Dieser Gag aus dem Mel-Brooks-Film Spaceballs (der kam 1987 raus, also lange, bevor sich der Begriff “Passwort” etabliert hatte – damals sprach man noch von “Kombinationen”, wie an Zahlenschlössern) ist leider längst nicht so komisch, wie man sich wünschen möchte: Wie man im aktuellen Heft von National Geographic lesen kann (oder besser noch: Im schon vor einiger Zeit erschienenen Buch Perfect Passwords von Mark Burnett, auf das sich dieser kleine Artikel beruft), ist das häufigste aller Passwörter, die im Umlauf sind … 123456.

Ab Seite 109 listet Burnett Hunderte der gebräuchlichsten Passwörter auf, die Top-10 lauten

  1. 123456
  2. password
  3. 12345678
  4. 1234
  5. pussy
  6. 12345
  7. dragon
  8. qwerty
  9. 696969
  10. mustang

Mal ganz ehrlich: Wer von uns hat nicht Probleme mit Passwörtern? Bei Seiten, die ich nur selten benutze, muss ich fast jedes Mal, wenn ich mich einloggen will, die Passwort-Hilfe anfordern, was oft bedeutet, dass ich auch gleich ein neues Passwort wählen muss – was mich beim nächsten Mal nur noch mehr verwirrt. Denn einerseits soll es möglichst schwer zu knacken – also möglichst zufällig – sein, aber andererseits soll man es nicht aufschreiben, was bedeutet, dass es eine Zeichensequenz sein muss, die sich unser Gedächtnis einprägen kann. Und da stoßen wir bei einer Zeichenlänge von etwa sieben an unsere Grenzen, wie ich in einem Paper über

The memorability and security of passwords – some empirical results

aus dem Jahr 2000 entnehmen konnte (das Paper der University of Cambridge stammt zwar schon aus dem Jahr 2000, aber sehr viel dürfte sich am Passwort-Verhalten der User seither nicht verändert haben, was allein schon die Spaceballs-Szene belegen kann).

Natürlich kann sich unser Gedächtnis auch viel längere Sequenzen einprägen (Freunde der Zahl Pi ) müssen beispielsweise die ersten Hundert Nachkommastellen dieser Kreiszahl auswendig wissen) – wenn es denn genug Zeit dafür hat. Und zur “Konservierung” des knacksicheren Passwortes wäre es dann wieder nötig, es erst mal aufzuschreiben, was ja andererseits aus Gründen der Sicherheit nicht geschehen soll. Das Cambridge-Paper fand in einem Versuch mit Studenten heraus, dass es etwas sieben Mal so lange dauert, sich eine nach dem Zufallsprinzip (aber unter Berücksichtigung aller Sicherheitsvorgaben) generierte Zeichenfolge einzuprägen – fast fünf Wochen, verglichen mit fünf Tagen für ein selbst gewähltes Passwort. Allerdings ist letzteres auch erheblich leichter zu knacken; jedes Dritte dieser Passwörter konnte mit lexikalischen Suchen oder auch mit schlichter brachialer Gewalt (die bei maximal sechsstelligen Passcodes selbst im Jahr 2000 schon kein Problem mehr war) erraten werden. Das Ersetzen von Buchstaben durch Zahlen (also 1 statt A, 2 statt B, oder auch die 3 anstelle eines “E”, oder eine “2” statt eines “Z”) macht ansonsten einfache Passwörter auch nicht sicherer – da zuckt der Decodierungs-Computer nur ein kleines bisschen länger.

Doch es gibt einen Weg (genauer gesagt, den gab’s schon im Jahr 2000, als das Cambridge-Paper erschien), Zeichenkombinationen zu finden, die sowohl “zufällig” aussehen, als auch leicht zu merken sind: Man nehme die Anfangsbuchstaben eines Merksatzes, der dann auch noch eine Zahlenangabe enthalten könnte. Etwa MFtSiG37, wenn’s ein achtstelliges Passwort sein soll (enstanden aus “Meine Frau trägt Schuhe in Größe 37“), oder sonst ein Satz, der etwas Einprägsames, aber ansonsten wenig Verdächtiges enthält.

Spezialisten für Kryptografie werden auch hierbei gewiss noch die Köpfe schütteln; überhaupt sind Passwörter – vor allem, weil man sie so häufig braucht und dann zwangsläufig entweder immer das die gleichen Codes verwendet oder sie, allen Warnungen zum Trotz, in handlichen Listen erfasst – sicher eher noch ein Relikt aus frühen Computerzeiten. Doch bis zur biometrischen Lösung (und auch die ist angeblich, zumindest was die Fingerabdruck-Sicherung angeht, auch nicht wirklich sicher) werden wir uns wohl noch länger mit solchen mehr oder weniger kryptischen Zeichenfolgen herumärgern müssen.

flattr this!

Kommentare (49)

  1. #1 Redfox
    26. Mai 2011

    Spezialisten für Kryptografie werden auch hierbei gewiss noch die Köpfe schütteln; überhaupt sind Passwörter – vor allem, weil man sie so häufig braucht und dann zwangsläufig entweder immer das die gleichen Codes verwendet oder sie, allen Warnungen zum Trotz, in handlichen Listen erfasst – sicher eher noch ein Relikt aus frühen Computerzeiten.

    Ich glaube Bruce Schneier kann man als “Spezialisten für Kryptografie” ansehen:

    Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We’re all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.

    Siehe auch:
    SMBC-Comics: How to make a sysatmin snap with a single sentence.

  2. #2 jitpleecheep
    26. Mai 2011

    *hust* Willkommen im 21. Jahrhundert. *hust*
    Es gibt sowas wie Passwort-Manager… 😉
    z.B. KeePass oder 1Password, viele mehr.

