Ein Passwort ist der mit Abstand häufigste Anwendungsfall der Authentifikation einer Person oder eines Dienstes. Es ist eine Ausprägung der klassischen Variante “ich weise Dir nach, dass ich derjenige bin, der ich behaupte zu sein, in dem ich Dir etwas verrate, was nur ich wissen kann”.

Genau dort ist natürlich auch der Haken: Wenn ich mein Passwort verrate, weiß das Gegenüber das Geheimnis und kann sich somit irgendwo anders mit diesem Passwort als mich selbst ausgeben. Das Konzept ist also von Anfang an “fundamentally flawed”.

Außerdem sind Passworte knackbar. Trivial knackbar, wenn man nur genug Rechenleistung und Zeit zur Verfügung hat. Notfalls geht man stupide nach aaa, aab, aac, aad, und so weiter vor, bis man schließlich bei zzz angekommen ist und dann mit aaaa weitermacht. Irgendwann hat man alle möglichen Passworte (Wissenschaftler nennen dies den Passwortraum) durchprobiert, und zwar auch, wenn man sich nicht wie hier vereinfacht auf die Kleinbuchstaben beschränkt, sondern alle tippbaren Zeichen verwendet. Da wird der Passwortraum halt nur noch entsprechend größer.

Viele technische Verfahren beschränken die Länge der möglichen Passworte. So gehen bei vielen älteren Systemen nur die ersten acht Zeichen des Passworts in die Authentifikation ein, und es ist völlig egal, ob Du Sommer1969 oder Sommer1989 tippst. In so einem Fall ist der Passwortraum nicht nur linear durchsuchbar, sondern sogar endlich und Du kannst Dir genau ausrechnen, wie lange ein Angreifer maximal braucht, um jedes Passwort einmal probiert zu haben - und damit sicher auch Dein Passwort “erwischt” hat.

Gegen solche, sogenannten Brute-Force-Verfahren helfen Tricks, die das Ausprobieren eines Passworts einfach mehr Zeit dauern lassen. Es stört mich in der Praxis nicht, wenn ein aktueller Rechner eine Sekunde rechnen muss, bis er mein (richtiges) Passwort auf seine Korrektheit geprüft hat. Einen Angreifer stört es, wenn er plötzlich zweieinhalb Stunden braucht, um nur zehntausend Passworte auszuprobieren, wenn er ohne diese “künstliche Bremse” schon in zwei Sekunden durch wäre.

Schlaue Angreifer wissen, dass es oft Menschen sind, die sich ein Passwort ausgedacht haben. Denn ein Passwort, das man sich selbst - vielleicht mit Methode - ausgedacht hat, kann man sich besser merken. Auch ich komme mit Sommer1969 oder ipw2200 als Passwort eigentlich besser zurecht als mit T1Xgf%N+JR (apg -a 1 -m 10). Und dreimal dürft Ihr raten, welches das beste Passwort von diesen dreien ist. Schlaue Angreifer wissen das, und gehen nicht stur in einer ausprogrammierbaren Reihenfolge vor, sondern sortieren sich den Namensraum in mehr oder weniger wahrscheinliche Passworte. Dass Sommer1969 in dieser Liste weiter vorne steht als T1Xgf%N+JR, dürfte jedem Mittelstüfler klar sein. Isotopp hat netterweise letztes Jahr einige Spaßworte, die bei einem seiner Kunden aufgefallen sind, verblogged: http://blog.koehntopp.de/archives/1626-Spassworte.html

Man muss nun kein Raketenwissenschaftler sein, um seine Wortlisten nicht nur mit Worten befüllt, die man unverändert aus dem Wörterbuch übernimmt, sondern dass man auch die Varianten S0mmer1969, S0mm3r1969, 19S0mm3r69 und vielleicht sogar 96r3mm0S91 weiter vorne in der Liste stehen hat als T1Xgf%N+JR.

Es ist nun leider gar nicht so einfach, Beispiele für “gute” Passworte zu geben. Es gibt formelbasierte Ansätze wie http://de.onsoftware.com/sichere-online-passworter-immer-zur-hand/, Algorithmen zur Errechnung potenziell merkbarer Passworte (z.B. FIPS-181, http://www.itl.nist.gov/fipspubs/fip181.htm, z.B. implementiert in apg) oder den typischen Trick, sich einen Satz wie “Ich esse 90 % der Äpfel für 7 € !” zu merken und daraus das Passwort Ie90%dÄf7€! zu generieren (verbrannt in http://de.wikipedia.org/wiki/Passwort). Am besten sucht man sich selbst eine Mischform aus verschiedenen Verfahren, und verwendet diese dann, denn alle Verfahren, die man sich im Netz irgendwo suchen kann, sind “verbrannt”, sprich, die “bösen Schwarzhüte” kennen diese Verfahren auch und haben die daraus entstehenden Passworte weiter vorne in ihren Listen einsortiert. Freilich sollte man auch keine Passworte aus webbasierten Passwortgeneratoren benutzen, denn diese Passworte sind mindestens dem Betreiber des Generators bekannt - und wer will wissen, ob nicht der Generator vielleicht überhaupt nur 200 verschiedene Passworte ausspuckt, die nur “sicher” aussehen, es aber natürlich nicht sind.

Einfacher ist es, schlechte Passworte beim Namen zu nennen. Das haben aber im Netz schon viele andere getan, deswegen spare ich mir die übliche Auflistung, dass Eigennamen, Geburtsdaten, Songtitel, Worte in irgend einer Sprache sowie triviale Tastaturzeichenfolgen wie 1234, 9876 oder azerty als Passwort nichts, aber auch überhaupt nichts verloren haben. Nein, auch nicht rückwärts, mit reingestreuten Sonderzeichen oder gar Leetspeak. http://de.wikipedia.org/wiki/Passwort http://kennwort.info/unsicheres-kennwort http://en.wikipedia.org/wiki/Password_strength#Examples_of_weak_passwords