Passphrasen-Mantra oder Diceware – Ideen für selbstgebastelte sichere Passworte

Uns ist jetzt klar, warum wir sichere Passworte brauchen und wie wir ein solches sicheres von einem unsicheren Passwort unterscheiden.
Aber was tun wir jetzt, um an ein sicheres Passwort zu kommen?
Wir können uns ja schließlich keines im Online-Shop um die Ecke kaufen (ich bin mir ziemlich sicher, dass es dieses Angebot bereits gibt, möchte aber dringend davon abraten, so einen Dienst in Anspruch zu nehmen, liebe Leser!) oder jemanden bitten, uns ein sicheres Passwort zu geben.
Beide Ansätze wären jedoch der Sicherheit unseres neuen Passwortes deutlich abträglich.
“Was tun?” sprach Zeus, “die Götter sind besoffen.”.
Darum möchte ich hier zwei Methoden vorstellen, die

  • einfach
  • sicher
  • und mit Spaß

einfach sichere Passworte erzeugen 🙂
Quasi das Überraschungsei der Passwort-Erzeugung – nur ohne Schokolade (aber davon hatten wir jetzt über Ostern wahrscheinlich eh genug).
Beide Methoden der Passwort-Erzeugung bringen einen anarchischen (weil selbstregierenden) und individuellen (weil selbstgemachten) Ansatz daher, der überdies noch nachhaltig, biologisch abbaubar und frei von schädlicher Technik ist.
Lasst die Spiele beginnen!

Diceware – Alea iacta est

Diceware ist eine einfache und analoge Methode zur Erstellung sicherer Passphrasen.
Diceware, also Würfelware, ist eine Möglichkeit, ein Passwort ohne den Einsatz digitaler Technik zu erwürfeln.
Das wichtigste an dieser Methode ist der Faktor Zufall und der Verzicht auf – leicht manipulierbare – Computerunterstützung.
Natürlich lassen sich auch Würfel manipulieren, aber wenn wir davon ausgehen, dass uns jemand manipulierte Würfel à la Ocean’s Thirteen unterjubelt, dann haben wir ein ganz anderes Problem und müssen uns keine Gedanken um die Gestaltung sicherer Passworte machen 🙂
Es müssen auch wirklich keine Casino-Grade Würfel sein. Handelsübliche Spielwürfel reichen allemal aus.
Für die Paranoiker unter uns: Holt euch Casino-Grade Würfel, die haben eine ideale Verteilung der Wahrscheinlichkeit auf alle sechs Seiten des Würfels.
Zurück zum Thema.
Diceware basiert auf einer langen Liste von Wörtern und fünf sechseitigen Würfeln.
Das ganze funktioniert natürlich auch mit nur einem Würfel, dann muss man halt fünfmal so lange Würfeln 😉
Die Liste besteht aus 7776 unterschiedlichen Worten (so viele unterschiedliche Möglichkeiten bieten eben fünf sechsseitige Würfel, also 6^5).
Um jetzt eine Passphrase zu erstellen, würfeln wir mit den fünf Würfeln und lesen das gewürfelte Ergebnis von links nach rechts ab.
Die so erwürfelte Zahl schauen wir in der Wortliste nach und erhalten damit das zugehörige Wort.
Diesen Vorgang wiederholen wir so lang, bis wir unsere Passphrase vollständig erstellt haben.
Arnold Reinhold, der Erfinder von Diceware, empfiehlt eine Passphrase aus mindestens sechs Worten zu erstellen.
Das trägt – wie wir in der letzten Woche gelernt haben – ungemein zur Stärke des erzeugten Passwortes bei.
Die Passphrase sollte aus diesen vier bis sechs einzelnen Worten bestehen, inklusive der Leerzeichen dazwischen. Die Leerzeichen erhöhen die Sicherheit der Passphrase nochmals ungemein, denn die Verwendung von Sonderzeichen (und das ist ein Leerzeichen nunmal) trägt zur Erhöhung der Komplexität des Passwortes bei. Und Komplexität ist ein weiterer Faktor der Passwortsicherheit.
Diese durch Diceware erstellte Passphrase schützt auch effektiv gegen Social Engineering Angriffe, da die Passphrase nicht mit dem Benutzer in Zusammenhang gebracht werden kann – und schon haben wir noch einen weiteren Faktor der Passwortsicherheit eingebaut.
Und wenn wir jetzt dieses Passwort für uns selbst im stillen (nicht überwachten) Kämmerlein erwürfelt haben und dieses niemandem (auch unserem Goldfisch nicht!) verraten, haben wir noch den letzten Faktor für ein sicheres Passwort eingesetzt.
Ein Beispiel:

