Dies ist das archivierte jawl.


jawl bedeutet „just another Weblog“ und war vom 6.4.2001 bis zum 4.1.2018 das Blog von Christian Fischer. Das Blog wird nicht mehr weiter geschrieben, bleibt aber als Archiv online. ’cause: Don’t change a running URL ;)

Sichere Passwörter?

Weil mich hin und wieder Menschen danach fragen, wie man sich denn ein sicheres Passwort erstellen und dann auch noch merken kann, habe ich mal ein paar Tricks zusammen getragen.

Fangen wir mit dem worst case an: Das beliebteste Passwort ist immer noch 123456 – dabei sollte jedem klar sein, dass man hier nicht von Sicherheit sprechen kann.

Wie aber erstellt man ein sicheres Passwort, das man sich zusätzlich auch noch leicht merken kann?

Dazu müssen wir zuerst einmal wissen, was ein sicheres Passwort ist:
Zum einen ist ein sicheres Passwort kein Begriff, den man in einem Lexikon finden kann – also kein existierendes Wort – und keine Buchstabenfolge auf der Tastatur.
Ein einfacher Angriff auf ein Passwort wird zunächst nämlich Folgen wie „123456” oder „qwertz” versuchen, gefolgt von so beliebten Begriffen wie „iloveyou”, gängigen Kose- und Vornamen oder dem besonders einfallslosen „passwort”.

Und zweitens ist ein sicheres Passwort ein langes Passwort – möglichst noch mit Groß- und Kleinbuchstaben Zahlen und Sonderzeichen.

Warum?

Ein Rechenbeispiel: Um ein Passwort, nur mit Kleinbuchstaben, mit einem Zeichen Länge zu erraten braucht man im besten Fall 26 Versuche (klar: im schlimmsten Fall nur einen). Kommen Groß- und Kleinbuchstaben in Frage sind es schon 52 Versuche.
Um 52 Passwörter zu versuchen braucht man nicht einmal einen Computer, das geht noch von Hand. Also muss das Passwort länger gemacht werden.

Ist das Passwort zwei Zeichen lang, sind es (52×52) 2704 Versuche, bei drei Zeichen (52x52x52) 140608 und so weiter, bis man mit zehn Zeichen bei 144555105949057020 möglichen Kombinationen ist.
Ein Angreifer, der pro Sekunde 2096204400 Schlüssel ausprobiert – ein durchaus realistischer Wert – braucht dann im besten Fall etwas über zwei Jahre.

Bezieht man in die Überlegungen mit ein, dass Computer immer schneller werden hängen wir also lieber noch zwei Stellen an unser Passwort und beschäftigen den feindlichen Rechner im besten Fall also knappe 600 Jahre.

Wie merke ich mir ein Passwort mit zwölf Zeichen Länge?

Eine relativ einfache Methode ist es, sich einen Satz auszudenken, der für mich selber eine Bedeutung hat und den ich mir deswegen gut merken kann. Vielleicht direkt einen mit einer Zahl im Satz.

Für Royalisten: Im August 97 starb die Prinzessin der Herzen in Paris.
Für Verliebte: Seit 2003 liebe ich meine Sabine von Herzen!
Für Nerds: Schon 1987 stellte Steve Jobs den Mac ii vor.

Und so weiter – das Prinzip dürfte klar sein.

Nimmt man nun aus diesem Satz die Anfangsbuchstaben erhält man schon etwas recht kryptisches:
IA97sdPdHiP.
S2003limSvH!
S1987sSJdMiv.

Verfeinern kann man dieses Passwort durch den Austausch von einzelnen Zeichen gegen Sonderzeichen, oder, wenn man noch keine Ziffern benutzt hat auch gegen Zahlen: Aus i oder I wird !, aus s oder S wird eine 5, aus einem e wird eine 3 aus einer 8 wird ein &.

!A97sdPdH!P.
52003l!m5vH!
S19&7sSJdMiv.

Hat man sich den Satz einmal gemerkt, kann man ihn recht schnell genauso tippen, wie „qwertz” oder „meinpasswort” – nur, dass das Ergebnis viel sicherer ist.

Nicht das gleiche Passwort für alle Accounts.

Ein beliebter Fehler ist es, für alle Accounts – also für die eMail, das facebook-Konto und den eBay-Account das gleiche Passwort zu benutzen.
Wie aber soll man sich für alle die vielen Accounts, die man heute im Web hat unterschiedliche Passwörter merken?

Auch da gibt es einen einfachen Trick:
Wir nehmen unser gerade erzeugtes Passwort – also zB !A97sdPdH!P. – und ergänzen es um eine Buchstabenfolge, die sich auf den jeweiligen Account bezieht. Diese Buchstabenfolge wird dann an einer beliebigen Stelle eingefügt und schon hat jeder Account sein eigenes Passwort:

Google: !A97sdPdg00H!P.
GMX: !A97sdPdgmxH!P.
Sparkasse: !A97sdPdspaH!P.

Abschließend bleibt noch zu sagen, dass die hier als Beispiel genannten Passwörter natürlich nicht benutzt werden sollten. Und auch, dass ich sie natürlich nicht selber benutze :)

Kommentare sind geschlossen.

»