Einfach wie das ABC – sichere Passwörter

BLOG: Heidelberg Laureate Forum

Laureates of mathematics and computer science meet the next generation
Heidelberg Laureate Forum

Wie viele unterschiedliche Passwörter nutzen Sie um sich auf diversen Webseiten einzuloggen? Lassen Sie mich raten. Etwa 3-5? Sie wären in guter Gesellschaft. Manuel Blum, der gestern Morgen die Keynote Vorlesung über sichere und nutzerfreundliche Passwortlösungen hielt, hat mir beim Mittagessen erzählt, dass selbst seine Studenten an der Informatikfakultät der Carnegie Mellon Universität oft ähnlich unsicher vorgehen. Obwohl sie es besser wissen sollten.

Das Problem bei mehrfach benutzten Passwörtern ist: Selbst, wenn das Passwort noch so lange, kompliziert und mit Sonderzeichen gespickt ist, wenn ein Passwort einmal abgegriffen ist, dann stehen Datendieben Tür und Tor, sprich der Zugang zu vielen verschiedenen Webseiten offen. Sicherer wäre: Man hätte für jede Webseite ein eigenes, individuelles Passwort.

Sicherer schon, könnten Sie entgegnen, aber praktikabel sieht anders aus. Denn, wer kann sich schon mehrere Dutzend unterschiedlicher Passwörter merken? Eine Lösung wäre, die Passwörter in einer (verschlüsselten) Datei oder Datenbank zu speichern. Aber auch das birgt Risiken. Falls das Masterpasswort ausgespäht wird, sind potentiell alle Daten in Gefahr und selbst Anbieter von Passwortmanagementsoftware sind vor Angriffen nicht gefeit.

Manuel Blum
Manuel Blum erklärt mir beim Nachtisch wie ich Passwörter erstelle   Credit: Tobias Maier CC BY-SA

 

Manuel Blum hat in seiner Vorlesung am Montag eine Methode zur Generierung von individuellen, webseitenspezifischen Passwörtern vorgestellt, die gleichermaßen sicher und nutzerfreundlich ist. Die einzige Voraussetzung: Man kann das Alphabet.

Hier also nun die Schritt für Schritt Anleitung zu einem sicheren und einfachen System mit individuellen Passwörtern für jede Webseite, auf der man sich einloggen möchte.

1. Man merkt sich eine geheime Nummernfolge, vielleicht 6 oder 7 Stellen lang. Zur Illustration verwende ich hier: 234234, es kann aber jede beliebige Zahlenfolge sein. Diese sollte man dann allerdings auch nicht vergessen.

2. Für jede Webseite zu der man ein Login benötigt, nutzt man ein passendes Kürzel. Facebook könnte “FACE” sein, Twitter “TWIT”, Gmail “GMAI”, etc. Die Länge der Kürzel ist egal, die Buchstabenanzahl soll die Anzahl der Ziffern der geheimen Nummernfolge aus Schritt 1 nicht übersteigen. Diese Kürzel kann man sich merken, muss man aber nicht. Man kann sie genauso gut in einem Textdokument oder einer Passwortdatenbank speichern. Aus den Kürzeln können die Passwörter nicht ohne Kenntnis der geheimen Nummernfolge errechnet werden.

3. Um für die jeweilige Webseiten individuelle und sichere Passwörter zu generieren, codiert man im Kopf die Kürzel mit der gemerkten Nummernfolge, und zwar folgendermaßen (am Beispiel FACE für Facebook):

– Vom ersten Buchstaben des Kürzels (F) ausgehend geht man zu dem Buchstaben, der der ersten Zahl der gemerkten Nummernfolge entsprechend nach F kommt. Die erste Zahl der Folge 234234 ist 2. Also: F +2 Buchstaben im Alphabet weiterwandern = H.

– analog geht man bei den anderen Buchstaben vor. Also A wird +3 zu D. C wird +4 zu G und E wird +2 zu G. Das generierte Passwort für FACE wäre also HDGG. Fertig.

Häufig wird von passwortgeschützten Websites verlangt, das Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen benutzt werden. Manuel Blum schlägt vor, diesen Anforderungen einfach dadurch gerecht zu werden, dass man einen festen Stamm jedem Passwort voran stellt, also z.B. “Aa1!”

Die Passwörter für unsere Beispiele wären also, generiert nach dieser Methode:

Facebook —> FACE —> Aa1!HDGG
Twitter —>  TWIT —> Aa1!VZMV
Gmail —> GMAI —> Aa1!IPEK

(Bitte prüfen!)

