Sichere Passwörter ganz einfach
Der Startcode für US-amerikanische Atomraketen lautete fast zwei Jahrzehnte lang 00000000. Hätte der Dritte Weltkrieg also jederzeit von einer jugendlichen Hackerin ausgelöst werden können? Zunächst einmal machte die reine Existenz dieses Passworts unsere Welt ein gutes Stück sicherer. John F. Kennedy beschloss 1962, die Befehlsgewalt über das weltgrößte Nukleararsenal erstmals in einer zentralen Schaltstelle zu bündeln. Davor waren die einzelnen Raketen nur durch eine mechanischen Verriegelung vor unbefugtem Zugriff geschützt. Der Fortbestand der menschlichen Zivilisation hing vom guten Willen größenwahnsinniger Militärs ab.
Warum aber ein ausgefeiltes Sicherheitskonzept implementieren, wenn der Zugang zur Weltherrschaft dann doch nur von ein paar leidige Nullen versperrt wird? Das Militär hatte wohl keine große Freude daran, seine liebgewonnene Entscheidungshoheit an den Präsidenten abzutreten. Deshalb setzte es nicht nur besagtes Passwort durch, sondern druckte es auch noch in den Handbüchern ab, die die Streitkräfte Schritt für Schritt durch den Raketenstart führen sollten. Ganz unlogisch war das nicht: Im Kalten Krieg mussten Entscheidungen in Sekundenschnelle getroffen werden, jeder zusätzliche Schutzmechanismus bedeutete eine mögliche Fehlerquelle und damit eine Verzögerung. Trotzdem beweist der Fall, welch weitreichenden Konsequenzen die Preisgabe auch nur eines einzelnen Passworts haben kann.
Kürzlich war ich rund fünf Stunden lang aus meiner Wohnung ausgesperrt. Die Auswirkungen waren überschaubar. Der Verlust meiner Online-Identität würde mein Leben dagegen unwiderruflich auf den Kopf stellen.
Ein halbes Jahrhundert nach Kennedy betreffen sie uns nämlich alle: Passwörter. Am Anfang stand vielleicht die PIN meines ersten Handys. Danach sollte ich mir die Geheimzahl meiner Bankkarte merken. Aber mit vierstelligen Zahlen hat mein Gedächtnis noch kein Problem. Erst, als ich begann, mich häuslich im Internet einzurichten, fingen die Schwierigkeiten an. Immer mehr Türen zu immer privateren Räumen mussten abgeschlossen werden. Die Passwörter wurden immer länger, immer komplizierter, immer uneinprägsamer.
Das beliebteste Passwort im Jahr 2013 war 123456, direkt gefolgt vom bisherigen Spitzenreiter password. Das ergeben zumindest die Nachforschungen des US-Sicherheitsunternehmens SplashData, das als Anbieter eines Passwort-Managers daran interessiert sein dürfte, ein kryptografisches Hochrüsten anzustacheln. Doch die Befunde sind in jedem Fall erschreckend und stützen sich auf Listen realer Passwörter, die immer wieder im Zuge von Hacks, zum Beispiel bei Adobe, veröffentlicht werden. Natürlich sind die meisten Konten, die wir online einrichten, mehr oder weniger wertlos. Bei Adobe musste ich mich beispielsweise registrieren, um mir eine Testversion der beliebten Creative Suite herunterzuladen. Ob dieser Account gekapert wird? Mir egal.
Angreifbar mache ich mich erst, sobald ich zum Speichern meines Angry-Birds-Highscores denselben Benutzernamen und dasselbe Passwort wie bei meiner Bank verwende.
Man müsste also schon verrückt sein, um für alle Konten exakt dasselbe Passwort zu verwenden. Ungefähr so verrückt, wie ich die letzten zehn Jahre über war. Mein Vater half mir gegen Ende der Grundschulzeit, einen Benutzernamen für mein erstes E-Mail-Konto auszuwählen. Dieser Account verbraucht noch immer Speicherplatz auf einem Server von AOL und auch das Passwort hat sich in seiner langen Geschichte nie geändert: Acht Stellen, ausschließlich Kleinbuchstaben, so sicher wie ein Auto mit offener Tür und Schlüssel im Zündschloss. Irgendwann reihte sich noch eine fünfstellige Zahl daran und mein Standardpasswort war geboren. Bis Anfang dieses Jahres erhielt man damit Zugriff auf alle wichtigen Konten in meinem Leben. Dann kam Heartbleed und seitdem müssen wir davon ausgehen, dass all unsere bisherigen Passwörter feinsäuberlich sortiert auf den Servern der NSA liegen.
