Inhalt
Menü

Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>

Die Balance wahren

Geschrieben: 09.02.2024
Letzte Überarbeitung: 22.01.2025
Stichwörter: Kennwörter, Sicherheit mit Bedienbarkeit

Leicht zu leben ohne Leichtsinn,
heiter zu sein ohne Ausgelassenheit,
Mut zu haben ohne Übermut,
Vertrauen und freudige Ergebung zu zeigen
ohne türkischen Fatalismus,
– das ist die Kunst des Lebens.

Diese Empfehlung gab uns Theodor Fontane vor mehr als 150 Jahren.1 Mir geht es darum, genau diese Kunst im Bereich der Cybersicherheit zu pflegen. Sich nicht von Sorgen zerfressen lassen, aber dabei nicht leichtsinnig werden, praktikable Wege zu gehen, die uns vor Cyberbedrohungen gut schützen, aber den Aufwand dafür in Grenzen halten.

Wir kommen in einer Zeit, in der die drei Präsidenten der mächtigsten Staaten der Welt territoriale Ansprüche auf andere Staaten stellen und einer von Ihnen bereits Krieg führt und die beiden anderen erklären, dass sie militärische Aktionen nicht ausschließen, und die moderne Kriegsführung mit hybriden Mitteln (auch in der Cyberwelt) begleitet und vorbereitet wird2, nicht umhin, einigen Aufwand für die Cybersicherheit zu treiben.3

Diesen Aufwand kann man aber gut begrenzen, indem man

  • erst gut überlegt und dann handelt,
  • sich dafür aber nicht soviel Zeit lässt, bis es zu spät ist,
  • lieber ausreichende Vorsorge betreibt, als später wesentlich mehr Zeit und Geld für die Schadensbehebung aufzuwenden,
  • kluge Strategien anwendet, die viel erreichen ohne allzuviel zu kosten,
  • die größten Risiken identifiziert und
  • dann bei ihnen zeitnah ansetzt.

Tatsächlich liegt meist das größte Risiko für die Cybersicherheit im Umgang mit Kennwörtern.4

Genug des Vorworts, kommen wir gleich zur Sache, denn zur Balance und Lebenskunst gehört auch, selbst bei größer Gefahr nicht zu verzweifeln, sondern ins Handeln zu kommen.5

Meine Empfehlung für zu merkende Kennwörter ...

... ist, pseudozufällige Passwörter anhand von kreativ entwickelten Geschichten zu entwickeln und in der Regel6 auf eine Stärke von 128 Bit zu achten.7

Diese Empfehlung ist durchaus durchdacht. Mir ist schon klar, dass sie eine Zumutung darstellt. Aber mir erscheint dies, die beste Möglichkeit zu sein, im digitalen Bereich eine Sicherheit zu erreichen, die z. B. auch staatlichen Geheimdiensten Widerstand leistet.8

Es gibt immer Alternativen!

Im Gegensatz zu Politiker*innen, die häufig ihre Meinung als alternativlos hinstellen, oder die äußern, dass ihnen die Phantasie fehle, sich etwas anderes vorzustellen9, bin ich der Meinung, dass es durchaus andere begründete Meinungen als meine eigene gibt. Man braucht ja nur leicht andere Einschätzungen oder Ziele zugrunde legen.

Auch wenn die Sicherheit bei der Verwaltung von Geheimnissen im Vordergrund steht, so ist doch die Brauchbarkeit ein ebenbürtiger Aspekt. Ist das Verfahren nicht brauchbar, nützt die ganze Sicherheit nichts. Ist es völlig unsicher, nützt es wohl kaum, von Brauchbarkeit zu sprechen. Deshalb gilt es, die Balance zwischen beiden Aspekten zu wahren und gute Kompromisse zu finden.

Je nach benutzender Person könnten solche Kompromisse anders ausfallen. Der Kompromiss "pseudozufällige Kennwörter mit 128 Bit Stärke", den ich persönlich bevorzuge, mag z. B. für die eine zu unsicher sein (da pseudozufällig und nicht echt zufällig) und für die andere zu wenig brauchbar (da nur mit viel Kreativität und Mühe erreichbar) sein.

Daher will ich einige (die meiner Meinung nach wichtigsten) Alternativen besprechen und versuchen, herauszufinden, was sie für Konsequenzen hätten. Wenn man diese tragen will, dann dürften solche Alternativen durchaus Sinn machen. Wenn nicht, so weiß man jedenfalls besser, warum man sie nicht wählen will.

Alternative: Geringere Passwortstärke wählen ...

... bei Internet-Logins

Man muss einem Internetdienst ja ohnehin bis zu einem bestimmten Grad vertrauen. Anderenfalls sollte man mit diesem überhaupt nicht kommunizieren. Selbst bei clientseitiger Verschlüsselung (angebliche "Zero-Knowledge"-Technologie10) ist Vertrauen nötig. Denn wäre der Dienst bösartig, könnte er einfach die JavaScripts so verändern, dass diese doch die Klartext-Informationen an den Server weiterleiten.11

Wenn man einem Internetdienst zutraut, dass er die Serverdaten zuverlässig vor fremdem Zugriff schützt, so sind für die Passwortstärke keineswegs 128 Bit erforderlich, sondern weitaus weniger. Denn selbst Botnets können nur in weitaus geringerer Frequenz Kennwörter auf einem Internet-Account ausprobieren, als dies bei abgegriffenen Kennwortdaten mit Offline-Angriffen der Fall ist.

