Gerade durfte ich einem Bekannten beim Einrichten seines neuen PCs helfen; dabei kam die Frage auf, was für ein Passwort er denn gern hätte. Kurz gesagt – ich musste erst erklären, was ein Passwort in diesem Fall genau ist, wofür man es braucht und wieso man eines haben sollte. Ensprechend dachte ich mir dass ein post über geeignete Passwörter, Aufbewahrung selbiger und alles, was mir noch so einfällt, ganz gut wäre. Immerhin sollte das Internet doch auf jede Frage eine Antwort haben. Letztlich ist aber alles was ich hier schreibe immer noch meine persönliche Meinung, einiges ist eher Geschmackssache.
Zunächst mal kurz einige Worte, warum man ein Passwort braucht. Im Internet kommt man an Passwörtern nicht vorbei – es kann dabei um Accounts, Konten bei Versandhäusern, aber auch um verschlüsselte Dokumente oder den Benutzeraccount gehen. Grundsätzlich gilt: Wenn ich ein Passwort brauche, dann hat es seine Existenzberechtigung. Das Konto zu einem Account in einem Browsergame mag für manche Vernachlässigbar sein, andere haben sich tagelang über sowas aufgeregt; spätestens beim Onlinekauf wird es aber wichtig, wenn dann unter Umständen die eigene Kontonummer gespeichert sind und möglicherweise ungestört über das Konto bestellt werden kann. Man kann natürlich für weniger wichtige Dinge immer dasselbe Passwort verwenden, bei genauerer Betrachtung sind aber so viele Passwörter irgendwie wichtig, dass es sich schon fast nicht mehr lohnt, ein allgemeines Passwort zu haben.
Was ist nun aber ein sicheres Passwort? Es sollte immerhin aus etwas bestehen, was sich nicht leicht erraten lässt; das heißt, die meisten Wörter aus halbwegs geläufigen Sprachen scheiden aus, ebenso wie persönliche Daten wie der Geburtstag oder gar die Kontonummer (hier aber eher, weil man möglicherweise die Kontonummer über das Passwort errät). Außerdem sollte es Sonderzeichen, Ziffern und Buchstaben kombinieren – das sicherste Passwort entsteht also, wenn man blindlings auf der Tastatur “rumhackt”. Das muss man sich aber erst merken – dafür gibt es einige Tricks, doch dazu später.
Wie lang sollte ein Passwort sein
Die Frage ist so leicht nicht zu beantworten. Das hängt vom Sicherheitsbereich ab. Generell kann man sagen, eine Mindestlänge von 8 Zeichen ist sinnvoll: 8 Zeichen bedeuten 191707312997281 Kombinationen bei der Zeichenklasse a-zA-Z1-9 (= 61 Zeichen). Das würde bei einer Million Tastenanschläge pro Sekunde eine Maximalzeit von ca. 53252 Stunden (191707312,997281 Sekunden) bedeuten (fast 6 Jahre). Das ist schon mal eine ganz ordentliche Zeit :-)
Bei höheren Sicherheitsbereichen (etwa Fimen-Netze oder dergleichen) würde ich auf 10 Zeichen Mindestlänge erhöhen (= 713342911662882601 Kombinationen, = ca. 198150808 Stunden oder ca. 22700 Jahre). Zur Einschätzung mal eine kleine Tabelle:
Mindestlänge maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)
3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 JahreDoch nun kommt die Ernüchterung. Alle diese Angaben sind sogenannte Maximalzeiten! Maximalzeit bedeutet: wenn jemand in der angegebenen Geschwindigkeit versucht, das Passwort zu knacken, und erst die allerletzte eingegebene Zeichenkombination die richtige ist, dann dauert es so lange wie angegeben. Aber theoretisch könnte ja auch schon die allererste eingegebene Zeichenkombination richtig sein. Dann hat es nur eine hunderttausendstel Sekunde gedauert, um das Passwort zu knacken – trotz 15 Zeichen. Es kann also durchaus sein, dass ein Angreifer ein Passwort innerhalb weniger Sekunden herausgefunden hat. Zufall eben. Deshalb sollte man sich bei 8 Zeichen durchaus nicht in Sicherheit wägen. Außerdem kommt es auch auf die Rechenleistung an: hier wurde mit einer Millionen Tanstenanschlägen pro Sekunde gerechnet. Andere, bessere, später gebaute Rechner schaffen vielleicht das Millionenfache.
Dieser schöne Text bei selfhtml macht deutlich, dass ein halbwegs sicheres Passwort mindestens 7 Stellen haben sollte. Weiter unten gibt der Autor noch Tipps, wie man sichere Passwörter kreiert, die alle bisland genannten Kriterien erfüllen:
Es wurde bereits gesagt, dass ein Passwort kein erkennbares System besitzen sollte. Diese Aussage kann man allerdings relativieren: es sollte kein durch eine Maschine erkennbares Muster besitzen. Wie Ihre Assoziationen zu einem Passwort sind, ist im Grunde völlig egal. Das gibt einem unverhoffte Freiheiten: wenn Sie jetzt z. B. ein Passwort zu einem Shell-Account oder Webshop brauchen, sehen Sie sich in der Umgebung um. Nehmen Sie den ersten Satz, der Ihnen zu einem Objekt in den Sinn kommt, nehmen Sie und packen den ersten Buchstaben jedes Wortes in das Passwort. Bei dem Satz “Ich telefoniere nicht besonders gern oder besonders häufig” wäre das z. B. dann die Zeichenfolge “itnbgnbh”. Das sieht doch schon recht gut aus. Jetzt schreiben sie noch jeden n-ten Buchstaben groß: “iTNbgNBh”. Nun schauen Sie noch, welche Buchstaben welchen Ziffern ähnlich sehen und ersetzen sie dadurch: “17NbgN3h”. Und schon haben sie ein wunderschönes Passwort, das man sich mit Hilfe dieser sogenannten Eselsbrücke leicht merken kann.