Selbstverständlich wissen wir, wie ein sicheres Passwort auszusehen hat. Fast immer, wenn wir uns auf einer Webseite registrieren, werden uns die Regeln noch einmal vorgebetet. Groß- und Kleinbuchstaben sollten enthalten sein, natürlich auch Ziffern und am besten noch Sonderzeichen. Unter zehn Stellen geht sowieso nichts. Und wehe, man verwendet Wörter, die auch im Duden zu finden sind! Wenn wir es also geschafft haben, eine akzeptable Kombination an der Sicherheitskontrolle vorbeizuschleusen, sollte es nicht überraschen, dass wir sie sofort wieder vergessen oder uns so sehr daran klammern, dass wir nie wieder ein anderes Passwort verwenden wollen. Was aber, wenn es auch viel einfacher ginge?
Ein gutes Passwort sollte leicht zu merken und schwer zu knacken sein. Das zu erreichen ist eigentlich gar nicht schwer.
Methode 1: Suchen und Ersetzen
Meine Lieblingsmethode für eingängige und gleichzeitig widerständige Passwörter beginnt mit einem zusammengesetzten Wort, das sich optimalerweise sowieso schon im Gedächtnis festgesetzt hat. Desoxyribonukleinsäure ist so ein Fall. Biologie war nie meine Stärke, also wird es höchste Zeit, diesen Zungenbrecher endlich seiner wahren Bestimmung zuzuführen. Es genügt, nur zwei Bestandteile dieses langen Wortes auszutauschen, um einen völlig neuartigen Begriff zu erhalten. Ich halte beispielsweise Sauerstoff für Blödsinn und denke bei Säure an Klabauter. Das Ergebnis lautet desbloedsinnsribonukleinklabauter* und ist so absurd, dass ich es mir spätestens nach dem zweiten oder dritten Lesen eingeprägt habe. Warum ich keine Großbuchstaben verwendet und mir den Umlaut gespart habe? Pure Bequemlichkeit. Das DNS-Gerüst lässt sich weiterverwenden, um neue Kombinationen für verschiedene Zwecke zu erstellen – zum Beispiel mit wahnsinnigen Kobolden.
Sicherheit: Die Länge von 33 Stellen schlägt jedes kürzere Passwort mit Sonderzeichen oder sonstigen Extravaganzen, die sich Menschen schlecht merken können. Mit einer Brute-Force-Attacke kommt man bei 4 Milliarden Kombinationen pro Sekunde in ungefähr 391 Quadrilliarden Jahren ans Ziel. Das Universum ist rund 13,8 Milliarden Jahre alt.
Methode 2: Geschichten erzählen
In einem populären XKCD-Comic empfiehlt Randall Munroe ebenfalls, lange Passwörter zu wählen anstatt komplizierte. Er kommt der Arbeitsweise unseres Gehirns entgegen, indem er die beliebte Mnemotechnik einsetzt, aus geläufigen Begriffen eine Assioziationskette zu bilden. Ein Flugzeug fliegt über eine Insel, auf der ein Clown um ein Lagerfeuer tanzt. Die Geschichte hat zwar definitiv keinen Nobelpreis verdient, erzeugt aber ein sehr eindrückliches Bild in meinem Kopf und lässt sich dadurch gut merken. Mein Passwort lautet also flugzeuginselclownlagerfeuer*. Es gibt jedoch ein gravierendes Problem mit dieser Methode: Alle Begriffe finden sich im Duden, deshalb lässt sich die Kombination mit einem Wörterbuchangriff recht schnell herausfinden. Sinnvoller wäre es, zumindest konjugierte Verben zu integrieren. Mithilfe eines beliebten Pangramms gelangt man so etwa zu derschnellebraunefuchsspringtueberdenfaulenhund*. Ein Nachteil ist, dass sich die Phrase schlecht abwandeln lässt. Wenn man nicht bei einem Einheitspasswort bleiben möchte, muss man sich in jedem Fall mehrere Geschichten merken.
Sicherheit: Im Duden befinden sich aktuell knapp 140.000 Einträge. Für einen Wörterbuchangriff auf das erste Passwort ergeben sich also 140.000⁴ Kombinationen, die bei gleichbleibendem Tempo nach gut 3.000 Jahren ausprobiert sein dürften. Die zweite Passwort-Variante sollte ähnlich stark sein wie das Ergebnis von Methode 1.