  3. #3 jitpleecheep
    26. Mai 2011

    @Redfox: “I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet. ”

    Super-Idee! Du meinst das Portemonnaie, das sich in der gleichen Tasche befindet wie mein Laptop?
    O.o

  4. #4 Redfox
    26. Mai 2011

    Super-Idee! Du meinst das Portemonnaie, das sich in der gleichen Tasche befindet wie mein Laptop?

    Ich habe mein Portemonnaie in meiner Hosentasche, wie geschätzt 99,9% aller anderen Menschen auch.

  5. #5 jitpleecheep
    26. Mai 2011

    “wie geschätzt 99,9% aller anderen Menschen auch.”

    Ach so. Na dann.
    Ich kenne (persönlich) ca. … hm… warte mal… ja, tatsächlich: EINE Frau die das macht…

  6. #6 Dr. Webbaer
    26. Mai 2011

    Mal ganz ehrlich: Wer von uns hat nicht Probleme mit Passwörtern?

    Dr. Webbaer ist so altmodisch und führt lange Listen mit Passwörtern in Textdateien, die verschlüsselt [1] auf zwei USB-Sticks abgelegt sind. – Nur mal so als Tipp.

    Einfache Lösungen sind dem Webbaer nicht bekannt, immer mit dem selben Password zu kommen ist natürlich “klassisch” falsch, auch kann man sich mehrere Wörter oft nicht langfristig merken…

    MFG
    Dr. Webbaer

    [1] also richtig verschlüsselt, bspw. so: http://de.wikipedia.org/wiki/TrueCrypt [i]
    [i] ist natürlich ein wenig Overkill für den “Standardnutzer”

  7. #7 jitpleecheep
    27. Mai 2011

    m(

    “Einfache Lösungen sind dem Webbaer nicht bekannt”
    Man hat ja auch nichts besseres von “Dr.” Trollbär erwartet.

    Wer sich ein Passwort für seinen TrueCrypt Container merken kann, kann sich auch ein Passwort für seinen Passwort-Manager merken. Der erledigt dann auch gleich das Speichern neuer Daten, ganz automatisch, und ist in der Lage Anmeldeformulare auszufüllen, ganz ohne Sucherei und Copy&Paste.
    “Nur mal so als Tipp.”

  8. #8 Wurgl
    27. Mai 2011

    Listen von Passwörtern aus erfolgreichen Crackerangriffen findet man hier http://heise.de/-126608 und hier http://heise.de/-1153267

    Ich selbst hab mal den guten alten Crack auf meine und auch auf fremde Passwortdateien losgelassen. Das war noch zu einer Zeit von 233 MHz ein schneller Rechner war und war nach so einem Jahr Rechenzeit bei ca. 95% erfolgreich. Meine eigenen Passworte hat der Kerl aber nicht gefunden und so verwende ich die bei einigen Diensten heute noch.

    Aber schon richtig. Für den DAU sind Passworte einfach nur lästig, daher auch diese schwer zu erratenden Zeichenkombinationen wie 123456. Auf dem Gebiet wird sich noch einiges tun bis endlich mal etwas anderes und vor allem DAU-sicheres kommt.

  9. #9 Dr. Webbaer
    27. Mai 2011

    @jitpleecheep
    Wichtig ist halt zuverlässig verschlüsselt und auf einem (externen) Datenträger, Password-Manager können Sie dafür gerne benutzen, dann können Sie sich auch Passwörter erstellen lassen, wenn Sie’s so brauchen…

  10. #10 Sven Türpe
    27. Mai 2011

    Denn einerseits soll sie möglichst schwer zu knacken – also möglichst zufällig – sein, aber andererseits soll man sie nicht aufschreiben, was bedeutet, dass es eine Zeichensequenz sein muss, die sich unser Gedächtnis einprägen kann.

    Beides ist falsch. Gegen das Aufschreiben spricht in den meisten Fällen nichts, vor allem nicht bei Passworten für Websites und andere Online-Dienste. Die werden nämlich selten von Einbrechern angegriffen, die Passwortzettel aus Wohnungen klauen. Und das Theater um die Wahl eines vermeintlich guten Passworts kann man sich oft schenken – mehr als drei Rateversuche muss es in vielen Fällen gar nicht überstehen, denn:

    … überhaupt sind Passwörter (…) sicher eher noch ein Relikt aus frühen Computerzeiten.

    Sie konnten sich bislang in den meisten Anwendungen gegen alle vorgeschlagenen Alternativen durchsetzen. Ein Ende der Passwort-Ära ist nicht in Sicht. Es gibt keine gleichermaßen einfache und universelle Alternative, die sich mit ähnlich geringem Aufwand einsetzen ließe.

    Ein Relikt aus früheren Zeiten ist hoffentlich bald das Passwort-Genörgel. Passworte funktionieren, und sie funktionieren in der Bilanz besser als der ganze Nerdspielkram, der immer wieder als Gegenvorschlag auftaucht. Das haben wir schon einmal bei den Bezahlverfahren im Online-Handel durch: da hatten die Krypto-Nerds auch ganz irre Visionen, aber am Ende hat doch die gute alte Kreditkarte gewonnen – zu recht.

  11. #11 Dr. Webbaer
    27. Mai 2011

    @Türpe
    Aufschreiben ja, aber bitte nicht auf (einen? 🙂 Zettel, die man verlieren kann und gar in Kreditkartennähe hält (so richtig töfte funktionieren die Kreditkartensysteme ohnehin nicht). – Passwörter soll man sich nicht merken, sind leicht zu erstellen & funktionieren, korrekt!

    MFG
    Dr. Webbaer

  12. #12 jitpleecheep
    27. Mai 2011

    @Sven Türpe:
    “Gegen das Aufschreiben spricht in den meisten Fällen nichts, vor allem nicht bei Passworten für Websites und andere Online-Dienste.”

