Sicher per Algorithmus: Über die Wahl eines guten Online-Passworts

Streng geheim

Online-Passwörter aus den ersten Buchstaben der Wörter eines Satzes zu bilden, ist out. In ist, wer den Domainnamen mit einem Passwortkern mischt.

Online-Shops, Foren und sonstige Webangebote identifizieren ihre User häufig über einer Kombination von Username und Passwort. Das den Zugang schützende Passwort wählen viele User auch heute noch viel zu leichtfertig aus. Allgemein bekannt ist, dass Passwörter leicht zu knacken sind, wenn sie aus weniger als acht Zeichen bestehen, wenn sie keine Sonderzeichen oder Zahlen enthalten oder wenn sie nicht aus Groß- und Kleinbuchstaben zusammengesetzt sind. Unbekannt oder zumindest nicht im Bewusstsein der Anwender ist dagegen, dass ein Passwort nicht mehrfach eingesetzt werden darf.

Risiko Klartext

Wer sein Amazon-Passwort auch dem ihm unbekannten Admin von Hintertupfingen.org anbietet, glaubt an das Gute im Menschen und die hohe Qualifikation der IT-Beschäftigten. Doch ob dieser wirklich den Passwort-Hash anstelle des Klartext-Passworts in seinem System hinterlegt hat, steht in den Sternen. Denn bis heute hat es sich vielerorts noch nicht herumgesprochen, dass Passwörter niemals im Klartext, sondern nur als Hash-Werte abgelegt werden dürfen. Und auch beim Schutz der Hash-Werte vor fremden, externen Zugriffe kann man viele Fehler machen. Zu solchen unbeabsichtigten Schwachstellen kann sich noch Bösartigkeit gesellen. Was ist, wenn Hintertupfingen.org ohnehin nur eine Phishing-Site ist, die den Zweck verfolgt, Passwörter zu ergaunern?

Abbildung 1: Gute Passwörter lassen sich unter Linux mit dem Programm pwgen erzeugen.

Der Mensch ist bequem und da es ohne Gehirnjogging nicht trivial ist, sich zwanzig Passwörter für zwanzig unterschiedliche Websites zu merken, erscheint das Risiko auf einen Phisher zu stoßen, tolerierbar und die Wiederverwertung eines Passworts probat. Spätestens wenn clevere Zeitgenossen gute Passwörter mit Hilfe des Programms »pwgen« (siehe Abbildung 1) erzeugen, wird man nicht umhin können, die jeweiligen Passwörter aufzuschreiben.

Passwortspeicher

Alternativ zum "Zettel unter der Schreibtischunterlage" oder "Zettel im Portemonnaie" gibt es den "Zettel im Computer" alias Passwortmanager (siehe Kasten "Passwort-Manager"). Bei Verwendung eines Passwortmanagers merken der Anwender sich nur noch ein Masterpasswort, mit dem sämtliche übrigen Passwörter verschlüsselt im System abgelegt sind. Doch neben den sicherheitsrelevanten Nachteilen gibt es auch bei der Anwendung Schwierigkeiten: Wer im Urlaub am Hotel-PC nach dem Passwort des Mailkontos gefragt werden, wird den auf dem heimischen PC installierten Passwortmanager schmerzlich vermissen.

Es gibt aber noch eine einfache Möglichkeit, mit der sich gute, also schwer zu knackende oder zu erratende Online-Passwörter bilden lassen. Dazu ist ein Passwortkern nötig – was so etwas wie ein Masterpasswort ist –, den Namen der Domain, für die das Passwort gedacht ist, und schließlich noch einen selbst zu kreierenden Algorithmus. Der Clou des Verfahrens – die Praxistauglichkeit – besteht darin, dass man sich nur den Algorithmus und den Passwortkern merken muss und mit diesen beiden Geheimnissen ein individuelles Passwort einfach bilden kann.

Das Grundprinzip sieht vor, den Passwortkern mit Hilfe des Domainnamens zu individualisieren. Da bei einer einfachen Kombination der beiden Teile das Bildungsprinzip offensichtlich wäre, soll der Domainnamen mit einer bereits im alten Rom bekannten Technik verschleiert werden: Bei der so genannten Cäsar-Verschiebung hat Gaius Julius Cäsar die einzelnen Buchstaben seiner Geheimnachrichten durch nachfolgende Buchstaben ersetzt. Während Cäsar grundsätzlich den 13. Nachfolger gewählt hat (man spricht von ROT+13), nehmen Sie beispielsweise den einfacher und im Kopf zu handhabenden Fall des direkten Nachfolgers (ROT+1) oder auch des direkten Vorgängers (ROT-1). So wird aus dem Domainnamen »linux-magazin« dann »mjovy-nbhbajo« (aus »l« wird »m« und aus »i« wird »j« ) und aus »amazon« wird »bnbapo« .

Um ein zur Domain gehörendes Passwort zu bilden, nehmen Sie die ersten drei und die letzten drei Buchstaben des nach Cäsar modifizierten Domainnamens. Dazwischen setzen Sie den Passwortkern. Um auf eine ausreichende Gesamtlänge des Passwortes zu kommen, besteht der Passwortkern sinnvollerweise aus insgesamt sechs Ziffern, beispielsweise der Handy-PIN plus zwei Sonderzeichen: »12..34« . Schreibt man den ersten Buchstaben des Domainnamens auch noch groß, ist auch die Forderung nach Groß- und Kleinschreibung erfüllt. Das Loginpasswort für den Amazon-Zugang würde gemäß diesem Schema also folgendermaßen »Bnb12..34apo« lauten. Für das Ebay-Login ergibt sich »Fcb12..34cbz« und für Flickr »Gmj12..34dls« . Mit ein wenig Übung gelingt die ROT+1-Umsetzung recht zügig, wobei es sehr praktisch und hilfreich ist, im Browser die umzusetzenden Buchstaben des Domainnamens im Adressfeld vor Augen zu haben.

Das mit einem solchen Algorithmus gebildete Passwort steht sicher in keinem Wörterbuch, erfüllt sämtliche Forderungen an ein gutes Passwort und hat mit 12 Zeichen auch eine ausreichende Länge. Allerdings ist und bleibt es wichtig, dass der von Ihnen gewählte Algorithmus geheim bleibt. Denken Sie sich also ein eigenes Verfahren aus! Dazu gibt es glücklicherweise beinahe unendlich viele Möglichkeiten. Nehmen Sie beispielsweise den Domainnamen rückwärts, verdrehen Sie benachbarte Buchstaben oder nehmen Sie einfach immer nur jeden zweiten Buchstaben. Sie können auch anstelle der ROT+1 eine ROT+2 oder eine ROT-1 wählen. Ebenso wirkungsvoll ist es, nur jeden zweiten Buchstaben nach Cäsars Methode zu verschlüsseln oder vor dem Passwortkern zwei und nach dem Passwortkern vier Ziffern zu wählen. Sollte im Domainname ein Vokal vorkommen, ersetzen Sie ihn einfach durch eine Zahl: a=1, e=2, i=3, o=4 und u=5. Wichtig bei Ihrer Wahl ist, dass der Algorithmus eindeutig und vor allem schnell und leicht im Kopf abzuarbeiten ist.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018