Das Problem ist nur, dass es selbst bei renommierten Unternehmen wie Microsoft®12, GoDaddy®12 und LastPass12 Dateneinbrüche gegeben hat.13 (Bei LastPass waren allerdings dabei gravierende Sicherheitsmängel offenbar geworden. Vielleicht gab es solche auch bei den anderen beiden Unternehmen? Dann könnte man vielleicht annehmen, dass bestimmte, vielleicht kleinere Unternehmen einen effektiveren Schutz bewerkstelligen. (Ich persönlich würde jedoch eine solche Annahme ohne klare Hinweise, dass es wirklich so ist, lieber nicht treffen.)

Aber man kann natürlich recherchieren, wie viele Sicherheitsvorfälle es bei einem bestimmten Dienst (und anderen Diensten, bei denen ähnliche Sicherheitsstandards gelten) in den letzten Jahren gegeben hat14 und daraus eine Risikoabschätzung ableiten.

Bevor man bei Internet-Logins mit weniger als 128-Bit für die Stärke der Kennwörter zufrieden gib, sollte man sich aber vergegenwärtigen, dass starke Kennwörter kaum Aufwand bedeuten: Sie müssen nicht merkbar sein. Man kann sie vom Browser generieren und speichern und auch automatisch in Anmeldeformulare eintragen lassen. Und mindestens beim Firefox-Browser werden diese auch sicher mit dem Hauptpasswort (auf Desktop-Computern) oder mit dem Anmeldekennwort (über ein Security-Device auf iOS12 und Android12) verschlüsselt.

Der Aufwand für starke Kennwörter im Internet ist also vor allem einmalig. Bei Firefox allerdings müsste man auf Desktops und Laptops nach jedem Start des Browsers das Hauptkennwort eingeben. Wenn man das gleiche Kennwort wie für die Anmeldung am Rechner verwendet, wäre das aber zumindest für 10-Fingerschreiber*innen nicht sehr schlimm.

... bei lokalen Geräten und Passwortmanagern

In diesem Fall (der durchaus schwieriger als der der Internet-Kennwörter ist, da hier merkbare Kennwörter erforderlich sind) hat die Nutzer*in immerhin selbst die Möglichkeit, auf die installierte Hardware aufzupassen und Unbefugten den Zugang zu verwehren. Ohne Zugang15 kommen Angreifer*innen weder an die Kennwörter noch an die damit geschützten Daten.

Man sollte dann

  • Bei Verlassen des Arbeitsplatzes bei angemeldeter Sitzung diese immer sperren (oder zumindest ein Timeout für automatische Sperrung festlegen) und
  • bei Verschrottung der Geräte die Platte sicher und komplett löschen oder physikalisch (z. B. durch Bohrmaschine oder Hammer) zerstören.

D. h. das Kennwort würde nur als letzte Hürde dienen, um die Daten zu schützen. Falls das Kennwort schwach gewählt ist, hält diese Hürde allerdings gegenüber Profis, die doch Daten abgreifen konnten, nicht stand.

... Risikobereitschaft vorausgesetzt

Eine gewisse Risikobereitschaft ist allerdings bei reduzierter Passwortstärke Voraussetzung. Doch beinhaltet das Fehlen der digitialen Risikobereitschaft auch ein Risiko, da dies ja Aufwände bedeutet. Man muss also abwägen. Es gilt: Der zu leichtsinnige Hase wird wohl vom Fuchs gefressen. Der zu ängstliche Hase kann aber verhungern.

In dem Blog-Artikel "Die Mathematik der Passwortstärke" wird ja durchaus erklärt, warum auch Kennwörter, die keine 128 Bit an Stärke besitzen, derzeit nicht immer geknackt werden. (Es ist halt für Hacker*innen oft profitabler, nur die leicht zu knackenden Kennwörter abzusahnen, als die mittelstarken mit aller Gewalt zu knacken.) Aber man läuft natürlich Gefahr, dass es eine*n dann bloß später erwischt. Wenn man dieses Risiko eingehen mag, warum nicht? Für eine begrenzte Übergangzeit (z. B. bis man ein 128-Bit starkes Kennwort den Fingern16 beigebracht hat) halte ich dieses Risiko ohnehin für vertretbar.

... oder man rechnet genau nach

Die 128 Bit sind recht grob übernommen von den NIST-Empfehlungen für uneingeschränkte empfohlene Verschlüsselungs- und Hash-Algorithmen. Nun verlangen die NIST-Empfehlungen bis 2030 streng genommen nur 118 Bit, und es werden 128 Bit erst ab 2030 verlangt, und selbst dann gibt es noch Ausnahmen, bei denen 118 Bit erlaubt sind.

Man kann sich jetzt damit beschäftigen, ob diese 10 Bit geringere Stärke nicht auch für Kennwörter im Bereich Geräte und Hauptpasswörter bei Browsern und Passwortmanagern ausreichend sind. Sind die Übergangsregeln für 118-Bit-Algorithmen nur Kompromisse, die das NIST bezüglich der Weiterverwendung von schon im Einsatz befindlicher Software eingegangen ist, oder hält das NIST tatsächlich 118 Bit für sicher bis 2030? Muss man tatsächlich die Sicherheitsstärken für alle Algorithmen (symmetrische und asymmetrische Verschlüsselung und auch Hash-Algorithmen) und auch die Kennwortstärke gleich wählen?17

Wenn man weiß, welche Schlüsselstreckung ein Browser oder ein Gerät bei der Anmeldung vornimmt, kommt man vielleicht auch damit auf eine noch etwas geringere notwendige Kennwortstärke.

Mir erschien der Aufwand, die obigen Fragen sicher zu ergründen, allerdings zu hoch. Ich halte es für einfacher, ein längeres Kennwort zu erlernen, als der Sicherheit eines kürzeren Passworts nachzugehen, die ohnehin in sechs Jahren obsolet ist. Aber andere mögen das vielleicht anders sehen.

