Es vergeht kaum ein Tag, an dem man sich nicht mit einem Passwort auf einer Seite im Internet einloggen muss. Bei der Erstellung eines Passwortes wird man stets zu höchster Sorgfalt aufgefordert, man soll verschiedene Zeichen und Zahlen verwenden, um eine Passwortsicherheit zu gewährleisten. Wozu eigentlich? Und wo genau liegen die Schwachstellen von Passwörtern bzw. die Stärken einer Passphrase? Und was hat es mit Diceware auf sich?
In diesem Artikel wollen wir ein Licht darauf werfen, warum man vom einfachen Passwort zur Passphrase wechseln sollte. Außerdem stellen wir das Prinzip von Diceware vor, mit dem man sich ganz einfach Passphrasen erstellen kann. Gerade für den Bereich Data Mining besitzen diese Themen eine große Beduetung. Darum wollen wir Ihnen in diesem Artikel einen Einblick dazu geben.
Wenn Sie sich näher mit dem Thema Passphrase befassen wollen, kontaktieren Sie doch einfach unsere Experten für eine professionelle Statistik Beratung.
Vom Passwort zur Passphrase
Wie eben erwähnt: Gerade für den Bereich Data Mining besitzen die Themen Passwortsicherheit und Datenschutz hohe Relevanz.
Werfen wir zu Beginn erstmal einen Blick auf das klassische Passwort. Dieses besteht hauptsächlich aus Buchstaben verschiedener Größe, Zahlen und Sonderzeichen. Es sind meistens so um die acht Zeichen. Im besten Fall sind die Zeichen vollkommen randomisiert gewählt. Da man aus 26 Buchstaben, zehn Ziffern und ca. 35 Sonderzeichen wählen kann, ergeben sich also viele verschiedene Möglichkeiten. Konkret sind es 15 Quadrillionen:
Das klingt doch eigentlich richtig gut, oder?
Um dieses Passwort zu knacken, könnte man jetzt herangehen und alle Möglichkeiten durchprobieren. Dieses Vorgehen nennt sich Brute Force Angriff. Um sich eine Vorstellung davon zu bilden: Einer der schnellsten Rechner der Welt könnte etwa 0.1 Quadrillionen Passwörter pro Sekunde ausprobieren. Das bedeutet er bräuchte etwa 52 Sekunden, um das Passwort zu knacken.
Natürlich hat der Hacker nicht Zugriff auf diesen Supercomputer, aber eine Hacking-Zeit von unter einer Stunde ist für besser ausgestattete Desktoplösungen durchaus realistisch.
Der Passphrase Generator
Die oben genannten Rechenbeispiele haben freilich einen zentralen Haken. Sie gehören von willkürlich gewählten Passwörtern aus. Und unsere Passwörter sind absolut nicht zufällig. Ein völlig randomisiertes Passwort aus acht Zeichen lässt sich schwer merken. Vor allem in einer Zeit, wo man für jede Webseite ein eigenes Passwort braucht.
Typische Passwörter bestehen meist aus einem alltäglichen Wort mit großem Buchstaben vorne sowie ein oder zwei angehängten Zahlen und Sonderzeichen. Hacker haben längst diese Algorithmen erkannt und schlaue Lösungsvorschriften entwickelt. Dies führt dazu, dass der Großteil aller Passwörter innerhalb von wenigen Sekunden gehackt ist. Und zwar auf ganz normalen Desktop PCs. Das heißt: Der Mensch selbst ist also die Schwachstelle im System.
Was ist eine Passphrase?
