Da$ €ndE deS pA$$w0rTs
Wie viele Passwörter haben Sie? Ein oder zwei Dutzend? Ein durchschnittlicher Online-User, so haben jedenfalls Forschungen ergeben, benutzt heute zwischen 19 und 25 unterschiedliche Passwörter. Je mehr Zeit die Menschen im Netz verbringen, um zu arbeiten, zu lernen, einzukaufen oder sich ganz einfach zu unterhalten, desto mehr Passwörter häufen sie an. Und desto leichter werden diese vergessen. Der Ärger, der einen dabei überwältigen kann, hat inzwischen sogar einen wissenschaftlichen Fachausdruck: „Password Rage“, in etwa Passwort-Raserei. Dann bleibt einem nur noch ein Klick auf die Funktion „Passwort vergessen?“, ohne die heute kaum eine professionelle Website auskommt.
Die Vergesslichkeit der Menschen ist die eine Schwachstelle von Passwörtern, die Frage ihrer Sicherheit die andere. Zwar werden heute von vielen Programmen vermeintlich sichere Passwörter generiert und vorgeschlagen – meist in Form einer scheinbar sinnlosen Abfolge von Buchstaben, Ziffern und Sonderzeichen wie beispielsweise A6§jk%jo0/&27 –, die in modernen System auch noch alle 60 bis 90 Tage geändert werden müssen. Dennoch wählen die meisten Leute immer noch ihr Haustier (kaetzchen21), ein Tastaturmuster (wert4567) oder ihren Lieblings-Sportklub (rapid4ever) mit geringfügigen Abwandlungen als Passwort.
Das ist gar nicht gut für die Sicherheit ihrer Daten und natürlich ein leichtes Spiel für jeden Hacker, wie etwa die jüngsten großen Cyber-Einbrüche bei der Suchmaschine Yahoo (500 Millionen gestohlene Kundenkonten) oder dem sozialen Netzwerk LinkedIn (164 Millionen entwendete Konten) gezeigt haben. Selbst die Besucher der ebenfalls kürzlich gehackten US-Seitensprung-Website Ashley Madison, bei der man doch etwas mehr Verschleierung erwartet hat, verpassten sich derart leichtfertige Passwörter.
Passphrase könnt bald Passwort ablösen
Aus diesen beiden Gründen bahnt sich nun – ausgehend von den USA – ein neuer Verschlüsselungs-Trend an. Vereinfacht gesagt: Das Passwort könnte bald von der Passphrase abgelöst werden. Anstatt eines Begriffs, der von jedem Hacker-Lehrling geknackt werden kann, oder kaum merkbaren zufälligen Zeichenkombinationen sollen sich demnächst Sätze wie MeinHundFlockyliestamliebstendiePortfoliiosimprofil (=MHFlaldPip) als Kryptografie-Standard für jedermann durchsetzen. Je widersprüchlich und paradoxer, umso besser. Das legen zumindest aktuelle Studien der Carnegie-Mellon-Universität nahe. Demnach würden sich die Menschen längere Passphrasen einfacher merken als heutzutage übliche Passwörter. Und für Hacking-Programme sei die Länge eine ebenso große Hürde wie zufällig zusammengewürfelte Zeichenabfolgen oder immer wieder leicht abgeänderte Begriffe – vor allem dann, wenn die Phrasen mit Poesie und ein paar nicht andauernd benutzten Sonderzeichen – etwa ein „€“ statt eines „E“ – durchsetzt sind. „In Zukunft werden wir definitiv immer mehr Passphrasen sehen“, sagt die Carnegie-Cyber-Security-Forscherin Michelle Mazurek, die auch an der Universität von Maryland lehrt. „Ihre Länge bietet nicht nur den gleichen Grad an Sicherheit, sondern ist für viele schlichtweg nützlicher.“
Herkömmliche Passwörter – oder besser, deren Management durch die User, – sind heutzutage eigentlich völlig nutzlos.
In der US-Wirtschaft und Administration stößt die Passphrasen-Idee wegen des hohen Aufwands, den modernes Passwort-Management in vielen Organisationen erfordert, bereits auf Interesse. Infolge dieser Resonanz hat das „National Institute for Standards and Technology“ kürzlich in einem Arbeitspapier (special publication Nr. 800-63) sogar offiziell die Forderung nach einem „password overhaul“ – einer Passwort-Generalüberholung – aufgestellt. „Passphrasen sind schwerer zu knacken, aber viel simpler zu merken“, sagt dazu Paul Grassi, der Chefberater der amerikanischen Normungsbehörde. „Herkömmliche Passwörter – oder besser, deren Management durch die User, – sind heutzutage eigentlich völlig nutzlos.“ Das hat mehrere Ursachen. Zum einen verwendet ein Großteil der Menschen – etwa 60 Prozent laut der 2015 in den USA durchgeführten „Password Sharing Study“ – ein und dasselbe Passwort immer wieder. Wird es auf einer vermeintlich harmlosen Website einmal geknackt, bekommen Hacker auf diese Weise womöglich Zugang zu weitaus wichtigeren Bereichen der persönlichen Privatsphäre wie etwa Bankkonten oder Unternehmens-Interna. Zum anderen hilft es leider kaum etwas, ein Basis-Passwort für jede Website etwas abzuwandeln.