Eine weitere Möglichkeit wäre auch, den Duden aufzuschlagen und zwei Wörter herauszusuchen (zwei x-beliebige) und die durch ein Satzzeichen getrennt miteinander zu verketten: “laufen:hunger”. Auch hier sollte wieder eine Abstraktion durchgeführt werden (zuerst die Groß- und Kleinschreibung, dann die Ziffern): von “laufen:hunger” zu “LAufEN:hUNgeR” und schließlich zu “L4uf3N:hUNge4”.
Ich finde diese Methode gerade bei weniger wichtigen Dingen etwas kompliziert, aber die Ideen gefallen mir doch. Andere Alternativen könnten Dinge sein, die aus irgendeinem Grund privat von großer bedeutung sind. Zum Beispiel ein Datum – der eigene Geburtstag ist ebenso tabu wie der von (guten) Freunden und Verwandten, aber wie wäre es mit dem Tag, an dem man sein erstes Auto bekommen hat, sein Abitur oder seinen Doktortitel? Wobei es besser wäre, bspw das Datum der letzten Abiturprüfung zu nehmen. Und am PC sind Zahlen und Buchstaben fast das selbe (auch dazu später mehr), daher kann man immer eine Kombination von Zahlen und Buchstaben erhalten. Oder wie wäre es mit einem Wort aus einer weniger bekannten Sprache wie Maltesisch oder Baskisch? Man kann auch ein Wort aus einer Sprache mit einer anderen Schrift transkribieren; (Alt-)Griechisch, Arabisch und Japanisch sind nur einige sich anbietende Sprachen. Da kann es dann auch ruhig ein Wort sein, dass einem viel bedeutet oder dass ein Allerweltswort ist – besser ist aber ein Running Gag, den nur wenige kennen, etwa ein Wort, dass man nie richtig ausgesprochen hat.
Dieses Passwort muss man sich nun merken; manche haben nun aber entweder immer ein Problem mit dem Merken von Passwörtern, oder sie haben ein Passwort durch “rumhacken” erhalten. Möglicherweise ist es auch ein automatisch generiertes Passwort, dass man nicht mehr ändern kann. Grundsätzlich gilt: Papier ist Tabu, man kann es verlieren, möglicherweise an einen Dieb. Man kann das Passwort aber irgendwo speichern, wo es versteckt oder nicht als solches erkennbar ist. Hierbei hilft nun die eben erwähnte Austauschbarkeit von Buchstaben und Zahlen.
Es gibt verschiedene Möglichkeiten, Buchstaben durch Zahlen zu ersetzen und andersrum; am bekanntesten dürfte es wohl sein, Buchstaben durchzuzählen und jedem Buchstaben einen Zahlenwert zuzuordnen. Das Wort “hallo” könnte man also ersetzen durch “81121215”, wobei h=8 gesetzt wird, h=1 usw usf. Man kann jetzt aber nicht erkennen, ob “121215” für “llo” oder “ababae” steht (denn a=a, b=2, o=5). Dazu kann man Punkte, Unterstirche oder andere Sonderzeichen einbauen, um die Buchstaben voneinander zu trennen. Aus “hallo” würde also nun “8.1.12.12.15”. Das funktioniert natürlich auch andersrum – das Datum “11.10.09” würde zu “k.j.i” oder gleich zu “kji” werden. Will man nun ein Datum im Format TT.MM.JJ in Buchstaben umwandeln, dann bietet es sich an, für die Sonderzeichen eine 0 zu setzen und “j” nicht gleich 10 zu setzen, sonder gleich zu 11 zu springen, ebenso bei “t” bzw “s” von 19 gleich auf 21 zu springen damit es keine Nullen geben kann. Eine andere Möglichkeit besteht darin, Buchstaben und Zahlen nach Ähnlichkeit zu vertauschen, ein A würde dann zu einer 4, ein I zu einer 1 etc pp. Das Prinzip ist immer dasselbe, egal ob man nun ASCII-Codes, eine der genannten Methoden oder einen anderen Algorithmus verwendet.
Hat man nun eine Zahl erhalten, dann kann diese wunderbar speichern, jedenfalls solange man es an einer Stelle tut, auf die keiner kommt. Das gilt freilich nur für den privaten Gebrauch; je weniger wichtig, umso eher ist allerdings auch eine Speicherung erlaubt. Das Entscheidende bei der Speicherung von Passwörtern ist, dass merkt, dass es ein Passwort ist. Man kann nun kreativ sein – Software besteht letztlich aus Zahlen, und irgendwo kann man eigentlich immer einer kleine Zahl verstecken. Wie wäre es mit einer Datei mit Geburtstagen von Freunden, wo Zahlen in Datumsform wunderbar versteckt werden können? Oder Savegames, die so bearbeitet wurden, dass irgendwo besagte Zahlenkombination vorkommt? Überhaupt bieten sich Spiele für Amateure an; wie wäre es mit einem Screenshot, auf dem man die Zahlen erahnen kann? Oder einem Mod, der so heißt? Oder Spielvariablen, die entsprechend geändert wurden?
Darüber hinaus kann man üblicherweise Code “kommentieren” – irgendwo in irgendeiner Datei könnte sich also ein Kommentar befinden, in dem diverse Passwörter stecken. Wer kommt denn bitte auf sowas, und wie lange müsste man suchen, um sowas zu finden? Und wenn man nur jemanden einen Streich spielen möchte, dann kann man auch gleich besagte Datei verschlüsseln und das Passwort in einer anderen datei verstecken…