Echt zufällige Kennwörter für Geräte und Passwortmanager wählen?

Pseudozufällige Kennwörter zu entwickeln ist nicht jedes Menschen Sache. Dazu braucht es Kreativität, Geduld und ein Gefühl dafür, ob ein Kennwort aus der Sicht der Hacker*in wirklich zufällig erscheint.

Es kommt nun noch die Entwicklung der KI hinzu. Wie lange wird es brauchen, bis KI-basierte Hack-Software in der Lage ist, von möglichen Kennwörtern diejenigen auszusortieren, die vermutlich nie verwendet werden, weil sie Menschen als zu kryptisch und auch sonst als sehr schwer merkbar erscheinen. Eine typische Merkstrategie ist z. B., einen Satz auswendig zu lernen und von den Wörtern nur die Anfangsbuchstaben zu verwenden. Aber haben solche Kennwörter nicht eine bestimmte Häufigkeitsverteilung von Zeichen? Kommen Großbuchstaben nicht immer am Anfang und seltener in der Mitte vor? Benutzen Menschen nicht doch immer wieder die gleichen Verfremdungen, die dann von einer KI leicht berücksichtigt werden können? Ist es vielleicht nur nötig, eine KI mit der halben Milliarde bekannten bereits gehackten Kennwörtern zu trainieren, um auch uns als stark erscheinende Kennwörter doch durch diese KI hacken zu lassen?

Wollen wir tatsächlich den Hacker*innen diese Chance lassen?

Eine mögliche Alternative ist es, echt zufällige Kennwörer zu entwickeln. Bei diesen wäre man gewiss sicherer als mit meinem Vorschlag der pseudozufälligen Kennwörter.

Es gibt verschiedene Möglichkeiten:

  • Zufällige Kennwörter auswendig lernen
  • Passphrasen generieren und auswendig lernen
  • Passphrasen generieren und auswendig lernen und von diesen ein Kennwort ableiten (abgekürzte Passphrase), das schließlich die ursprüngliche Passphrase ersetzt.

Bei allen diesen (im Folgenden näher vorgestellten) Möglichkeiten gibt es, wie auch bei der Erstellung und Nutzung pseudozufälliger Kennwörter Vor- und Nachteile. Sie sind unterschiedlich in den Aspekten:

  • Wie aufwendig ist die Erstellung des Kennworts (bzw. der Passphrase)?
  • Wie aufwendig ist das Auswendiglernen?
  • Wie aufwendig ist später die regelmäßige Eingabe des Kennworts (bzw. der Passphrase)?
  • Bei echt zufälligen Kennwörtern oder Passphrasen stellt sich die Frage nach der Sicherheit gegen das Erraten nicht, aber bei pseudozufälligen Kennwörtern schon (s. o.).

Auch bei der Abwägung zwischen diesen vier Aspekten sollte man eine sinnvolle Balance finden. Betrachten wir daher die Möglichkeiten genauer:

Zufällige Kennwörter auswendig lernen

Also man generiert Kennwörter mit der gewünschten Entropie und lernt dieses auswendig. Es gibt auch für zufällig generierte (also sehr kryptische) Wörter Merkstrategien. Ich habe mich nur nicht damit beschäftigt, weil ich mir pseudozufällige Kennwörter leichter merken kann. Aber die Menschen sind verschieden. Ein echt zufälliges Kennwort wäre natürlich sicherer. Ein pseudo-zufälliges Kennwort könnte auch sicher sein, aber der Weg dahin erfordert Einiges an Kreativität und Einfühlungsvermögen in die Gedankenwelt der Hacker*innen. (Was macht ein Kennwort erratbar? Was durchkreuzt jegliche Erratbarkeit?)

Und eine KI könnte irgendwann Einfühlungvermögen in meine Gedankenwelt gewinnen und damit meine Durchkreuzungsstrategien ihrerseits durchkreuzen.

(Wie lang müsste ein echt zufälliges Kennwort sein? Will man 128 Bit Entropie, bräuchte man 22 Klein- und Großbuchstaben und Ziffern. Nimmt man alle ASCII-Sonderzeichen hinzu, braucht man 20 Zeichen. Nimmt man dagegen nur Ziffern und Kleinbuchstaben, sind es 25 Zeichen.)

Passphrasen generieren

Mit Hilfe eines Würfels und einer Diceware, d. h. einer Liste von einfachen Wörtern, die je einer Folge von ausgewürfelten Zahlen (je 1 bis 6) zugeordnet sind, lässt sich eine echt zufällige Folge von Wörtern erstellen. Z. B. liefert EFF's Short Wordlist 2.0 (mit eindeutigem Prefix) eine derartige Liste. Wenn dann vier Würfelergebnisse 4, 3, 4, 6 ergeben, so findet man in der Liste unter "4346" das Wort "molecule". Jedes so ermittelte Wort hat dann eine Entropie von 10,34 Bits.18 Für 128 Bits benötigt man 13 Worte, für 80 Bits sind es acht Worte.

Man kann jetzt daran gehen, diese Worte nach und nach auswendig zu lernen und auch mit den Fingern16 einzuüben. Hilfreich ist dabei, aus der Passphrase eine Geschichte zu entwickeln, die als Eselsbrücke dient.

Da die Eselsbrücke ja nicht eingegeben wird, sondern die Passphrase, brauchen wir die Entropie der Eselsbrücke gar nicht zu betrachten, sondern nur die der Passphrase und diese steht ja fest.