    Hm?
    Warum sollte ich ausgerechnet die absurd umständlichste Methode von allen wählen, wenn die anwenderfreundlichste gleichzeitig auch noch die sicherste ist?
    Ich versteh’s nicht. Unklar.

  13. #13 Dr. Webbaer
    27. Mai 2011

    Wir können ja mal versuchen die “einfachste Lösung” zu beschreiben, Vorschlag: Password-DB inklusive SW auf einem Gerät (Mobile oder anderes), das man dann bedarfsweise an Rechner anschließt oder das rechnerunabhängig bei der Erfassung des Sicherheitskontexts (Bankautomaten etc.) zur Hand geht, wenn man das Password nicht griffbereit hat. – Dazu noch eine zuverlässige Backup-Funktionialität.
    Schwebte Ihnen so etwas vor, lieber unfreundlicher Kommentatorenkollege?

    MFG
    Dr. Webbaer

  14. #14 Jürgen Schönstein
    27. Mai 2011

    Das Problem bei Passwörtern ist doch, dass viele User entweder sowieso nur ein einziges Kennwort haben, das sie dann für alles benutzen (davon wird zwar auch abgeraten, aber wer hält sich schon immer an gute Ratschläge), oder sie benutzen Variationen eines Passworts. Und da wird’s dann schon kitzeliger, weil das bedeutet, dass man auch von “harmlosen” Passwörtern schnell auf die delikaten und wirklich schützenswerten (fürs Bankkonto, beispielsweise) rückschließen kann. Mnemotechnik ist immer noch am sichersten, und wenn man einen Weg wie beispielsweise die Merksätze findet, dann ist diesel low-tech-Lösung gewiss nicht schlechter als alle anderen.

  15. #15 Name
    27. Mai 2011

    Benutze seit Jahren pwdhash. Zuhause als Erweiterung für die gängigen Browser, auf fremden Rechnern über pwdhash.com.

    So muss ich mir für hunderte Seiten nur ein einziges Passwort merken.

  16. #16 Dr. Webbaer
    27. Mai 2011

    Mnemotechnik ist immer noch am sichersten, und wenn man einen Weg wie beispielsweise die Merksätze findet, dann ist diesel low-tech-Lösung gewiss nicht schlechter als alle anderen.

    Können Sie mehr als zehn Passwörter [1] jahrelang mnemonisch frisch halten und falls ja, halten das für zuverlässig und fühlen sich dabei sicher?

    MFG
    Dr. Webbaer

    [1] Es sind streng genommen Zuordnungen der Art “Anbieter-Nutzername-Passwort”, wobei der Nutzername manchmal wegfällt.
    🙁

  17. #17 Ulli
    27. Mai 2011

    Ich wende folgende Technik an: Für heikle Zugänge wie Bankkonto verwende ich ein spezielles natürlich nur im Kopf gespeichertes Passwort. Für mittelheikle wie Mailzugänge ein anderes leichteres Passwort. Für Zugänge, die ich als nicht wahnsinnig problematisch erachte, die die Mehrzahl ausmachen, verwende ich ein weiteres, das ich für solche Fälle immer wieder verwende. Des weiteren achte ich darauf, mich nur dann irgendwo zu registrieren, wenn ich es für nötig erachte, d.h. eher sparsam damit umzugehen. Überdies bin ich dann auch sparsam Daten preiszugeben, insbesondere persönliche, wenn es denn nicht unbedingt erforderlich ist. Bisweilen funktioniert das ziemlich gut und ich hatte auch bis jetzt nie Probleme damit.

  18. #18 Redfox
    27. Mai 2011

    Listen von Passwörtern aus erfolgreichen Crackerangriffen findet man hier http://heise.de/-126608 und hier http://heise.de/-1153267

    Wobei einige Communitys auch sehr eigene Passwordvorlieben haben:

    1. 123456 (13)
    2. landser (10)
    3. landser88 (8)
    3. siegheil (8)
    5. 14881488 (6)
    5. 888888 (6)
    7. skinhead (5)
    7. deutsch (5)
    7. 123456789 (5)
    10. siegheil88 (4)

    Wer sind das wohl…

  19. #19 rolak
    27. Mai 2011

    Während ich schlief, ging das Leben seinen Lauf:

    • 21:56 mein erster Gedanke zum Text wird publiziert (der natürlich das Problem nicht beseitigt, aber immerhin seine Schwierigkeit auf ‘1’ reduziert)
    • 22:30 mein erster Gedanke zu den Kommentaren, derselbe Mensch wühlte in meinen Gedanken 😉
    • (erst) 23:38 kommt der erste mit der saublöden Idee, ein Zettel wäre dann besser, wenn er nicht aus Papier ist
    • 00:45 blitzt typisches Statistik-Analphabetentum durch, “Lottozahlen,die einmal gewannen, sind wahrscheinlicher als andere”, unbedacht der zeitlich bedingten Passworthärte H~1/t
    • 00:59 noch so gerade in der Geisterstunde die unirdische Projektion von “wer nichts zu verbergen hat, braucht diese Unbill nicht zu fürchten” in die Welt des PWs
    • 02:24 wird einem Blödsinn-Verzapfer klar, daß es schon wieder bemerkt wurde und er zieht sich wie üblich aufs Pöbeln zurück
    • 02:32 Versuch eines Rückbezugs zum post, auch wenn übersehen wird, daß das eine pw nicht das überall verwendete, sondern das zum Container sein sollte
    • 02:54 Reintreten reicht nicht, jetzt wird in den Fettnapf gesprungen

    Schön kompakt dargestellt in weniger als zwei Dutzen Kommentaren…

    Das Überwinden der technischen Distanz zwischen den zwei Bedeutungen von ‘Datensicherheit’ (möglichst einfacher+zuverlässiger Zugriff für den Berechtigte || möglichst schwieriger Zugriff für Nichtberechtigte) ist natürlich nur in den Fällen nötig, da es um gegenüber anderen schützenswerte Daten geht. Da unterschiedliches Behandeln á la Ulli(04:03) zu verwirrend sein kann, mit Sicherheit aber fehleranfällig ist, sollte die verwendete Methode dem kritischsten Element angemessen sein.
    Egal ob nun mit einem 0815-universal-pw, mit einer verschlüsselten Liste (zip etc), mit zusätzlicher Verwaltungs-SW, oder mit unauffällig die Platte dekorierenden, verschlüsselten virtuellen Maschinen mit entsprechend eingestellten browsern (pw+proxy+*).