Man kann das ganze selbstverständlich noch sicherer machen, in dem man beispielsweise weniger offensichtliche Kürzel wählt oder das Alphabet rückwärts verwendet. Was die Methode bestechend einfach und dennoch sicher macht ist die Tatsache dass zwar die Passwörter nach einem geheimen Schlüssel berechnet werden – jedoch nicht von einem Computer, sondern von einem Menschen. Human Computing also. Klar ist auch: Aufschreiben sollte man die fertigen Passwörter nicht, sondern im Idealfall bei jedem Login wieder selbst im Kopf berechnen.

Ich denke, ich werde den Vortrag von gestern zum Anlass nehmen und meine Passwörter für die rund 100 Webseitenlogins die ich brauche in einer ruhigen Stunde (oder zwei) mit einem solchen System überarbeiten. Denn ich bin auch einer von denen, die in etwa 3-5 Passwörter verwenden. Und sicher geht anders.

Manuel Blums Vortrag kann man hier nochmal ansehen.

Hier ein relevantes Paper auf Arxiv, in dem das Problem sowie entsprechende Passwortlösungen vorgestellt werden.

 

Tobias Maier ist promovierter Molekularbiologe mit über zehn Jahren Forschungserfahrung an internationalen Instituten. Er ist Wissenschaftlicher Leiter am Nationalen Institut für Wissenschaftskommunikation (NaWik) in Karlsruhe. Seit 2008 schreibt Tobias das Blog WeiterGen auf den deutschen ScienceBlogs und twittert unter @WeiterGen. --- Tobias Maier is a science communication professional with a ten year track record in biomedical research. He’s the scientific head at the National Institute for Science Communication in Germany (NaWik). Tobias writes a blog on the German ScienceBlogs network and he’s on Twitter as @WeiterGen

14 comments

  1. Sehr anregend dieser kleine Algorithmus, er entbindet den Nutzenden dann auch von Fragen, wie und wo welche Kennwörter zu nutzen sind, ob vielleicht unterschiedliche Wichtigkeit vorliegt, die höhere Sicherheit von Kennwörtern erstrebenswert scheinen ließe – wenn alle Kennwörter sicher sind.
    Sollte vielleicht auch an den Bildungsstätten gelehrt werden…
    MFG
    Dr. W

  2. PS:
    Wobei das mit der stabilen Kennwörter-Präfix und den wenigen Zeichen, die abfolgen, noch ein wenig mau aussieht…

  3. Ja, oder mn verschlüsselt seinen Rechner (was heutzutage sehr einfach ist), legt dort eine Datei an, mit allen Passwörtern. Oder legt ein Keypass-File an und speichert dort alle Passwörter, gibts auch für Handys. Oder verwendet eine sichere Cloud. Also ich bin Sysadmin und habe dutzende, sehr lange Passwörter, mit einen Haufen Sonderzeichen, mehr als die üblichen Rufzeichen, usw.. Ich kenne kein einziges davon, nur eines, das für die verschlüsselte Datei.

    Also mir wird schon schwummrig bei den ersten Schritten oben und ich hab eigentlich ein Händchen für Algorithmen.

  4. Eines noch, dann geh ich schlafen. 😉

    Die oben angegeben Passwörter von 8 Zeichen gelten _nicht_ mehr als sicher!

    Sichere Passwörter schauen so aus:

    ;Cf~u=y”vJ7E

    Ja, inzwischen werden 12 Zeichen verklangt. Was aber egal ist, wenn die alle in einem File verschlüsselt gespeichert sind. Zugreifen kann ich dann mit einer einzigen Passphrase.

    Sichere Passphrase mach ich damit: https://www.fourmilab.ch/javascrypt/pass_phrase.html

    Kann aber auch selbst ausgedacht sein: !HeueGingIchMit2KindernUnd1FrauInDenZ00

    Und wirklich sichere Passwörter mach ich damit:

    http://www.gaijin.at/olspwgen.php
    http://passwordsgenerator.net/

    Nochmals: Das da oben sind keine sicheren Passwörter mehr. Die Zeit von 8 Zeichen Passwörter sind schon lange vorbei. Bei uns im Unternehmen wechseln wir alle drei Monate verpflichtend die Passwörter, sind vorletztes Jahr von 10 auf 12 Zeichen gewechselt und die 14 Zeichnen sich in den wenigen nächsten Jahren ab.

  5. Dr. Webbaer,
    ja, und neben Steuererklärung ausfüllen wird dann Passwortmanagement zum Schulfach.

    Stefan,
    danke für die Kommentare, du hast ja Recht. Trotzdem zwei Anmerkungen dazu: Zur Illustration habe ich die Passwortbeispiele hier kurz gehalten. Natürlich kann man die Passwörter auch länger wählen. Und: Wären nicht deine gesamten Passwörter in Gefahr, sollte dein Masterpasswort abgegriffen werden?