Was man allerdings nicht machen sollte, ist: Einfach so lange neue Passphrasen generieren, bis man eine hat, zu der man bequem eine passende Eselsbrücke findet. Das würde dann nämlich die Zufälligkeit des Endergebnisses einschränken und damit auch die Entropie verringern.19

Abgekürzte Passphrase (weiterhin merkbar)

Ein Problem einer Passphrase ist die lange Eintippzeit. (Passphrasen sind ja nur für notwendig einzutippende Kennwörter, wie bei der Geräte-Anmeldung, sinnvoll, da andere, z. B. Internet-Kennwörter, viel leichter über einen Passwortmanager generiert und per Copy/Paste – oder über den Passwortmanager des Browsers – eingegeben werden.)

Die oben genannte Wortliste der Electronic Frontier Foundation hat nun drei angenehme Eigenschaften:

  • Zum Einen ist jedes Wort der Wortliste in den ersten drei Zeichen eindeutig. D. h. diese ersten drei Buchstaben kann man als Abkürzung verwenden.
  • Zum Anderen sind die Wörter ausgeschrieben alle deutlich verschieden voneinander, so dass eine Verwechslung kaum möglich ist.
  • Bis auf ein Wort20 bestehen alle Wörter nur aus Kleinbuchstaben. Kleinbuchstaben lassen sich aber auch auf Smartphones bequem eingeben, da sie keine Umschalttasten verlangen.21

Was man (gestützt durch die Geschichte, die man als Eselbrücke entwicket hat) auswendig lernt, ist nach wie vor die komplette Passphrase. Was man aber eingibt, sind jeweils nur die ersten drei Buchstaben. D. h. man sagt sich im Stillen die Passphrase vor und tippt nur jeweils die Abkürzungen, d. h. jeweils die ersten drei Buchstaben, der Wörter.22

Diese Anfänge müssen natürlich korrekt geschrieben werden. Aber die Wortliste ist ja abrufbar und man kann im Zweifel immer die genaue Schreibung nachschlagen. Irgendwann hat man die Schreibung raus und die Finger haben sie ebenfalls gelernt.

Trennzeichen einfügen (oder auch nicht)

Wollte man eine starke Passphrase (also 13 Wörter) so braucht man für die Abkürzungen 39 Zeichen. (Für 80-Bit Entropie sind es immer noch acht Wörter und damit 24 Zeichen für die Abkürzung.) Doch, wenn man die Abkürzungen direkt hintereinander schreibt, könnte es ziemlich unübersichtlich werden. Aber von der Schreibung der langen IBAN her kennen wir, dass bereits das Einstreuen von Leerzeichen alle vier Ziffern viel bringt.

Da wir es hier mit dreibuchstabigen Abkürzungen zu tun haben, würde ich bevorzugen, abwechselnd nach den Abkürzungen der einzelnen Worte Punkte und Leerzeichen einzustreuen: Würden die Abkürzungen z. B.

abc, bcd, cde, efg, fgh, ghi, hij, ijk

(ich habe absichtlich Abkürzungen gewählt, die in der Wortliste gar nicht vorkommen23), so würde nach dem Einstreuen von Punken und Leerzeichen

abc.bcd cde.efg fgh.ghi hij.ijk

herauskommen.

Das ist nun schon übersichtlicher. Aber es spricht nichts dagegen, nach einiger Eingewöhnungszeit erst die Punkte herauszunehmen, so dass

abcbcd cdeefg fghghi hijijk

herauskommt, und man vielleicht es später sogar schafft, sicher auf

abcbcdcdeefgfghghihijijk

zu verkürzen, so dass man (im Beispiel bei 80 Bit Entropie für die Passphrase) schließlich nur 24 Zeichen für die Abkürzungen benötigt.

Weniger geht kaum. Bei starken Passphrasen (mind. 128 Bit) würde man sogar 39 Zeichen im Mininum für die kürzeste Abkürzungsvariante benötigen.

Der Vorteil wäre aber immer noch, dass zunächst eine merkbare Geschichte, daraus abgeleitet eine Passphrase, daraus wiederum abgeleitet die Abkürzungen (jeweils die ersten drei Buchstaben der Passphrasenworte) dahinter stehen.

D. h. etwas, was man sich durchaus merken kann, was die Finger einüben können, was gleichzeitig aber kalkulierbare Sicherheit bietet.

Unterschiedliche merkbare Kennwörter für jeden Zweck (Matrix von Teilgeheimnissen)

Für Benutzer*innen, die sich nur selten bei Web-Apps anmelden, empfehlen wir, dass sie die Kennwörter für den Browser ("Hauptpasswort"), key.matiq ("Hauptkennwort") und den Computer ("PIN" oder "Passwort") gleich wählen.

Irgendwann ist dieses Kennwort aber eingeübt, und es kommen auch noch andere Geräte hinzu, weitere zu merkende und einzutippende Kennwörter.

Dann kann es Sinn machen, ein System von verschiedenen Kennwörtern zu entwickeln mit gemeinsamen Teilen. Z. B. einem gemeinsamen langen Teil, der zunächst eingetippt wird. Dann einem Teil, der verschieden ist für jedes Gerät bzw. für die Cloud (PC, Laptop, Smartphone, Cloud) und dann einem Teil, der verschieden ist für jeden Zweck bzw. jede App (Anmeldung an das Gerät, Hauptpasswort für den Browser, Masterpasswort/Hauptkennwort für einen Passwortmanager, Passwort für eine Remote-Login-Sitzung, etc.)

Die Übersicht kann man ganz gut behalten, indem man die Teile z. B. in key.matiq als Teilgeheimnisse (Komplemente oder Komponenten24) implementiert.