    Auch wenn ich mit Sicherheit kein typischer surfer bin: Die Spitze des Eisbergs, also der (dekodierte & ausgepackte) Text mit der Liste der site/username/pw/*-Tupel umfaßt ~30KiB Zeichen, bei grob geschätzten 80Byte/Tupel also über 300 Elemente. Das dient allerdings in weiten Bereichen einem hier gar nicht thematisierten weiteren Sicherheitsaspekt: Möglichst wenig Rückschlußmöglichkeiten von den (Zugangs)Daten aufs RL durch datamining etc.

  20. #20 Sven Türpe
    27. Mai 2011

    Warum sollte ich ausgerechnet die absurd umständlichste Methode von allen wählen, wenn die anwenderfreundlichste gleichzeitig auch noch die sicherste ist?

    Weil …

    1. ein Passwort-Manager ein Single Point of Failure ist.
    2. ein Passwort-Manager ein Single Point of Attack ist, für Malware zum Beispiel.
    3. die Sicherheit nur marginal vom Passwort-Voodoo abhängt: Standardangriffe sind heute Malware auf dem PC, Server-Hacks sowie Datenklau aus dem Back-end von Diensten.
    4. wir uns Passworte sehr gut merken können, wenn wir sie nur regelmäßig benutzen.
    5. Passworte den Vorteil haben, dass man sie überall dabei haben und über jeden beliebigen Kanal eingeben kann.
    6. ein Passwort-Manager auf dem Händi gemessen am Gewinn bereits zu große Reibungsverluste verursacht und sich deshalb nicht lohnt.

    Für wichtig halte ich lediglich ein wenig Abwechslung zwischen verschiedenen Diensten, um die Folgen eines ausgespähten Passworts einzugrenzen. Dies aber lediglich unter den Bedingungen eines Massenangriffs, der sich nicht gezielt gegen ein einzelnes Opfer richtet. Die Passwortwahl darf in diesem Fall durchaus Regeln folgen, die Abweichung zwischen den Passworten für verschiedene Dienste muss nur so groß sein, dass ein unmotivierter Angreifer mit einem bekannten Passwort und drei Rateversuchen nicht weit kommt.

    Langfristig fällt die Diversifizierung als Hygienefaktor sowieso weg, weil wir irgendwann alles mit unseren Google-Accounts tun werden.

  21. #21 Sven Türpe
    27. Mai 2011

    Egal ob nun mit einem 0815-universal-pw, mit einer verschlüsselten Liste (zip etc), mit zusätzlicher Verwaltungs-SW, oder mit unauffällig die Platte dekorierenden, verschlüsselten virtuellen Maschinen mit entsprechend eingestellten browsern (pw+proxy+*).

    Egal ist das nicht: bereits einfache Sicherheitsoptimierungen können gemessen am Risiko zu aufwändig sein. Wir dürfen nicht vergessen, dass das Thema eine ökonomische Komponente hat. Sicherheit ist kein Selbstzweck, sondern es geht darum, das Verhältnis zwischen Aufwand und Schadensrisiko zu optimieren. Da das Risiko gering ist ist die Risikoreduktion durch Optimierungen rund ums Passwort noch geringer, bleibt für besonderen Aufwand nicht viel Spielraum. Auch scheinbar geringe Aufwände fallen dabei ins Gewicht, wenn sie regelmäßig etwa bei jedem Nutzungsvorgang anfallen.

  22. #22 jitpleecheep
    27. Mai 2011

    @Sven Türpe:

    ad 1: a) Ein Blatt Papier erst recht. b) Falsch. Ich hab meine Datenbank redundant lagern und kann per HTML drauf zugreifen.
    ad 2: Ein Blatt Papier auch.
    ad 3: Worauf zielt das ab? Wenn dir die Passwort-Sicherheit egal ist, dann brauchst du erst recht nicht die umständlichste Methode zu nutzen…
    ad 4: Klar, ich behalte mal so eben ~100 verschiedene Passwörter (derzeit), mit hm… keine Ahnung, ~10 verschiedenen Usernamen für verschiedene Seiten. (Siehe rolaks Kommentar zum Datamining).
    ad 5: Versteh ich inhaltlich nicht: Ich habe Passwörter, ich habe sie auch überall dabei. Und über welche Kanäle sollte ich sie noch eingeben wollen, ausser online?
    ad 6: War auch gar keine Rede von.

    “Auch scheinbar geringe Aufwände fallen dabei ins Gewicht, wenn sie regelmäßig etwa bei jedem Nutzungsvorgang anfallen.”

    Du meinst z.B., dass man ständig Listen suchen, darin rumkrakeln und davon abtippen muss.

  23. #23 Wurgl
    27. Mai 2011

    @rolak

    Zwei Dinge blähen mich. Mit dem crack-Versuch so um 2000 wollte ich herausfinden, ob meine damaligen wirklich wichtigen Passwörter, nämlich die zu Hause und die am Rechner im Büro, durch eine Wörterbuchattacke zu knacken sind. Als Vergleich diente eine /etc/passwd eines Providers — den es damals in dieser Form nicht mehr gab — mit ca. 45.000 Einträgen. Die Antwort die ich mir selber nach ca. 2 Jahren Rechenzeit geben konnte war: ca. ~95% der Passwörter sind mittels Wörterbuch knackbar, ca. 60% der User verwendeten weiterhin das vom Provider vorgegebene Passwort. Meine eigenen Passwörter (5 Stück waren das) sind mittels Wörterbuchattacke nicht knackbar.

