Passwortsicherheit (2): Simple Faustformeln für Passwörter

Eine Passwortvewaltung hat große Vorteile. Richtig genutzt ist damit eine überragende Sicherheit der eigenen Passwörter gewährleistet. Doch haben sie alle einen kleinen Haken, der in heute mobilen Seiten nicht zu vernachlässigen ist: Wer KeePass oder ähnliche Software einsetzt ist an die Verfügbarkeit der Software und der Datenbank gebunden. Zwar hatte ich schon beshrieben, wie sich die Verteilung der Datenbank und der mobile Zugriff darauf organisieren lassen. Es bleibt aber noch eine „Versorgungslücke“, wenn das Smartphone streikt, ich nicht auf die Datenbank zugreifen kann oder, warum auch immer, nicht die Software einsetzen kann. Was dann?

Salz in der URL-Suppe

Meine bevorzugte Methode besteht darin, eine simple Faustfomel  zu entwickeln, mit der ich meine Passwörter aus gegebenen Daten generiere. Es gibt unzählige Methoden, ich erkläre hier nur das Grundprinzip: Wie kann ich für jede Webseite ein individuelles Passwort erstellen, an das ich mich aber jederzeit erinnern kann, selbst wenn es sehr kompliziert ist? Die Lösung ist einfacher als zunächst angenommen wird. Man nehme eine mit der Webseite verbundene stets offen erkennbare Information und bereite diese auf. In der Praxis ist bietet sich da die URL (der Domänenname) an. Diesem füge ich eine nur mir bekannte Zeichenkette hinzu und habe so ein eigenes Passwort zur Anmeldung.

Nehmen wir an, ich will mich beispielsweise bei www.xyz.de anmelden. Dann könnte mein Passwort so aussehen, dass ich mir die xyz.de nehme und meine eigene Zeichenkette – sagen wir DIESISTMEINEZEICHENKETTE – anhänge. Das Passwort wäre dann xyz.deDIESISTMEINEZEICHENKETTE. Auf einer anderen Seite wie abc.de wäre es dann abc.deDIESISTMEINEZEICHENKETTE.

Es ist leicht zu erkennen, ich hätte mir nur zwei Dinge zu merken. Erstens die Regel, wie ich die URL bearbeite oder welchen Teil davon ich verwende, und zweitens die immer gleiche Zeichenkette. Auch wenn das die Sicherheit erhöht, reicht es mir aber noch nicht ganz, weswegen ich empfehle, noch eine weitere Sicherheitsebene einzufügen. Denn diese Passwörter enthalten noch Klarnamen, was nicht wünschenswert ist. Aber es gibt auch hierfür eine einfache Lösung. Ich kann ohne Probleme das obige Passwort noch in eine sehr viel sicherere Zeichenkette verwandeln, indem ich erst einen Hashwert von ihr als Passwort benutze. Es geht vielleicht ein wenig zu weit, den genauen Hintergrund der Hashwerte zu erklären, aber nur so viel: Hashwerte sind das Ergebnis von speziellen Algorithmen, deren zweck es ist, eine beliebig lange Zeichenkette auf eine Zeichenkette mit fester Größe zu reduzieren, die aber dennoch einzigartig ist. Einer der bekanntesten Algorithmen heißt MD5. Generatoren für MD5 und andere Algorithmen sind für alle Betriebssysteme und Plattformen zu haben, lassen sich aber auch online finden1.

Der MD5-Hashwert von xyz.deDIESISTMEINEZEICHENKETTE ist 409441f4fc86785fbb3cd82832022b00, der von abc.deDIESISTMEINEZEICHENKETTE ist def5aa684b9c32858943b1aa6c946ed0. Das sind schon einmal reichlich gute Passwörter und der Clou ist, ich muss sie nicht kennen. Alles, was ich mir gemerkt habe ist, wie ich die URL verarbeitet habe, meine Zeichenkette (man würde dazu jetzt auch Salt sagen) und den Hash-Algorithmus, den ich verwende. Für jede Seite erhalte ich damit ein vergleichsweise starkes Passwort – ohne nervtötende Arbeit.

Jetzt gäbe es noch viel anzumerken, doch will ich es kurz halten. Erstens sollte aber die Regel bestenfalls nicht nur die URL in der reinen Form berücksichtigen, was damit gemacht wird, ist aber egal. Die Regel könnte ergänzt werden, indem man nur jeden zweiten Buchstaben aus der URL nimmt. Was auch immer, es sind keine Grenzen gesetzt. Die Zeichenkette, das Salz, sollte selbst eine ordentliche Sicherheit aufweisen.

Alternativen?

Es gibt natürlich auch noch andere Verfahren, um sich vergleichsweise starke Passwörter merken zu können. Da gibt es das rollenspiellastige Verfahren der Diceware. Wir merken uns mal für später, warum 12.9 Bit Entropie pro Wort bei der Diceware ein ordentlicher Wert ist, der starke Passwörter zur Folge hat, für uns reicht hier nur, dass Diceware einen Makel hat, den die oben beschriebene Methode erfolgreich umschifft. Ich muss mir jedes Passwort merken, nicht die Regel, das Passwort. Dassselbe Problem gibt es etwa, wenn das Passwort durch Abkürzungen von Sätzen entsteht. Es gibt Leute, die nehmen sich für jedes Passwort einen Satz (oder mehrere) aus einem Buch; das Passwort besteht aus dessen Initialen und Satzzeichen. Aus Habe nun, ach! Philosophie, Juristerei und Medizin, Und leider auch Theologie Durchaus studiert, mit heißem Bemühn. wird Hn,a!P,JuM,UlaTDs,mhB. Das ist auch kein schlechtes Passwort, aber es wird doch etwas lästig, wenn ich mir solche Passwörter für einen Haufen Seiten merken müsste. Wir wollten es uns ja einfach machen.

Unterm Strich bleibt die oben ausführlicher beschriebene Methode für meine Begriffe die beste. Sie ist einfach, umfassend und durchaus sicher. In der nächsten Woche gehe ich dann genauer darauf ein, warum wir sichere Passwörter haben sollten.

1 Ob allen aber Vertrauen zu schenken ist, ist eine andere Sache.

Ein Gedanke zu „Passwortsicherheit (2): Simple Faustformeln für Passwörter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.