  • 32323 – hinter
  • 26524 – glosse
  • 14426 – bbb
  • 56345 – stroh
  • 45116 – nukleon
  • 51432 – quader

Ergibt als Passphrase:
hinter glosse bbb stroh nukleon quader”.
Laut HowSecureIsMyPassword dauert es 526 Tredezillionen (das ist eine Zahl mit 79 Stellen) Jahre, um dieses Password zu knacken. Viel Spaß beim raten 😉

Kreativität

Nun zur zweiten sicheren Methode einer Passworterzeugung.
Kreativität.
Kann kein Computer. Wird er niemals können.
Braucht keine Technik und keinen Strom. Ist immer verfügbar, kostet nix und macht immens Spaß.
Fast wie Sex, nur bekommt man weniger Ärger, wenn man es, z.B. in der Straßenbahn macht.
So, was brauchen wir hierfür?
Einen Bleistift und ein Blatt Papier.
Denn, wie es auch Richmond Valentine richtig zusammenfasst:
No-one can hack into pen and paper”.
Und jetzt lassen wir unserer Kreativität ganz freien Lauf.
Wir sammeln einfach die ersten fünf bis zehn Eindrücke, die uns gerade vor das innere oder äußere Auge kommen – besser vor das äußere, denn das innere Auge hat den Nachteil, dass das, was uns da vor die Linse gerät, möglicherweise social engineerbar ist – und schreiben diese auf.
Daraus bilden wir einen Satz, ordentlich mit Satzzeichen und schön auf die Groß- und Kleinschreibung achten (für die Komplexität), streuen vielleicht noch die eine oder andere Zahl (ebenfalls für die Komplexität) ein und merken uns diesen Satz als unser persönliches (wieder nicht mit dem Goldfisch teilen!) Passwort-Mantra.
Das Schöne daran ist, diese Methode funktioniert wirklich überall und wird sogar noch besser dadurch, dass ihr es irgendwo ausprobiert, denn dadurch erhaltet ihr eine Zufälligkeit in den Begriffen, die nur sehr, sehr schwer mit euch in Zusammenhang gebracht werden kann.
Auch hier ein Beispiel:

  • Linux
  • krass
  • Radium
  • 35
  • abgelenkt
  • verdammt

Aus diesen Worte bilde ich für mich das Passwort
verdammt abgelenkt, Linux 35 – krass Radium!”.
Dieses Passwort wird in – wieder laut HowSecureIsMyPassword – einer Duovigintillion (das ist eine Zahl mit 133 Stellen) Jahren gehackt.
Macht mich jetzt ganz entspannt, solche Zahlen zu lesen 🙂

TL;DR

  • Die Würfel sind gefallen: Diceware
  • Ich denke, also mach ich mir mein Passwort: Kreativität

Schön kurz heute.
Also halt ich mich auch dran.
Liebe Leser, besorgt euch Würfel, die Wortliste, Papier und einen Stift und lasst eurer Fantasie freien Lauf – und schreibt doch, wenn ihr schon dabei seid, mir einfach mal einen Brief – per snail mail 😉

Ein Gedanke zu „Passphrasen-Mantra oder Diceware – Ideen für selbstgebastelte sichere Passworte“

Kommentare sind geschlossen.