    Der zweite Punkt ist die Halbwertszeit. Eine Halbwertszeit für ein Passwort mag tatsächlich existieren, speziell wenn man dieses irgendwem weitergibt, wenn einem Leute bei der Eingabe desselben beobachten können oder ähnliches. Speziell gilt so eine Halbwertszeit für Passwörter von (de)zentralen Servern in diversen Firmen. Die hat Anfangs der Admin, ab dessen ersten Urlaub auch sein Stellvertreter, irgendwann dessen Stellvertreter, dann einer der Entwickler und irgendwann die ganze Firma (bis auf den Chef …). So eine Halbwertszeit bestreite ich vehement für Passwörter die nicht weitergegeben werden. Tatsächlich sind Angriffe ganz anderer Natur. Netzwerksniffer, Einbrüche in Rechner durch Unsicherheiten von Webdiensten (SQL-Injection etc.) oder Malware. Ich könnte jetzt was von Windows vs. Linux erzählen, ist ein Trollthema und bringt nix — damals war jedenfalls ’95, ’98 und NT 4.0 aktuell.

    Jedenfalls ist ein Passwort entweder sicher oder es ist bekannt. Ähnlich wie eine Geheimzahl bei er EC-Karte entweder geheim oder bekannt ist. Und das ist unabhängig von irgendeiner Zeit. Wenn ein Sniffer ein Passwort rausfindet oder eine Malware dieses nach Hause telefoniert sonstwie dieses geleakt wird, dann ist es schnurzpiepegal ob dieses Passwort vor 5 Minuten geändert wurde oder 10 Jahre in Verwendung ist. Ein Angriffsziel gibt es bei meinen wichtigen Passworten jedenfalls nicht: Merkzettel.

    Ganz lustig finde ich übrigens Richtlinien in diversen Firmen. Ich hab mal in einer gearbeitet wo man jedes Monat das Passwort wechseln musste. Das Ergebnis waren dann Passworte wie mai98 gefolgt von juni98 und juli98 oder julia01gefolgt von julia02 und julia03. Meine Fresse! So eine kranke Richtlinie gabs auch bei einem Projekt von externen Dienstleistern auf Rechnern und in Räumlichkeiten einer großen Bundesbehörde in Wiesbaden. *doublefacepalm* Solche Richtlinien führen zu einer Sicherheit nahe Null. Entsprechend oft sind die Passwörter auch auf den berühmten PostIt Zettelchen am Bildschirm oder unter der Tastatur zu finden.

  24. #24 rolak
    27. Mai 2011

    Hi Wurgl, könntest Du mal kurz verdeutlichen welche beiden Dinge von dem von mir Gesagten es sind und was Dich daran bläht?

    Hi jitpleecheep: {“Auch scheinbar..[eof]} hmm, da lese ich eher eine Aufforderung zum unsafest surfing heraus, weil auch verschwindend kleiner Einzelaufwand nach dieser Rechnung irgendwann einmal ‘zu groß’ werden kann, da der Nutzen konstant ist.

  25. #25 Wurgl
    27. Mai 2011

    @rolak
    Na das was sich auf 0:45 bezog.

  26. #26 jitpleecheep
    27. Mai 2011

    @rolak:
    O.o ?
    Das war ein Zitat von Sven Türpe…

  27. #27 Sven Türpe
    27. Mai 2011

    Du meinst z.B., dass man ständig Listen suchen, darin rumkrakeln und davon abtippen muss.

    Der Witz ist, dass man das eben nicht ständig tun muss. Aufgeschriebene Passworte unterstützen den fließenden Übergang zwischen der Nutzung des Hilfsmittels und der Anwendung ohne Hilfsmittel. Häufig verwendete Passworte wird man nach kurzer Zeit ohne Unterstützung aus dem Gedächtnis eintippen können. Der zusätzliche Aufwand durch die Verwendung des Hilfsmittels fällt deswegen vor allem dort an, wo er wenig ins Gewicht fällt: bei den selten verwendeten Passworten.

  28. #28 rolak
    27. Mai 2011

    Nun ja jitpleecheep, es ging mir um den Vergleich meiner Interpretation/Schlußfolgerung aus dem zitierten Text im Vergleich zu Deiner.

    Tja, Wurgl, das von mir aus dem fast mitternächtlichen Kommentar Referenzierte war das “verwende ich die [Passworte] … heute noch”, eine je nach Umgebung katastrophale Haltung.
    “sicher oder bekannt” ist keine relevante Einteilung für Passwörter, da dem Anwender die Bewertung nicht zugänglich ist. Eine Heuristik über “Wahrscheinlichkeit für <korrumpiert>” und ein Festlegen eines tolerierten Wertes ist hilfreicher, wenn es um Zugriffsbeschränkung für Außenstehende geht.
    Und wenn häufiger Passwortwechsel so lustig ist, warum sind dann Einwegcodes (z.B. TAN) so sicher, wenn sauber implementiert?

  29. #29 jitpleecheep
    27. Mai 2011

    @rolak:
    “es ging mir um den Vergleich”

    Ah! Das hätte ich vielleicht einfacher verstanden, wenn du dich nicht regelmässig kryptisch ausdrücken würdest. 😉

    @Sven Türpe:
    “Häufig verwendete Passworte wird man nach kurzer Zeit ohne Unterstützung aus dem Gedächtnis eintippen können.”

    Welchen Teil von “ad 4” hast du nicht verstanden?

    Es gibt echt sinnvolleres im Leben, als sich zu merken auf welchen Seiten man welchen der x Usernamen mit welchem der xx Passwörter verwendet.