Bonusrunde: Two Steps und Biometrie
Immer mehr Webservices fragen bei der Anmeldung nach meiner Telefonnummer. Dabei handelt es sich nur zum Teil um blinde Datensammelwut, die Verknüpfung des Kontos mit meinem Smartphone bedeutet nämlich auch einen deutlichen Gewinn an Sicherheit für mich. Im Zwei-Schritt-Verfahren wird ein immaterieller mit einem materiellen Gegenstand verknüpft; um erfolgreich zu sein müssen Angreiferinnen also nicht nur mein Passwort kennen, sondern auch die Kontrolle über mein Telefon haben. Ich muss dafür in Kauf nehmen, dass ich beispielsweise beim Einloggen oder beim Ändern meines Passworts auf eine SMS mit meinem Sicherheitscode warten muss. Google hat das Verfahren mit der Authenticator-App vereinfacht, die für alle wichtigen mobilen Plattformen verfügbar ist und bei jedem Log-in eine sechsstellige PIN anzeigt.
Biometrie ist wieder ein beliebtes Thema, seit Apple seine iPhones mit einem Fingerabdrucksensor ausgestattet hat. Wie jedoch neben anderen Kai Biermann überzeugend darlegt, hat diese Authentifizierungsmethode gravierende Schwächen. Fingerabdrücke sind nicht geheim. Sie befinden sich auf allem, was wir anfassen, und lassen sich problemlos kopieren. Noch schlimmer: Fingerabdrücke lassen sich nicht ändern, wenn sie gestohlen werden. Biometrie kann also nur als zusätzliche Schutzmaßnahme dienen, aber keine Passwörter ersetzen, die nur in unserem Kopf existieren. Außerdem ist es mindestens diskussionswürdig, ob wir unsere Körper von Privatunternehmen vermessen lassen wollen, wo wir doch schon zu Recht davor zurückschrecken, dem Staat unsere Fingerabdrücke, Irisscans oder Stimmbilder anzuvertrauen.
Gedächtniserweiterung: Passwort-Manager und Totholzbeschriftung
Sobald ich auf einer Webseite ein Passwort eintippe, bietet mir der Browser an, es für mich zu speichern. Die Idee ist sicher nicht schlecht: Die unterschiedlichen Schlüssel werden an einem zentralen Ort gespeichert und teilweise noch mit einem Masterpasswort geschützt. Selbst verwende ich diese Funktion nicht, aber generell davon abraten möchte ich auch nicht. Wenn man sich keine Gedanken darüber machen muss, ob man sich an einzelne Passwörter auch noch in einigen Monaten erinnern wird, wählt man wahrscheinlich auch kompliziertere Kombinationen, die sich wiederum langsamer knacken lassen. Damit man bei der Speicherung aber auch nichts falschmacht, ist die Wahl eines guten Passwort-Managers essenziell. Anstatt der Browser-internen Speicherung empfiehlt sich plattformübergreifende Software wie KeePass, 1Password oder LastPass. Sicher ist man in jedem Fall nur mit Verschlüsselung und einem Masterpasswort, das den höchsten Ansprüchen genügt.
Wem das alles zu kompliziert ist, dem sei die bewährte Methode empfohlen, die Passwörter der unwichtigeren Konten auf einem Stück Papier niederzuschreiben. Die Lebensdauer von Papier ist nicht nur um ein Vielfaches höher als die technischer Speichermedien, es lässt sich auch sehr unkompliziert archivieren. So könnte man einen Zettel mit Anmeldeinformationen zuhause an einem sicheren Platz aufbewahren und einen weiteren Zettel in der Geldbörse transportieren, um auch unterwegs Zugriff auf bestimmte Accounts zu haben – wobei in diesem Fall natürlich erhöhte Vorsicht geboten ist.
Wichtig ist in erster Linie, sich verschiedene Passworter für verschiedene Zwecke auszudenken. Mit den vorgestellten Methoden entstehen Kombinationen, die sehr sicher sind und sich trotzdem problemlos einprägen lassen. Wenn man dann zumindest die Passwörter der wichtigsten Konten wie E-Mail oder Online-Banking im Gedächtnis statt auf der Festplatte aufbewahrt, kann nicht mehr viel schiefgehen.