Ein Forscherteam der Universität von Illinois hat diese beliebte Methode – bei der oft bloß Klein- und Großbuchstaben ausgetauscht oder ein paar Zeichen, etwa die Abkürzung einer oft besuchten Site, angehängt werden – jüngst genauer unter die Lupe genommen. Mit weniger als 100 Versuchen hatten sie sämtliche Passwörter eines Drittels ihrer Testgruppe erraten – händisch und ohne Hilfe von Hacking-Programmen. Für professionelle Codeknacker, denen heute zwar illegale, aber äußerst umfangreiche digitale Passwörterbücher zur Verfügung stehen, die mit jedem Hack noch genauer werden, wäre das wohl eine Angelegenheit von wenigen Augenblicken. Und schließlich wählen viele bei der Formulierung oder Abwandlung ihrer Passwörter genau jene Kombinationen oder Zusätze, die besonders unsicher sind, wie Wissenschafter der Universität von Pennsylvania herausgefunden haben. Demnach ist beispielsweise großglockner123 um ein Vielfaches leichter zu entschlüsseln als großglocknerabc, weil das Muster des Zusatzes abc weniger durchgängig sei als 123. Ebenfalls wäre etwa ichliebedich33 ein weitaus unsichereres Passwort wie – sagen wir – ichessekohl33 (siehe Quiz-Beispiel 3).
Experten raten zur sogenannten Zwei-Phasen-Verifizierung
Wegen solcher Fehleranfälligkeit raten Experten zu der sogenannten Zwei-Phasen-Verifizierung, also zum Einsatz eines Zusatzcodes, der einem nach der Passwort-Eingabe per SMS oder Mail von der jeweiligen Website zugeschickt wird. Das gilt natürlich auch für die Verwendung von Passphrasen anstelle von Passwörtern, denn auch dabei sind die Risiken, geknackt zu werden, ähnlich. So warnen Passphrasen-Befürworter etwa davor, Textzeilen aus gerade populären Songs oder klassischer Literatur zu verwenden. Denn clevere Hacker haben ihre Entschlüsselungsdatenbanken längst mit Tonnen derartiger Dichtung gefüttert und können sie per Knopfdruck ausspionieren.
Normen-Experte Grassi rät zu einem einfachen Trick, um die Sicherheit einer Passphrase schnell zu überprüfen: Tippen Sie diese kurz mal bei Google ein. Wenn die Phrase von der Suchmaschine automatisch komplettiert wird, können Sie diese gleich wieder vergessen. Aber auch er kommt letztlich zum gleichen Fazit wie Rich Shay, der mit seinen Analysen an der Carnegie-Uni den neuen Passphrasen-Hype ausgelöst hat. „Es gibt keine Zauberformel“, sagt der Kryptograf. „Auch eine perfekte Passphrase existiert leider nicht.“
Quiz: Welches Passwort ist sicherer?
Drei Beispiele, drei verblüffende Ergebnisse. Dieses Quiz beruht auf der 2016 durchgeführten Studie „Do Users’ Perceptions of Password Security Match Reality?“, die von Forschern der Carnegie Mellon University und der Pennsylvania State University durchgeführt wurde.
Beispiel 1: a) p@ssw0rt b) pAssw0rt c) Gleich sicher
Beispiel 2: a) punk4life b) punkforlife c) Gleich sicher
Beispiel 3: a) ichessekohl33 b) ichliebedich33 c) Gleich sicher
Antworten
Antwort 1: b). „p@ssw0rt“ ist 4000 Mal sicherer als „pAssw0rt“, weil das Ersetzen von „a“ durch „@“ gängiger ist als ein Großbuchstabe mitten im Wort.
Antwort 2: b). „punkforlife“ ist 1000 Mal sicherer als „punk4life“, weil Hacking-Programme auf die Abkürzung von Wörtern als Ziffern trainiert sind.
Antwort 3: a). „ichessekohl33“ ist vier Milliarden Mal sicherer als „ichliebedich33“, denn viele wählen Passwörter, die mit Liebe zu tun haben.