    Da kann ich den Speicher besser mit Fremdsprachen bevölkern, danke.

    Und du redest von Aufwand. m(

  30. #30 Wurgl
    27. Mai 2011

    @rolak

    Ja. Die verwende ich heute noch. Und zwar das Passwort auf meinem Rechner zu Hause. Und das auf dem Rechner der Firma.

    Genauso wie ich die Geheimzahl meiner EC-Karte auch noch nie geändert habe.

    Passwörter werden unsicher aka wertlos wenn der Rechner kompromittiert ist, wenn die Datenübertragung abgehört werden kann, wenn via sozialen Angriff der Benutzer das Passwort beabsichtigt (z.B. Anfrage durch Fake-Support, Freund, Kollegen) oder unbeabsichtigt (z.B. Fake-Seite, DNS-Spoofing) herausgibt oder durch schier endlose Versuche und einem “Zufallstreffer” und dann gibts noch: Merkzettel gefunden und sicher noch ein paar weitere Möglichkeiten wie physischer Zugriff auf den Rechner inkl. Aufschrauben und Platte klonen. Bei einigen dieser Angriffe kommt man an den Klartext, bei anderen nur an eine verschlüsselte Form. Bei der verschlüsselten Form wollte ich damals die Hackbarkeit überprüfen, mehr nicht.

    Und solange keiner dieser Fälle eingetreten ist, ist die Länge der Verwendung meiner Meinung nach vollkommen egal.

    Wie gesagt: Die andere Variante ist ein regelmäßiges Ändern, aber so eine Änderung erfordert Merkzettelchen und reißt dadurch ein anderes Loch auf. Man muss für sich selber abwägen, was schwerwiegender ist.

    Freche Gegenfrage lieber rolak: Wann hast Du Deine Geheimzahl der EC-Karte der EC-Karte geändert und wenn nicht: Warum nicht, wenn doch dies gilt: “unbedingt der zeitlich bedingten Passworthärte H~1/t” Oder ist das kein Passwort?

    Übrigens sind TANs nicht unbedingt sicher, man lese dazu http://heise.de/-219497 Laut Artikel wurde TAN wurde durch das sicherere iTAN-Verfahren abgelöst und selbst dieses ist laut Artikel kein Problem mehr. Aber das geht zu weit. Sicherheit geht nur soweit, wie man Einzelkomponenten vertrauen kann. Bei TAN/iTAN ist mein Briefkasten der wohl unsicherste Punkt, dort kann praktisch ein jeder das Brieflein mit den Nummern rausfischen und Möglichkeiten ein verschlossenes Kuvert unbemerkt zu öffnen gibt es immer.

  31. #31 martin
    27. Mai 2011

    es gibt einen seh schönen trick um für
    a) jede seite ein eigenes passwort zu haben
    b) leicht zu merken ist
    c) sicher

    man nehme besagtes “MFtSiG37” und hängt den ersten und letzen buchstaben der domain samt der anzahl der buchstaben dazwischen in das das passwort herein.
    z.b.:
    googlemail.com->g8l-> MFtSig8lG37
    amazon.de-> a4n -> MFtSia4nG37
    web.de->w1b-> MFtSiw1bG37

    -ist so leicht zu merken wie der satz
    -mann kann es für jede domain im kopf erstellen (ohne es einem programm anzuvertrauen)
    -es ist für jede domain einzigartig ohne das es auffällt selbst wenn es jemand im klartext liest.

  32. #32 rolak
    27. Mai 2011

    touché

    Zur Gegenfrage, Wurgl: Vor wenigen Jahren, es gibt mindestens zwei ganz simple Verfahren dafür. Ansonsten bitte nicht den Kontext ignorieren, in diesem Falle “je nach Umgebung” bzw “sauber implementiert”.

  33. #33 jitpleecheep
    27. Mai 2011

    @Wurgl:

    Bin nicht rolak, aber: “Wann hast Du Deine Geheimzahl der EC-Karte der EC-Karte geändert und wenn nicht: Warum nicht”

    – Die Geheimzahl meiner EC-Karten ändert sich jedesmal, wenn ich eine neue kriege.
    – Ich wüsste nicht, dass man die für eine Karte überhaupt ändern könnte.
    – Die Anzahl der Betrugsfälle pro Jahr deutet darauf hin, dass das System nicht so wirklich gut funktioniert.

  34. #34 jitpleecheep
    27. Mai 2011

    Nochmal EC-Karten:

    In diesem Fall würde regelmässiges Wechseln übrigens auch nichts bringen.

    Der Passworthärte sind andere Mechanismen entgegengestellt, z. B. die Sperrung nach drei Fehlversuchen.

    Die Kompromittierung ist in diesem Fall ja ein Ausspähen der PIN inkl. des Zeitraums bis zum Schadensfall (Konto leer).

    Da dieser Zeitraum in der Regel sehr kurz ist (24 Std., maximal) würde sich ein Wechsel der PIN nur dann lohnen, wenn er in wesentlich kürzeren Zeiträumen erfolgt, im Prinzip also stündlich.

    Das ist wohl weder vertret- noch machbar, also kann man auch ganz darauf verzichten.

  35. #35 Sven Türpe
    27. Mai 2011

    Welchen Teil von “ad 4” hast du nicht verstanden?

    Den Teil mit den 100 verschiedenen Passwörtern.

  36. #36 Dr. Webbaer
    27. Mai 2011

    @Türpe
    Was halten Sie denn von diesem “altmodischen” Ansatz? Also zwei verschlüsselte USB-Sticks als “Zettel”?

    MFG
    Dr. Webbaer

  37. #37 Dr. Webbaer
    27. Mai 2011

    Nachtrag:

    wir uns Passworte sehr gut merken können, wenn wir sie nur regelmäßig benutzen

    Heißt übersetzt, dass “wir” sie uns nicht gut merken können, gell?

