Wie sieht ein starkes Passwort aus?

Wie sieht denn nun ein starkes Passwort aus und was soll es leisten?
Fange ich mal damit an, den Gaul von hinten aufzuzäumen und beantworte zunächst den zweiten Teil meiner Frage.

Was soll ein starkes Passwort leisten?

Grundsätzlich sind es zwei Aufgaben, die ein starkes Passwort lösen soll.

  1. Es soll – möglichst niemals – zu brechen sein.
    Denn daran hängen halt unsere Geheimnisse (wenn wir uns an diese Sicherungslösung unserer Geheimnisse halten und nicht Zwei-Faktor-Authentifikation, Zertifikate oder schwer bewaffnete Trolle zum Schutz unserer Geheimnisse einsetzen). Daher wäre es wünschenswert, dass unser Passwort mindestens so lang hält, so lang wir unsere Geheimnisse schützen wollen.
  2. Es soll möglichst einfach zu merken sein.
    Es ist einfach deutlich einfacher, sich ein einfach zu merkendes Passwort wie “PhukAllSirveillance!
    zu merken als
    3rH!gb8Ip4_tj5eLN7.”.
    Beide halten länger – deutlich länger! – als meine Geheimnisse gewahrt werden müssen (das behauptet zumindest HowSecureIsMyPassword) und da ziehe ich dann doch die leichter zu merkende Variante aus Beispiel eins vor.
    Ich bin eben kein Gedächtnisakrobat und ich ziehe es vor, meine Gedanken mit schönen Erinnerungen und Bildern zu füllen, als mit drögen Passworten.

“You must unlearn, what you have learned”

Yoda, die kleine, schrumpelige, grüne Jediisierung des Zen, bringt es damit treffend auf den Punkt
Wir haben jahrzehntelang falsche Ideen über unsere Passworte verinnerlicht.
Passworte sind kompliziert und schwer zu merken, damit sie niemand brechen kann.
Leider ist das ein Trugschluss, der für Menschen gilt.
Die Passworte die wir bisher verwendet haben, sind kompliziert und schwer zu merken für einen Menschen,
aber mit ausreichender Rechenkraft für einen Computer leicht zu brechen.
Daher brauchen wir etwas, was ein Computer niemals nutzen wird:

Kreativität.

Nutzen wir dies und machen Passworte, die einfach und leicht zu merken sind – für uns!
Und gleichzeitig schwer für einen Computer zu brechen sind.
Wenn wir ganze Sätze bilden, können wir uns – als Menschen – diese leicht merken. Aber Computer sind nicht in der Lage, diese einfach zu erraten.
Und das sture Durchprobieren – mit Brute Force, also mit roher Gewalt – um das Passwort zu brechen, wird zu einer Lebensaufgabe für den Kollegen Computer – wenn er sehr, sehr lang lebt 😉
Aus dieser Idee heraus hier meine erste Empfehlung:

  • Denkt euch einen Passsatz (eine Passphrase) aus, die ihr euch leicht merken könnt, die ihr wie ein Mantra wiederholt, die euch ein gutes Gefühl gibt (damit ihr gern an diesen Satz denkt) und der möglichst wenig Angriffsfläche für Social Engineering auf euer Leben hat.

Ein schlechtes Beispiel hierfür ist:
Ich lebe in Hamburg in der Alsterallee 3.
Ein guter Satz von der reinen Sicherheit her, allerdings leicht zu social Engineeren, wenn ihr dort tatsächlich wohnen sollte.
Also für mich wäre es ein toller Satz…nur kann ich ihn mir nicht so toll merken, da ich noch nicht einmal weiß, ob es in Hamburg eine Alsterallee gibt…also ihr versteht, was ich meine.
Ein gutes Beispiel ist:
Reispudding mit sauren Gurken macht mich ganz kribbelig!
Ganz schön sicher. Ach, was! Irrsinnig sicher!
Bitte, wer von uns hat schon die ernste (oder alberne) Absicht 2 Novemvigintillion Jahre (das ist eine Zahl mit 90 Stellen) seine Geheimnisse zu schützen?
Ich glaube, wenn ich so alt bin, stehe ich endlich darüber, ob jemand meine Geheimnisse stehlen will.
Also, das Beispiel ist wirklich gut, weil da müsste jemand schon ganz ordentlich social engineeren, um das über mich rauszubekommen.

Was macht ein starkes Passwort stark?

Nochmal kurz zusammengefasst, was ein starkes Passwort jetzt stark macht:

  • Es kann nicht, oder nur mit sehr hohem Aufwand in sehr langer Zeit gebrochen werden.

Was sind denn nun die Faktoren, die ein starkes Passwort ausmachen?

  • Size matters
    Ja, es kommt diesmal tatsächlich mal auf die Länge an 😉
    Je länger ein Passwort ist, desto länger braucht ein Computer, um alle Möglichkeiten durchzuprobieren.
    Also als Mindestlänge ist hier meiner Ansicht nach (und da stimme ich sogar mal mit dem BSI überein) zwölf Zeichen unbedingt notwendig.
    Gewöhnen wir uns lieber – was bei Passphrasen ganz leicht ist – an eine Mindestlänge von zwanzig Zeichen.
  • Mach es komplex – nicht kompliziert
    Ein komplexes Passwort verwendet viele verschiedene Zeichen. Also Buchstaben, Zahlen und Sonderzeichen.
    Scheut euch nicht davor, das ein oder andere Komma oder ähnliches zu verwenden – das tut der menschlichen Lesbarkeit von Texten schließlich auch gut 😉
    Ein guter Überblick über den Zusammenhang zwischen Länge und Komplexität lieferen diese Tabellen.
  • Unverknüpft – lass dein Passwort social unengineerbar sein
    Nimm nichts, was aus sozialen Netzwerken auf dich schließt.
    Lass deine Lieblingsfarbe weg, vergiss den Fußballverein für den dein Herz schließt.
    Schließ deine Passphrase in dein Herz ein – und veröffentliche keine Hinweise darauf in der allwissenden Müllhalde.
  • Vergiss Wörterbücher
    Nimm keine Worte, die in Wörterbüchern vorkommen.
    Nochmal mein Hinweis: sei kreativ.
    Werde zu deinem eigenen Passwortpoeten und reime deine Sicherheit!

Was ist bei starken Passworten noch wichtig?

  • Niemals Passworte wiederverwenden
    Jedes Ding will einmalig sein – auch das Passwort für jeden einzelnen Dienst!
  • Niemals Passworte jemandem mitteilen
    Passworte zu teilen (auch mit deiner Liebsten oder deinem Hamster) ist kein Liebesbeweis.
    Es ist Dummheit.
    Denn es gefährdet neben deinen Geheimnissen auch noch die Integrität deiner Beziehung und die Unversehrheit deiner Liebsten (oder deines Hamsters). Denn jetzt ist da noch jemand, aus dem ein Angreifer dein Passwort herausbekommen kann.

TL;DR

  • Was soll mein starkes Passwort leisten?
  • We must unlearn what we have learned.
  • Be creative!
  • SBGB (schlechtes Beispiel – gutes Beispiel)
  • Faktoren: Lang, komplex, nicht social engineerbar, Wortneuschöpfungen
  • Und sonst noch?

So, liebe Leser, jetzt verbleibt mir noch, euch eine gute, schöne, freudvolle Osterzeit zu wünschen.
Genießt das Geheimnis des höchsten christlichen Feiertages und viel Freude beim geheimnisvollen Ostereiersuchen!

Ein Gedanke zu „Wie sieht ein starkes Passwort aus?“

Kommentare sind geschlossen.