diceware-Wörter sollten es aber schon sein.

Die Wissenschaft hat festgestellt …

Einerseits wählen die Anwender viel zu einfache Passwörter. „123456“ und „password“ führen seit Jahren die Liste der 25 schlechtesten Passwörter an. Anderseits machen sich viele zu viel mit Maßnahmen, die ihre Passwörter nicht widerstandsfähiger machen. Ein Passwort mit 4 Zeichen hält einem Online-Angriff sehr wahrscheinlich stand. Um einem Offline-Angriff zu widerstehen, sollten es aber 10 Zeichen (oder mehr) sein. Das heißt, dass Passwörter mit 5 bis 9 Zeichen sicher genug für Online-, aber nicht sicher genug für Offline-Angriffe sind – der Mehraufwand bringt nichts.

Problematisch bleibt, dass Anwender meist nicht erkennen können, ob die Sicherheitsmaßnahmen der Verantwortlichen Online- oder Offline-Angriffe ermöglichen. Darum bleibt als Maßstab für die Wahl des Passworts nur das eigene Schutzbedürfnis. Wie sensibel sind die dem Dienst anvertrauten Informationen?

One account, one password

Erschwerend kommt hinzu, dass ein kompromittiertes Konto meist zu einer Lawine weiterer bloßgestellter Zugangsdaten führt. Wenn Sie vermeiden wollen, dass Zugangsdaten nach dem Hack eines Dienstes auch für andere Dienste verwendet werden, müssen Sie für jeden Dienst und jede Webseite ein eigenes Passwort vergeben.

Nutzen Sie einen Passwort-Manager

Wollen Sie „one account, one password“ umsetzen, hilft Ihnen ein Passwort-Manager, sichere Kennwörter zu erzeugen und zu speichern. LastPass und KeePass haben sich in der Praxis bewährt. Wenn Sie einen Passwort-Manager verwenden können, ist es auch nicht mehr so wichtig, wie lang oder gut zu merken ein Passwort ist.

Fazit

Passwort-Manager sind gute Hilfsmittel, um sichere Kennwörter zu erzeugen und zu verwalten. Doch nicht immer kann ein Passwort-Manager genutzt werden. Und sogar wenn … Passwörter im Passwort-Manager sind auch durch ein Passwort geschützt. Einige Passwörter werden Sie sich also trotzdem merken müssen. Dabei helfen Merksätze („Herr Ober, …“) oder aneinandergereihte Worte („buntkulturaktivpappelholz“).