  38. #38 Dr. Webbaer
    27. Mai 2011

    @Wurgl

    Ganz lustig finde ich übrigens Richtlinien in diversen Firmen. Ich hab mal in einer gearbeitet wo man jedes Monat das Passwort wechseln musste.

    Wohl der von Ihnen skizzierten Halbwertzeit geschuldet, nicht unfolgerichtig. 🙂
    Ein monatlicher scheint aber untauglich. – Der werte Inhaltemeister hat natürlich hier ein interessantes Thema bemüht, Passwörter sind nicht nur in ihrer Haltung problematisch.

    MFG
    Dr. Webbaer

  39. #39 jitpleecheep
    27. Mai 2011

    @Sven Türpe:
    “Den Teil mit den 100 verschiedenen Passwörtern.”

    Hast du für alle Anmeldungen ein und dasselbe Passwort?

    @rolak:
    “Vor wenigen Jahren, es gibt mindestens zwei ganz simple Verfahren dafür.”

    Echt? Welche?
    Selbst meine Banken können nicht meine PINs ändern.

  40. #40 rolak
    27. Mai 2011

    Natürlich funktioniert die Antwort nur dank der Ambiguität der Sprache, jitpleecheep, und eine dritte Möglichkeit (die ich nicht mit unter ‘einfach’ einsortieren mochte) hast Du auch schon genannt bzgl der Änderung der PIN der Karte, die Du benutzt. Was eben nicht die sein muß, zu der die alte PIN gehörte. Genauso wie es mir bei gewissen accounts nicht auf den Erhalt des username ankommt und so das gesamte Paar un/pw getauscht werden kann, auch wenn nur ein Teil evtl kompromittiert ist.
    Die dank Behalt der Kontonr einfacheren Lösungen sind das explizite Anfrage nach einer neuen Karte (ging bei mir/meiner Bank) bzw die dazu passende Nebenlösung: Die Behauptung des Zustandes ‘gestohlen’.

  41. #41 JD
    27. Mai 2011

    @martin

    es gibt einen seh schönen trick um für
    a) jede seite ein eigenes passwort zu haben
    b) leicht zu merken ist
    c) sicher
    man nehme besagtes “MFtSiG37” und hängt den ersten und letzen buchstaben der domain samt der anzahl der buchstaben dazwischen in das das passwort herein.
    z.b.:
    googlemail.com->g8l-> MFtSig8lG37
    amazon.de-> a4n -> MFtSia4nG37
    web.de->w1b-> MFtSiw1bG37
    -ist so leicht zu merken wie der satz
    -mann kann es für jede domain im kopf erstellen (ohne es einem programm anzuvertrauen)
    -es ist für jede domain einzigartig ohne das es auffällt selbst wenn es jemand im klartext liest.

    Ich nutze ein sehr ähnliches System!

  42. #42 Andreas P.
    27. Mai 2011

    So lange die Leute keine Ahnung haben was sie tun, sich mit alten Browsern unbedarft durchs Web klickern, jedes Email Attachement aufmachen und glauben das ein halbwegs aktueller Virenscanner alle Probleme löst, hilft das “gute” Passwort nicht weit. Sicherheit ist ein Prozess, kein Zustand.

  43. #43 a+
    27. Mai 2011

    Das haben wir schon einmal bei den Bezahlverfahren im Online-Handel durch: da hatten die Krypto-Nerds auch ganz irre Visionen, aber am Ende hat doch die gute alte Kreditkarte gewonnen – zu recht.

    Is nich war. Sowas. “Zurecht.” Ich glaub, ich lese nicht recht.

    Laut Artikel wurde TAN wurde durch das sicherere iTAN-Verfahren abgelöst und selbst dieses ist laut Artikel kein Problem mehr. […] Bei TAN/iTAN ist mein Briefkasten der wohl unsicherste Punkt, […]

    Moment:

    m(

    Deswegen schaffen die Banken jetzt gerade die iTANs ab? Wegen den Briefkästen, die so unsicher sind? Und ich dachte schon, weil immer noch irgendwelche Leute ihre ganze TAN-Liste abtippen, wenn sie ein Popup dazu auffordert! Gut, daß wir das geklärt haben! Oh, und welche Möglichkeiten bieten die Banken alternativ? RICHTIG! Man kann ein Gerät kaufen (das man übrigens nicht in auf das Format einer Briefmarke falten kann…) oder sich den Kram per SMS schicken lassen. Per SMS. Da kann ich mir die Nummer gleich auf die Stirn schreiben.

  44. #44 Stefan W.
    27. Mai 2011

    @JD, @martin: Das Verfahren skaliert aber nicht.

    Der Admin von Google, der MFtSig8lG37 abgreifen kann, und schon mal von dem Verfahren gehört hat, kann leicht 100 Mio. Passwörter nach g8l abscannen (und nach ähnlichen Mustern in JDs Sinne). Dabei wird er vielleicht 25% oder 75% falsche Treffer haben, wo die Leute aus anderen Gründen g8l im Passwort haben.

    Jedenfalls wird er mit der Liste Username : Prefix + g8l + Postfix zu Amazon gehen, und da haben zwar nur 10% der g8l-Verwender überhaupt einen Account, oder 2%? Egal. Falls man in der Liste ist, und einen Amazonaccount hat, dann ist man durch derartige Verfahren sehr angreifbar durch Admins auf Abwegen.

    Mit der Bestätigung, dass das Muster nicht nur bei Google, sondern auch bei Amazon verwendet wird, benötigt man jetzt noch soziale Daten wie Google-Suchanfragen (“Playstation”, “Postbank Bochum”) oder Amazon-Rezensionen, um weitere Accounts auszuspähen, die sich missbrauchen lassen.