Man kann zunächst den prinzipiellen Aufbau für alle einzutippenden Kennwörter gleich halten, und später kann man auch den Aufbau varieren, falls man ein gutes Gedächtnis hat,

Im Hinterkopf sollte man die Frage behalten: Was passiert, wenn eines der einzutippenden Kennwörter kompromittiert wird. Also z. B. ungewollt die PIN des PC doch an Microsoft geschickt wird. Wie sicher sind dann noch die anderen Kennwörter? Welchen Aufwand muss ich dann betreiben, um den Schaden gering zu halten? Und welchen Aufwand muss ich im Normalfall, also täglich betreiben? Wie wahrscheinlich ist es, dass der Bösfall eintritt?

Auch sollte man aufpassen, dass man das ganze System noch gut im Kopf behält:

  • Achten Sie darauf, dass Ihr System nicht allzu kompliziert wird.25
  • Alle Kennwortteile und auch der Aufbau sollten zum Erhalt des Trainingszustands regelmäßig den Fingern angeboten 16, zumindest aber vom Gedächtnis aufgerufen26, angeboten werden.
  • Und es sollte zumindest einen sicheren Notnagel geben, über den man z. B. noch in die key.matiq-Box hineinkommt, um nachzuschauen. (Auch wenn der PC kaputt, das Smartphone verloren gegangen, oder das Haus abgebrannt ist.)
  • Nicht alles auf einmal implementieren, sondern in ganz kleinen Schritten27, die man aber konsequent geht.
  • Sich so ein System zu entwickeln und auch wirklich zu praktizieren, ist schon hohe Kunst, bietet aber eine sehr hohe Sicherheit bei letztlich moderatem Gesamtaufwand.

Kombi von System (Matrix von Teilgeheimnissen) und Passphrasen

Man kann natürlich das eben besprochene System (Matrix von Teilgeheimnissen) auch mithilfe der zuvor besprochenen Passphrasen mit ihren Abkürzungen entwickeln. D. h. jedes Teilgeheimnis in dem System entspricht einer kurzen Passphrase (für die nur die Abkürzungen eingegeben werden). Die zusammengesetzten kurzen Passphrasen ergeben dann jeweils die vollständigen Passphrase (die man sich still aufsagt, um nur deren Abkürzungen als Passwort einzutippen).

Zu Ende gedacht erhält man damit ein System, bei dem man die Stärke der einzelnen Teilgeheimnisse (und damit auch der gesamten einzutippenden Kennwörter) gut kennt und damit auch die Risiken gut abschätzen kann.

Ich will keineswegs sagen, dass man sich solch ein System von heute auf morgen implementieren soll, aber es kann als Vision dienen, damit man weiß, in welche Richtung man die eigene Passwortsicherheit weiterentwickeln könnte, ohne dabei den Aufwand in unendliche Höhen zu treiben.

Sind 128 Bit Entropie auch zukünftig Stärke genug?

Ja, ich denke schon. Zwar werden Rechner immer noch immer schneller und damit steigen die Möglichkeiten der Hacker*innen, aber die Möglichkeiten der Gegenwehr steigen proportional. Das Zauberwort heißt: Schlüsselstreckung. Die Schlüsselstreckung verstärkt das Kennwort (genauer: den kryptografischen Hash, der von dem Kennwort abgeleitet und gespeichert wird) genauso sehr, wie die Hacker*innen schneller werden, Kennwörter zu entschlüsseln (genauer: aus den kryptographischen Hashes die dazu passenden Kennwörter zu ermitteln). So wird ein in zig Jahren zufällig gewähltes Kennwort mit 128 Bit Entropie dann immer noch so sicher sein, wie ein zufällig gewähltes 128-Bit-Kennwort von heute (weil das Kennwort in dieser fernen Zukunft mit stärkerer Schlüsselstreckung verschlüsselt werden wird).

Nur: Ein konkretes heute sicheres Kennwort könnte in einigen Jahrzehnten vielleicht nicht mehr ganz so sicher sein, wenn eine Hacker*in das verschlüsselte Kennwort heute abgreifen und dann Jahrzehnte liegen lassen kann, bevor sie sich dann an die Kryptoanalyse macht. Wer das berücksichtigen will, der*die sollte Kennwörter nicht über viele Jahrzehnte hin unverändert lassen, sondern in moderaten Abständen überarbeiten.

Manche Geheimnisse haben aber auch ein Verfallsdatum, d. h. nach einigen Jahrzehnten sind sie für niemand mehr interessant. Dann braucht man obige Überlegung nicht anzustellen.

Was wir aber wissen, ist in jedem Fall, dass die Passwörter nicht immer noch länger werden müssen, weil 128 Bit Entropie in jedem Fall reichen sollten.28

Risiken sauber gegeneinander abwägen

Die verschiedenen Risiken sollten Sie gegeneinander abwägen. Es gilt für jedes Einzelrisiko: Risiko gleich Eintrittswahrscheinlichkeit mal Schaden bzw. Aufwand. Der tägliche Aufwand (100 % Eintrittswahrscheinlichkeit) sollte auch nicht unterschätzt werden.29. Man muss eine Balance finden! Und damit kommen wir wieder zum Motto dieses Artikels.

Zwar kann man manche Faktoren für diese Abwägung auch ermitteln. Z. B. indem man die tatsächlichen Schäden von Cyberangriffen durch die Anzahl der ausgesetzten Personen teilt. Oder indem man die Zeiten, die man sich für die Passwortsicherheit nimmt, notiert.

Aber letztlich (nach der Betrachtung der verfügbaren Fakten) wird die Abwägung nicht rechnerisch, sondern gefühlsmäßig erfolgen. Die Evolution hat schließlich dafür gesorgt, dass unsere diesbezügliches Gefühle eine ganz gute Trefferrate haben.

