PASSWORTSICHERHEIT

BLOG

MIT SICHERHEIT IT-SICHERHEIT

Warum sichere Passwörter unsicher aber unsichere Passwörter sicherer sind

Wer kennt es nicht? Montagmorgen – nach dem Sommerurlaub – zurück am Rechner und das Passwort stimmt nicht. Oder besser gesagt: Wir erinnern uns nicht mehr an das korrekte Passwort. Diese Situation ist mir persönlich schon sehr häufig passiert. Damit bin ich sicher kein Einzelfall. Statistisch kann man in großen Konzern sogar anhand der Anzahl der Anfragen an den IT-Service zum Rücksetzen des Passwortes ablesen, in welcher Abteilung vermehrt Urlaubsrückkehrer:innen zu verzeichnen sind. Genauso verhält es sich mit Passwörtern, die wir nur sehr selten verwenden, wie beispielsweise den Zugang zu „Arbeitnehmer online“ zum Abholen der Jahressteuerbescheinigung.

Woran liegt unser Problem mit Passwörtern? Im Prinzip soll ein Passwort nur eine einzige Eigenschaft erfüllen: Es soll praktisch unmöglich sein das Passwort zu erraten. Um dies zu erreichen, versucht man den Suchraum für mögliche Passwörter möglichst groß zu gestalten. So gibt es für ein Passwort mit 8 Stellen aus Ziffern 10⁸ Möglichkeiten; für ein 8-stelliges Passwort aus Buchstaben 26^{8 ≈}2×10¹¹ Möglichkeiten und für ein Passwort aus Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen (26+26+10+15)^{8 ≈} 1×10¹⁵ Möglichkeiten.

PASSWORTSICHERHEIT – WORAUF SIE ACHTEN SOLLTEN

Eine naheliegende Schlussfolgerung ist: Man sollte für Passwörter erzwingen, dass diese Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen enthalten. Diese Regelung ist derzeit in den meisten „sicheren“ IT-Systemen hinterlegt und zwingt Nutzer:innen zum Anlegen eines solchen sicheren Passworts. Sie geht zurück auf eine Empfehlung aus den frühen 2000er von Bill Burr, eines damaligen Mitarbeitenden des National Institutes for Standards and Technology.

Diese Regel bringt aber ein fundamentales Problem mit sich. Das Gedächtnis von Menschen ist stark hierarchisch und vernetzt organisiert. Das bedeutet, dass die Größe einer Information weniger relevant für den Aufwand des Einprägens ist. Viel mehr hängt dies von der Komplexität der Information ab. So können sich die meisten Personen beispielsweise 4-5 Ziffern problemlos im Kurzzeitgedächtnis merken. Im Gegensatz dazu ist es für dieselben Personen ähnlich schwierig sich eine 32-40 stellige Ziffer zu merken – sofern diese beispielsweise aus den Geburtsdaten von 4-5 nahen Verwandten zusammengesetzt ist. Es kommt also darauf an, wie viele Assoziationen wir mit dem Passwort oder Teilen davon herstellen können. Leider kommen in unserer Alltagsumgebung nur sehr wenige Worte mit Sonderzeichen und/oder Zahlen vor. Deshalb entwickeln Menschen Eselsbrücken. So werden z. B. Sonderzeichen, die einem Buchstaben ähnlich sind, verwendet z. B. „P@sswor7“ statt „Passwort“. Damit ist es dann relativ einfach, sich ein „sicheres“ Passwort einfach zu merken. Aber ist dies denn nun wirklich sicher?

©Lydia Kutzschebauch

Das Leetspeak-Alphabet

©Lydia Kutzschebauch

.
Das Problem mit solch allgemeingültigen Eselsbrücken ist, dass diese eben allgemein bekannt sind. So gibt es beispielsweise das Leetspeak-Alphabet. In diesem Alphabet sind häufige Buchstaben-Sonderzeichen-Ziffern Ersetzungen zusammengefasst.

Es ist davon auszugehen, dass im Falle eines gezielten Angriffs dieses Leetspeak-Alphabet auch den Angreifer:innen bekannt ist. Eine einfache, effektive Strategie ist dann etwa eine Wörterbuchattacke mit 8-12 stelligen Wörtern und für jedes Wort alle möglichen Kombination mit den bekannten Ersetzungen zu verwenden. Wenn man davon ausgeht, dass ein durchschnittliche Person aus Mitteleuropa einen aktiven Wortschatz von ca. 3.000-4.000 Wörtern besitzt, bleiben vielleicht 700-800 Wörter dieser Länge übrig. Geht man weiter davon aus, dass maximal 3 Ersetzungen vorgenommen werden und jeweils 5 Varianten möglich sind, so bleiben 800*5³ =100.000=10⁶ Möglichkeiten.