  45. #45 jitpleecheep
    27. Mai 2011

    @Stefan W.:
    Das Szenario ist schon recht unwahrscheinlich, ausserdem weiss der Admin anhand eines Passwortes ja nicht, was Pre- und was Postfix ist.
    Problematisch wird’s, wenn man damit Accounts bei verschiedenen Seiten hat, die eigtl aber zum gleichen Anbieter gehören. In dem Fall hätte derjenige beim gegebenen Beispiel nur noch ein dreistelliges Passwort vor sich.

    Das Verfahren skaliert aber auch aus anderen Gründen schlecht: Ich muss mir für jede Seite eine neue Eselsbrücke merken. Den Schluß von Googlemail auf g8l versteh ich noch nicht mal.

  46. #46 Jürgen Schönstein
    27. Mai 2011

    @jitpleecheep

    Das Verfahren skaliert aber auch aus anderen Gründen schlecht: Ich muss mir für jede Seite eine neue Eselsbrücke merken. Den Schluß von Googlemail auf g8l versteh ich noch nicht mal.

    Da spring’ ich jetzt mal mit einer Antwort ein: Die Eselsbrücke ist immer die gleiche, wie @martin weiter oen schon erklärt hatte: Man “hängt den ersten und letzen buchstaben der domain samt der anzahl der buchstaben dazwischen in das das passwort herein” – also bei googlemail erst das “g”, dann die 8 für die acht Buchstaben “ooglemai”, und denen folgt dann das “l”. Man muss ich eigentlich nur merken, wo man dieses Domain-Kürzel einklinkt. Aber es stimmt schon, dieser Teil ist sehr leicht zu knacken, da man ja allein schon mal diese Zahlenfolge aus dem Domainnamen direkt ablesen kann. Ist nicht viel besser, als wenn man in alle seine Passwörter “P6t” (warum eigentlich nicht gleich “Passwort”, oder eben “googlemail”?) einbauen würde.

  47. #47 Stefan W.
    27. Mai 2011

    Bei Passwörtern gibt es zig Einsatzgebiete und zig Angriffsvektoren. Daraus folgt, dass man eine gemischte Sicherheitsstrategie benötigt.

    Ein Einbrecher würde sich theoretisch vielleicht für meinen Banking- und den Ebayaccount interessieren, aber praktisch ist er wohl doch zu spezialisiert auf greifbares. In meinem Namen Kommentare auf Scienceblog hinterlassen interessiert aber sicher allenfalls spontane Spaßvögel, die weder Zeit, noch Geld in einen Angriff investieren würden.

    Passwortwechselzwänge sind nur von sehr beschränktem Nutzen. Wenn jemand eine Passwortdatei mit ungesalzenen Hashes abgreift, und für eine brute-force-Attacke im Schnitt 1 Jahr benötigt, dann erhöht ein monatlicher Wechsel die Sicherheit. Dauert die brute-force-Attacke 10 Jahre, dann sind monatliche Wechsel etwas paranoid. Dauert die Attacke nur einen Monat im Mittel, dann ist ein monatlicher Wechsel wohl oft zuwenig. Es kommt aber immer auch darauf an, was ein unbefugter mit dem Passwort tut. Räumt er einmalig alle Informationen ab, die er dann zu was-weiß-ich verwendet, oder benutzt er einen Zugang heimlich und wiederholt, solange das Passwort gültig ist? In letzterem Fall wirkt ein Wechsel dann schadensbegrenzend.

    Nur, wer weiß schon, ob der Angreifer nicht 10 oder 100 Rechner auf das Problem ansetzt, oder ein, zwei Clouds?

    Es gibt aber auch den Fall, dass Uschi Probleme mit ihrem Rechner hat, und Frank aus der gl. Abteilung um HIlfe bittet. Dazu braucht er ihr Passwort, und jetzt will Uschi, wo Frank doch so nett hilft, keine Anstalten machen, und gibt ihr Passwort preis. Frank, da in der gl. Abt., hat sowieso Zugriff auf die gl. Daten – was soll also daran schon falsch sein?
    Jetzt verläßt Frank die Firma aus Gründen, die wir nicht näher beleuchten wollen 3 Monate später. Wie schön wäre es, wenn Uschi längst ein anderes Passwort hätte, während Franks Account stillgelegt wird, ohne dass Uschi dran denken muss auch ihr Passwort zu ändern.

    Nur ist es so wie oben beschrieben, dass sich häufige Passwortwechsel dem Anwender als Zumutung gegenüberstellen, als Behinderung bei der Arbeit, als Feind, und Tricks, wie Mai-Prefixe sich rasend schnell rumsprechen. Die Belegschaft verbündet sich fröhlich zum Menschsein zwischen den Maschinen, Automaten und Prozessen, und klammert sich an symbolische Gegenwehr.

  48. #48 Dr. Webbaer
    28. Mai 2011

    Es ist heute auch oft so, dass die Erfassung des Sicherheitskontextes nicht beliebig oft möglich ist. Beispielsweise muss ein Nutzer nach dreimaliger Fehleingabe 15 Minuten warten oder das Konto wird sofort gesperrt. – “Bruten” sollte heutzutage eigentlich nicht mehr gehen…

    Zum Uschi-Problem noch, also das scheint ein soziales zu sein, Achtung, schlauer Spruch, IT ist nicht dafür da soziale Probleme zu lösen. [1]

    MFG
    Dr. Webbaer

    [1] Nicht von Dr. W, kA von wem das war, gemeint ist natürlich, dass im sozialen nicht lösbare Probleme nicht nachgebaut in IT lösbar werden – bei der Bearbeitung sozialer Herausforderungen ist IT natürlich das Mittel der Wahl. 🙂

  49. #49 Stefan W.
    30. Mai 2011

    Zum Uschi-Problem noch, also das scheint ein soziales zu sein,

    Nein. Eigentlich gar nicht.