Passphrasegeneratoren im Netz

Ich habe nach "passphrase generator" im Netz gesucht30 und zwar einige Generatoren gefunden, aber keiner davon hat

  • die verwendete Wortliste direkt zum Download angeboten, so dass man die Eigenschaften der Wortliste überprüfen könnte, oder z. B. mit Würfeln ohne jedes Risiko selbst eine Passphrase erwürfeln könnte, oder
  • die kurze Wortliste (2.0) der EFF genutzt, bei der die ersten drei Zeichen der Wörter eindeutig sind und die sich daher für Abkürzungen eignet, oder
  • Eine direkte Umsetzung der Passphrase in eine Abkürzung angezeigt.

Daher halte ich die derzeitigen bekannten Passwortgeneratoren für suboptimal. Man kann zwar mit ihnen Passphrasen mit definierter Stärke generieren, aber man erkauft die Stärke mit beträchtlichem Aufwand bei der täglichen Eingabe, der bei Verwendung der EFF-Liste doch sehr deutlich reduziert werden könnte.

Deshalb kann ich keine Empfehlung für einen dieser Generatoren geben, sondern wir werden selbst zu gegebener Zeit einen eigenen Passphrasengenerator basierend auf der kurzen Wortliste (2.0) der EFF implementieren.

Fazit

In diesem Artikel wurden viele Alternativen besprochen, mit denen man Risiken bezüglich der Passwortsicherheit begegnen kann. Ich habe zwar Preferenzen, die ich auch nicht verheimliche, aber letztlich muss jede*r selbst für sich entscheiden, was er für sich für sinnvoll hält. Es gibt da kein absolutes Ja oder Nein, sondern eher die Suche einer klugen Balance zwischen verschiedenen Ansätzen.

Auch wenn ich bislang eher für pseudozufällige Kennwörtern plädierte, so gibt es doch auch starke Argumente, Passphrasen zu bevorzugen. Die Wortliste der EFF macht es einfach, dafür auch Abkürzungen zu verwenden und weist damit einen Weg mit deutlich begrenztem Aufwand zu starken Kennwörtern zu kommen.

Dieser Weg sollte jedenfalls auch von key.matiq unterstützt werden. (Das wird wohl noch etwas dauern, aber wir sind dran.)

1) Quelle: Fontane, T., Briefe. An seine Frau, 21. Oktober 1868, siehe www.aphorismen.de: "Aphorismus zum Thema Lebenskunst".

2) Das gilt auch für eine Reihe von Territorialmächten, insbesondere für die im Nahostkonflikt agierenden.

3) Bitte nicht falsch verstehen: Die Kriegsgefahren sind natürlich für sich genommen viel höher als Cyberbedrohungen zu bewerten. Aber beide Bedrohungen hängen ja miteinander zusammen:
Es sieht z. B. so aus, dass die US-Präsidentschafts-Wahlen 2016 u. a. durch die E-Mail-Affäre, die auch durch ausländische Cyberangriffe befeuert wurde, entschieden wurde. Die Einschätzung der US-Geheimdienste war, dass mit großer Sicherheit der russische Präsident persönlich die Hack-Angriffe angeordnet hatte. Siehe Wikipedia "Hillery Clinton" (Abschnitte "E-Mail Affäre" und "mögliche Einflussnahmen auf die Wahl").
Wenn das stimmt, war der Ausgang der US-Wahl zweifellos ein großer Erfolg für ihn, der ihn durchaus mit ermutigt haben kann, sechs Jahre später den Russisch-Ukrainischen Krieg durch die Entscheidung zum Überfall im Februar 2022 zu eskalieren. Siehe Wikipedia "Russischer Überfall auf die Ukraine seit 2022".

4) Kryptografische Algorithmen werden heutzutage öffentlich diskutiert (siehe Wikipedia "Kerckhoffs' Prinzip") und kryptografische Schlüssel mittels echten Zufallszahlengeneratoren generiert. Auch andere Kernelemente der Cybersicherheit werden öffentlich von Profis diskutiert und kontrolliert. An solchen Stellen sind also die Risiken vergleichsweise gering einzuschätzen.
Nur bei den Passwörtern gibt die Schwierigkeit, dass man ja den Menschen nicht über die Schulter schauen sollte, wenn sie ihre Kennwörter eingeben, dass aber genau dies erforderlich wäre, um sie diesbezüglich gut zu trainieren. Außerdem ist die menschliche Merkfähigkeit begrenzt und die Menschen, die Passwörter eingeben, sind meist Laien. Und schließlich kommt man an Passwörtern in der Kryptographie nicht vorbei: Alle permanenten kryptographischen Schlüssel (und damit auch alle von diesen verschlüsselten Geheimnisse) müssen von (durch Menschen auswendig gelernten) Passwörtern abgeleitet werden, damit sie nach einem Kaltstart des Systems, auf dem sie (verschlüsselt) gespeichert wurden, wieder nutzbar abgerufen werden können.
Die einzige denkbare Ausnahme wäre, dass es gar keinen kompletten Kaltstart gäbe, d. h. dass es ein System von vielen verteilten Computern gäbe, die sich gegenseitig als Backup dienen würden. Allerdings ist es schwer vorstellbar, dass ein derartiges System zugleich sicher vor dem Verlust von Daten wie auch vor der Ausspähung wäre.
Deshalb ist es zumindest derzeit31 in der Regel sinnvoller, Techniken für starke, menschlich merkbare Kennwörter zu zu entwickeln.

5) Es gibt neben Kriegen und Kriegsgefahren ja noch eine viel größere Bedrohung für die Menschheit: Die Klimakrise bzw. die drohende Klimakatastrophe. Und da gibt es durchaus Menschen, die anstatt zu verzweifeln, sich darauf konzentrieren, zu handeln (siehe www.psy4f.org: "Klimagefühle – Wie wir an der Umweltkrise wachsen statt zu verzweifeln"). Davon kann man auch für unser vergleichsweise kleines Thema lernen.

