Passwörter und Kryptologie

Hin und wieder habe ich an dieser Stelle schon Webapps und Desktop-Software (hier, hier, hier oder hier) angesprochen, die bei mir nahezu täglich zum Einsatz kommen und nicht mehr aus dem Alltag und meiner Organisation wegzudenken sind. Vor allem kam ich auf Anwendungen zur Automatisierung zu sprechen, ich will ab heute nicht nur über diese direkten Helferlein und Lastesel sprechen. Deshalb der Auftakt zu einer mehrteiligen Serie zur Passwortsicherheit. Passwörter brauche ich für eigentlich alle dieser Anwendungen, vor allem die Webapps. Warum aber habe ich Passwörter, die ich nicht kenne, die ich aber jederzeit und überall erstellen kann?

Ab einem bestimmten Punkt wird die Zahl der Login-Daten und Passwörter länger und länger, die Überschaubarkeit verhält sich antiproportional zur Datenmenge. So wächst die Versuchung, einen kleinen Kreis von Passwörtern – oder schlimmer: nur eines – für verschiedene Anwendungen zu nutzen. Ebenso schnell ist die geschieht folgendes: Noch mal eben bei besteseitewogibt.de anmelden, ist ja das heißeste Ding gerade. Was geht da so? Mist, was für ein Passwort nehme ich denn jetzt? Komm, was soll’s? Ich nehm 123456. Ich will da rein.

Was kann da schon schiefgehen? Einfach alles. Wer anderes behauptet, versteht das Problem nicht. Kein Hacker – ich meine: Cracker – ist so verstrahlt, um nicht auf die Idee zu kommen, gängige Passwörter in Massen einfach abzuspulen, um Zugriff auf Accounts zu erhalten. Das wird nicht besser, wenn Wörter anstelle der Zahlen verwandt werden und hier und da abwandelt oder ergänzent. Was ist mit einem Namen? – Nicht sicher. Was mit simplen Begriffen? – Auch nicht, Penis bringt nichts, ist nicht mal witzig. Aber mein s3cUr1t; ist sicher, das knackt keiner so leicht, oder? – Nicht mal schwer. Aber es hat Sonderzeichen, Groß-Klein-Schreibung und all das gut Zeug! – Bringt nichts.

Warum das alles nichts bringt, wird in dieser Serie behandelt werden. Doch werde ich aus einem einfachen Grund das Pferd von hinten aufziehen. Um zu zeigen, wie wenig Aufwand eine anständige Passwortverwaltung oder nur eine ordentliche Passwortregel macht, werde ich diese zunächst vorstellen. Vielleicht überzeugen die vorgestellten Lösungen schon für sich. Erst später in der Serie komme ich auf die genauen Gründe zu sprechen, weil diese nicht ohne ein Mindestmaß an Grundkenntnissen über Mathematik und Kryptologie auskommt. Nicht wirklich weltbewegend anspruchsvoll. Da aber die Abneigung gegenüber allem Mathematischen im Durchschnitt – auch bei mir – hoch ist, will ich zuerst die rein praktische Seite in den Vordergrund rücken. Daraufhin betrachte ich die Hintergründe. Es werden folgende Teile auf uns zukommen:

  1. Passwortverwaltung – One password to rule them all?.
  2. Regeln für Passwörter – Simple Faustformeln, sichere Passwörter zu generieren und wie man sich an sie erinnert.
  3. Zuverlässige Freunde? – Warum muss ich mich kümmern? Sollte die Server-Seite nicht für Sicherheit sorgen?
  4. Verlässliche Feinde? – Wie werden Accounts und Datenbanken angegriffen? In groben Zügen.
  5. Ein erhellender Abschluss – Here be smaller mathematical dragons.

Der abschließende Punkt könnte tatsächlich abschreckend wirken, aber er ist es nicht. Wenn ich das halbwegs hinkriege, werden alle anderen schon nicht daran scheitern. Die dort schlummernden Drachen sind mehr von Schlage Tabalugas, weniger Alduins*. Und am Ende wird allen hoffentlich klar sein, welches Passwort im obigen Bild ein wesentlich besseres ist und warum.

*Und selbst Alduin war dann doch nicht die große Herausforderung. Aber das gehört dann doch nicht hierher.

BILDNACHWEIS: Randall Munroe (xkcd) CC-BY-NC 2.5

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.