Unsere scheinbar „sicheren“ Passwörter sind also massiv unsicher. Dies ist inzwischen in der Wissenschaft weithin bekannt und allgemein akzeptiert. Auch Bill Burr selbst bezeichnet die von ihm aufgestellte Regel inzwischen als nicht mehr sinnvoll. Leider hat sich diese Passwortregelung inzwischen in so vielen Standards, Softwareapplikationen und IT-Abteilungen durchgesetzt, dass es nur sehr langsam zu einem Umdenken kommt. Die Frage, die sich nun stellt ist: Was sind denn nun wirklich sichere Passwörter?

Zurück zur Grundidee eines Passwortes – es soll kaum von Angreifer:innen zu erraten sein. Gleichzeitig soll es einfach zu merken sein. Die Lösung für dieses Problem liegt in der Verwendung von persönlichem, individuellem Wissen. Eine gute Lösung ist beispielsweise, dass Passwort aus den Anfangsbuchstaben eines sehr persönlichen Satzes zu bilden, der nur Ihnen bekannt ist. Vielleicht der Kommentar einer Professorin oder eines Professors zur ersten nicht erfolgreichen Prüfung, ein lustiger Versprecher der Kinder oder eine Liebkosung der Partnerin oder des Partners. Alternativ können Sie beispielsweise auch aus den Buchstaben der Haltestellen auf Ihrem Arbeitsweg ein Passwort konstruieren oder auch die Mengen der Zutaten Ihres Lieblingsgerichts bieten sich an. Mit diesen Mechanismen spielt es auch keine Rolle mehr, ob das Passwort 8 oder 16-stellig ist. Sie werden sich beides gleich einfach merken können.

©Lydia Kutzschebauch

Wichtig ist, dass ein Zusammenhang gewählt wird der nicht allgemeingültig, sondern persönlich ist. Durch reines Ausprobieren ergibt sich hier ein gigantischer Lösungsraum. Geht man beispielsweise wieder von einem Wortschatz von 3.000 Wörtern aus und einem Satz aus 10 Wörter, so ergeben sich theoretisch 3.000^{10 ≈}5×10³⁴ Möglichkeiten. Diese sind natürlich noch signifikant durch Grammatikregeln zu reduzieren. Dennoch bleibt ein riesiger Lösungsraum. Einziges Gegenargument ist, dass Personen, die sie persönlich sehr gut kennen natürlich einen Vorteil beim Knacken des Passwortes hätten. Aber selbst für diese Personen bleiben viele Millionen Lösungen, so dass es auch für sie nur mit entsprechendem Fachwissen und Technologie möglich ist. Außerdem finden sich die Angreifer:innen in den wenigsten Fällen im Kreis der engsten Vertrauten.

Sollten Sie dennoch ein komplexes Passwort benötigen oder wollen Sie vermeiden, dass Sie ihr sicheres Passwort für all Ihre Zugänge verwenden, probieren Sie doch mal einen Passwortmanager aus. Dies ist ein Programm, das für Sie komplexe Passwörter zufällig generiert und in einer verschlüsselten Datei (möglichst auf einem Datenträger, auf dem nur Sie Zugriff haben) speichert. Der Vorteil: Sie können für die Vielzahl an Zugängen jeweils ein langes und komplexes Passwort erzeugen und müssen sich nur Ihr individuelles und sehr geheimes Master-Passwort merken. Hier gilt der Grundsatz: Das beste Passwort ist jenes, welches ich selbst nicht kenne.

AUTOR &
ANSPRECHPARTNER

Frank Ortmeier

Safety & Security

KONTAKT
Mittelstand 4.0-Kompetenzzentrum Magdeburg “vernetzt wachsen”
c/o Otto-von-Guericke-Universität Magdeburg
Universitätsplatz 2
39106 Magdeburg
0391 – 67 52 804

1 2 3 4

©Nadine Hiller

Das Mittelstand-Digital Netzwerk bietet mit den Mittelstand-Digital Zentren und der Initiative IT-Sicherheit in der Wirtschaft umfassende Unterstützung bei der Digitalisierung. Kleine und mittlere Unternehmen profitieren von konkreten Praxisbeispielen und passgenauen, anbieterneutralen Angeboten zur Qualifikation und IT-Sicherheit. Das Bundesministerium für Wirtschaft und Klimaschutz ermöglicht die kostenfreie Nutzung und stellt finanzielle Zuschüsse bereit.

Weitere Informationen finden Sie unter www.mittelstand-digital.de.

Cookie	Dauer	Beschreibung
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 Monate	Dieser Cookie wird vom GDPR Cookie Consent plugin gesetzt. Er speichert ob der Webseiten-Besucher den Cookies in der Kategorie "Notwendig" zugestimmt hat.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
CONSENT	16 years 5 months 16 days 10 hours 5 minutes	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Dauer	Beschreibung
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

PASSWORTSICHERHEIT

BLOG

MIT SICHERHEIT IT-SICHERHEIT

Warum sichere Passwörter unsicher aber unsichere Passwörter sicherer sind

PASSWORTSICHERHEIT – WORAUF SIE ACHTEN SOLLTEN

AUTOR & ANSPRECHPARTNER

Frank Ortmeier

AUTOR &
ANSPRECHPARTNER