    Die Eleganz der oben beschriebenen Methode liegt darin, dass der Nutzer die spezifischen Passwörter im Kopf sozusagen “on the fly” selbst berechnet, sich nur eine Zahlenfolge merken muss und so möglicherweise unsichere Computer umgeht.

    • “Um für die jeweilige Webseiten individuelle und sichere Passwörter zu generieren, codiert man im Kopf die Kürzel mit der gemerkten Nummernfolge, und zwar folgendermaßen (am Beispiel FACE für Facebook)”

      Irgendwann werden wir alle alt und dann hat keiner mehr Lust, sich irgendetwas zu merken. Ich schreibe mir die Passwörter inzwischen in ein Notizbüchlein. Das hat natürlich auch seine Nachteile.

    • Ja, natürlich. Sollte das Masterpasswort abgegriffen werden, dann sind alle Passwörter in Gefahr. Die Frage ist aber, wie soll es abgegriffen werden. Im besten Fall merk ich das Passwort und das Passwort für Keepass oder einen verschlüsselten Rechner ist selbst sicher, da es selbst asymmetrisch verschlüsselt wird.

      Also entweder schreibe ich es wo unsicher auf oder es kommt die sicherste aller Geheimdienstmethoden zur Anwendung: Körperliche Folter. Aber dagegen hilft sowieso nichts. 😉 http://geekyschmidt.com/wp-content/uploads/2011/01/security-300×183.png
      Ein anderes abgreifen kann ich mir nur schwer vorstellen.

      Blöd wäre es, wenn das Keepass-File kaputt geht, aber dafür macht man ja regelmäßig ein Backup …

      Und ja, elegant ist die Methode schon. Aber inzwischen gibts zum Glück schon Computerunterstützung. Die Methode erinnert mich an einen älteren Kollegen, der vor vielen Jahren schon in Pension ging, in seinen Anfangszeiten noch in 0 und 1 programmiert hat und Assembler schon als neumodischen Schnickschnack bezeichnete. Der erzählte ähnliche, höchst spannende Geschichten. 😉

      • Stefan: “Die Methode erinnert mich an einen älteren Kollegen, der vor vielen Jahren schon in Pension ging,”
        Wahrscheinlich dann die selbe Generation wie der Vortragende.

      • @ Stefan :

        Sie können das Gerät selbst als ungünstig inflitrierbar betrachten, spätestens das Betriebssystem, insofern scheint es einigen schon cooler die möglichst sichere Generierung von Kennwörtern dem Subjekt zu überlassen.
        Die Idee von Freund Manuel Blum scheint OK, die genaue Implementation hinterfragenswert.

        MFG
        Dr. W

    • @ Herr Dr. Maier :
      Es wäre schon eine Ideen den Leutz oder der Menge die Erstellung sicherer Kennwörter beizubringen, die eigentliche Nachricht war natürlich, dass Ihr Kommentatorenfreund vom kleinen Algorithmus des Herrn Manuel Blum wenig hält.

  6. Die Überschrift “Einfach wie das ABC” trifft die Sache nur am Rande.
    Wenn ich dran denke was ich jeden Tag so abrufe, vom Banking bis zur eigenen Website. Das wird eine ganz schöne Denksportaufgabe…

  7. Ich finde die Ideen hier sehr ansprechend, und es regt zumindest mal dazu an, dass man sich über seinen eigenen Workflow Gedanken macht, und eventuell dann zum Schluss kommt, dass es nicht das Gelbe vom Ei ist,für 20 Dienste das gleiche Kennwort benutzt. Insofern ist das schonmal nicht schlecht. Keepass ist ebenfalls eine bequeme, und dennoch sichere Alternative. Zumindest SO sicher, wie man persönlich es haben möchte. Ein test123 als Master-Password führt das Ganze halt ein wenig ad absurdum. Aber alle Kennwörter der Welt nützen nichts, wenn Seitenbetreiber die Logindaten immer nicht teilweise unverschlüsselt (!!!!) oder nur unzureichend verschlüsselt (!!) ablegen. Dagegen ist man als Nutzer machtlos. Und man muss nur die einschlägigen Tech-Blogs lesen um zu sehen, dass jeden Tags neue Leaks/Hacks etc. veröffentlich werden. Und dies sind nur die Beispiele, die gewollt oder ungewollt, publik wurden.

  8. Ich muss sagen, ich finde es sehr witzig das man sich “sichere” Passwörter auf Webseiten erstellen lässt. Es soll durchaus die eine oder andere Seite geben, wo solche Passwörter direkt in ein Wörterbuch wandern um dieses für eine Dictionaryattack zu verwenden. Dann hilft auch das super sichere Passwort nichts mehr 😉

Leave a Reply


E-Mail-Benachrichtigung bei weiteren Kommentaren.
-- Auch möglich: Abo ohne Kommentar. +