6) Eine Ausnahme bilden z. B. PINs von Chipkarten, da hier der Schutz durch die Selbstzerstörung nach einer Anzahl Fehlversuchen gewährleistet wird.
Eine andere Ausnahme bilden z. B. Zahlenschlösser, weil hier eine Vielzahl langsamer manueller Versuche (unter dem Risiko des in flagranti erwischt Werdens) oft bereits einen ausreichenden Schutz ermöglicht, und die Erhöhung des Schutzes normalerweise einen Austausch der Hardware (des Schlosses oder gleich des ganzen Tresors) voraussetzt.

7) Siehe den Blog-Artikel "Das gute Kennwort".

8) Die Enthüllungen von Edward Snowden sollten wir nicht vergessen. Offenbar sammelt die NSA in großem Stil nach wie vor Daten über die gesamte Weltbevölkerung, die bei Bedarf dazu dienen können, Dossiers über beliebige ins Visier geratene Personen zu erstellen. Was wissen wir, wer z. B. in Zukunft Präsident*in der USA wird? Und was es bedeuten wird, wenn diese dann Zugriff auf diese Daten hat?

9) Ich habe den Verdacht, dass diesbezügliche Äußerungen gar nicht auf Fantasielosigkeit zurückzuführen sind, sondern eher das Ziel verfolgen, die Kritik anderer niederzureden.

10) Siehe Glossar "Zero-Knowledge-Server".

11) Es ist nicht einmal Bösartigkeit erforderlich. LastPass12 hatte z. B. von "Zero-Knowledge" gesprochen, obwohl sie ganz bewusst Begleitdaten im Klartext auf dem Server abgespeichert hatten. (Ohne dass sie dies kenntlich machten oder es für die Nutzer*innen einen Vorteil brachte.) Es war einfach eine Lüge, nicht um ihre Kund*innen zu bestehlen, sondern um sich Aufwand zu ersparen und um den Eindruck zu erwecken, dass sie wenigstens so sicher seien, wie ihre Konkurrenz. Das sollte man zwar nicht gerade "bösartig" nennen (denn sie haben ihren Kund*innen ja nicht absichtlich geschadet), aber natürlich haben sie damit ihre Kund*innen schwer hintergangen (und haben jenen grob fahrlässig geschadet).

12) Hinweise zu Marken Drit­ter:
"DuckDuckGo" scheint eine Marke der duckduckgo.com oder von Gabriel Weinberg zu sein.
"GoDaddy" ist eine eingetragene Marke der GoDaddy Operating Company, LLC. Inc.
"Android" ist eine Marke der Google LLC.
"LastPass" ist eine Marke oder registrierte Marke von LastPass US LP in den U. S. und anderen Ländern.
"Microsoft" ist eine eingetragene Marke der Microsoft Corporation in den USA und/oder anderen Ländern.
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.

13) Siehe die Blog-Artikel "Unsichere Zeiten" und "Sicherheitsbresche bei LastPass".

14) Im EU-Raum sind durch die DSGVO Unternehmen verpflichtet, ihre Kund*innen über sie betreffende Sicherheitsvorfälle unverzüglich zu unterrichten.

15) "Zugang" heißt hier nicht nur "physikalischer Zugang". Ein Virenscanner kann in der Regel ebenfalls alle Daten des Rechners lesen. (Sonst könnte er seine Aufgabe schlecht erfüllen). Daher muss man dem Scanner, bzw. dessen Hersteller schon vertrauen.

16) Siehe auch den Blog-Artikel "Das Gedächtnis der Finger".

17) Die verschiedenen Algorithmen unterscheiden sich in der Zeitdauer. Eine Hash-Berechnung mit SHA-256 dauert (auf unserem Server) ungefähr doppelt solange wie eine AES-Entschlüsselung, eine RSA-Entschlüsselung ungefähr 1000 mal so lang. Dementsprechend könnte man wohl beim Hashing mit SHA-256 wohl ein Bit weniger an Sicherheitsstärke (bei RSA-Schlüsseln sogar 10 Bits weniger an Stärke) verantworten. Aber das eine Bit, was man beim Hashing sparen könnte und was dann auf die nötige Kennwortstärke durchschlagen würde, macht den Kohl wohl auch nicht fett.

18) Mit jedem Würfelwurf haben wir knapp 2,6 Bit (der binäre Logarithmus von 6) gewonnen, mit jedem Wort sind das dann gut 10,3 Bit.

19) Man darf durchaus mal experimentell eine Phrase generieren, und diese dann hinterher verwerfen. Aber man sollte sich immer vorher entscheiden, was man mit der Passphrase machen will: Nehmen oder verwerfen. Und man sollte dann auch hinterher der Entscheidung folgen.
Falls man die Entscheidung vorher vergessen hat, sollte sie – streng genommen – "verwerfen" lauten.
Ganz so ernst muss man das aber nicht nehmen, solange man diesem Punkt nicht extensiv zuwiderläuft. Denn so genau ist die geforderte Entropie ja ohnehin nicht gewählt. (Wer es aber wissen möchte: Bei jeder Verdoppelung der Versuche, aus denen man nach Vorlieben auswählt, verliert man genau ein Bit Entropie.)