Eine Passphrase ist im Prinzip ein langes Passwort, dass aus mehreren (beispielsweise fünf) einzelnen Wörtern besteht. Dadurch lässt sie sich leicht merken und ist gleichzeitig auch recht lang, was bei einem Brute Force Angriff hilfreich ist. Die Wörter trennt man mit einem beliebigen Zeichen, zum Beispiel dem Unterstrich. Ein gutes Beispiel wäre zB:
senat_salut_latz_zirkon_minusDiese Wörter sind wesentlich einfacher zu merken, als acht völlig zufällige Zeichen und doch ist die Sicherheit der Passphrase wesentlich höher. Zur Verdeutlichung: Die Wörter wurden zufällig aus einer Liste mit 7.776 deutschen Wörter ausgewählt. Das entspricht 10^19 Möglichkeiten und sind damit wesentlich mehr, als beim Passwort oben.
Nachstehende Visualiserung versucht die jeweiligen Größenordnungen darzustellen, allerdings nicht maßstabsgetreu:
Äußerst wichtig ist hier die Zufälligkeit der ausgewählten Worte. Denn wenn ein Mensch die Wörter selbst wählt, so wird er automatisch zu gewissen Worten greifen. Diese grundlegende psychologische Prinzip können wir Menschen kaum umgehen. Damit erleichtern wir Hackern, wiederum gewisse Algorithmen zu trainieren, um gezielt spezifische Wortkombinationen zu probieren. Modernes Machine Learning macht diese Aufgabe sozusagen zum Klacks!
Wie hilft Diceware dabei?
Diceware ist nun eine Methode, die uns hilft, schnell eine sichere Passphrase zu entwickeln und damit Datenschutz- und Passwortsicherheit zu gewährleisten. Dafür gibt es Listen aus 7.776 ausgewählten Wörtern in verschiedenen Sprachen. (Die deutsche Version der Liste findet sich am Ende des Artikels.) Nun geht man an die folgenden Schritte:
- 1. Man wirft einen (sechsseitigen) Würfel fünfmal und notiert sich das Ergebnis. Beispiel: 3 – 3 – 2 – 6 – 2
- 2. Auf der Liste schaut man nun, welches Wort dieser Kombination entspricht. Für das genannte Würfelbeispiel: 33262 inhalt
- 3. Dies wird so lang wiederholt, bis man die gewünschte Länge an Worten hat und verbindet diese mit einem Sonderzeichen der eigenen Wahl. Zum Beispiel: inhalt_rotes_ahnt_wovon_meere
Diese Passphrase merkt man sich nun und vernichtet den Zettel, auf dem man sich die Notizen gemacht hat. Diceware ist dazu eine mögliche Herangehensweise. Man kann sich natürlich auch eine andere Vorgehensweisen überlegen, so lange man dabei bewusst versucht, eine Zufallsauswahl zu ‚kopieren‘. Beispielsweise könnte man jeweils das drittletzte Wort auf einer gewürfelten Seite seines Lieblingsromans nehmen.
Fazit: Passphrase und Passwortsicherheit
Zusammenfassend: Augen auf bei der Passphrase-Generatorwahl! Im Internet gibt es heutzutage umfassende Listen mit bereits bekannten und gehackten Passwörtern. Diese Listen machen ihr Passwort hackbar, selbst wenn Ihr Passwort nicht direkt darauf zu finden ist. Stellen Sie sicher, dass Ihre Daten nicht in Gefahr sind und verwenden Sie eine möglichst lange Passphrase. Und verwenden Sie eine Passphrase, wenn möglich, nie doppelt. So machen Sie es Hackern quasi unmöglich, auf ihre Konten zuzugreifen!
Wenn Sie sich im Detail mit den Hintergründen zu Passwortsicherheit auseinandersetzen wollen, so helfen wir gerne! Unsere Profis fürs Data Mining sind professionell geschult und zeigen Ihnen gerne wichtige Tipps und Tricks.
Nutzen Sie dazu einfach und unverbindlich unser schriftliches Anfrageformular. Wir unterstützen Sie gerne!
Weiterführende Links
- Diceware
- Brute Force Angriff
- deutsche Version der Liste für eine sichere Passphrase
- Listen mit gehackten Passwörtern