20) Es stört nur beim Wort "yo-yo" der Bindestrich, da man auf einem Smartphone dafür zwei Tasten, statt nur einer betätigen müsste. Wer damit ein Problem hat, kann aber einfach statt des Bindestrichs ein "x" schreiben. Also "yoxyo" statt "yo-yo". Und bei der Abkürzung "yox" statt "yo-".
Als Eselsbrücke könnte dafür mit etwas Fantasie "ungewollter Bindestrich" (oder " / ") dienen:
Man will den Bindestrich nicht haben, und der lässt sich am leichtesten mit einem Querstrich durchstreichen und raus kommt etwas, was wie (ein verdrehtes) "x" oder "+" aussieht. "+" will man aber auch nicht haben, weil es ja darum geht, Sonderzeichen auszuschließen, es bleibt also nur "x" übrig.
(Eselsbrücken dürfen ruhig schräg sein, sie müssen letztlich nur funktionieren!)

21) Ich habe festgestellt, dass bei echt zufällig gewählten Kennwörtern man auf einem Smartphone am meisten Stärke pro Tastendruck gewinnt, wenn man sich auf Kleinbuchstaben und Ziffern beschränkt. Die Vermeidung von Umschalttasten bringt da im Ergebnis mehr, als es der zusätzliche Entropiegewinn pro Zeichen würde, würde man Großbuchstaben und Sonderzeichen mit einschließen.

22) Die Intention der EFF war eigentlich eine andere: Die Eindeutigkeit der ersten drei Buchstaben sollten ermöglichen, eine Autovervollständigung der einzelnen Worte der Passphrase zu implementieren. Der deutliche Levenshtein-Abstand32, zwischen allen möglichen Wörtern sollte eine Autokorrektur ermöglichen. Doch wo sind diese schönen Eigenschaften implementiert? Mir ist das noch nicht über den Weg gelaufen.
Eine aktive Unterstützung für Passphrasen habe ich bislang nur bei IBM gesehen, allerdings auch nur minimal: In dem Mainframe-Betriebssystem z/OS wurde mit Passphrasen gerade mal ermöglicht, 100-Zeichen lange Zeichenketten einzugeben. Einen Passphrasen-Generator, der zufällig Worte einer Wortliste heraus benutzt, die Autovervollständiung von Abkürzungen, oder gar die Autokorrektur verschriebener Wörter sucht man dort vergebens.
Ich denke auch, dass es anders herum funktioniert: Wir werden bei Herstellern und Dienstleistern erst dann eine Bereitschaft sehen, Passphrasen aktiv zu unterstützenn, wenn Passphrasen auch wirklich eingesetzt werden.
Deshalb bringt es nichts, an die Geräte, Dienste und Programme, für die wir Passphrasen verwenden wollen, allzu hohe Anforderungen zu stellen. Die von mir vorstellte Vorgehensweise versucht deshalb, mit möglichst geringen Voraussetzungen auszukommen. Es reicht, wenn diese schön lange Passwortfelder (mindestens 51 Zeichen, damit eine abgekürzte Passphrase mit eingestreuten Trennzeichen, wie oben beschrieben, darin Platz hat) erlauben. Eine derartige (noch deutlich weitergehende) Empfehlung gibt das NIST bereits seit 2017. Zwar wird bei manchen Online-Diensten (insbesondere bei solchen, die aus der Rechenzentrumswelt kommen) diese Empfehlung noch ignoriert.33 Aber für Online-Dienste können wir auch Kennwörter verwenden, die generiert, aber wesentlich kürzer sind. (Da reichen bereits 22 alphanumerische Zeichen oder gar 20 Zeichen, wenn auch alle Sonderzeichen erlaubt sind, für 128 Bit Stärke).
Bei den wenigen Zwecken, für die merkbare Kennwörter nötig sind, werden heutzutage 31 in der Regel durchaus Passwortlängen von 51 Zeichen und mehr zugelassen.

23) Die Erfahrung zeigt, dass Beispiele von Passwörtern in Artikeln manchmal Leute verleiten, diese für eigene praktische Zwecke zu übernehmen. (Der Gedanke, der dahinter steckt, ist, dass oft offensichtliche Ostereier nicht leicht gefunden werden.) Und wenn etwas einen Menschen zu einem Fehler verleitet, dann kann das auch mehreren passieren. Deshalb ist die Gefahr, dass im Internet veröffentlichten Beispiele von Kennwörtern bei Hackversuchen erfolgreich ausprobiert werden, überhaupt nicht zu vernachlässigen.
Denn, auch wenn das mit den Ostereiern oft stimmt: Hacker*innen sind ja keine Laien, sondern kennen schon all die laienhaften Tricks ihrer Opfer.

24) Siehe die Blog-Artikel "Das Komplement-Konzept" und "Komponenten".

25) Ich stimme Ihnen zu, das klingt doch widersprüchlich: Ich führe viele in der Summe komplizierte Aspekte an und schreibe dann, Sie sollten es ihrerseits einfach halten. Aber ist es nicht besser, sich lieber einmal durch eine komplizierte Gemengelage an Aspekten zu arbeiten, um dann eine für eine*n selbst passende, genügend einfache Lösung für den täglichen Gebrauch zu finden, als es sich voreilig zu einfach zu machen und dann später darüber bös zu stolpern?

26) Also sich z. B. werktäglich die (durch dieses System zusammengesetzten) einzutippenden Passwörter ins Gedächtnis rufen, die man an diesem Tag nicht ohnehin eintippen muss.

27) Sollte das nicht der Fall sein, wäre dies in keinem Fall ein Fehler der Benutzer*in. Bei solch wichtigen Kennwörtern wie diejenigen, die man von Hand eingeben muss (Anmeldung auf Geräten, Öffnen verschlüsselter Platten, Anmeldung bei Passwortmanagern, sonstige Entschlüsselung verschlüsselter Geheimnisse), wäre es schon ein grober Fehler der Softwareentwickler*innen, sollten sie in Zukunft auf Schlüsselstreckung verzichten. Bei zumindest einem Browser (bei dem Hauptkennwort) und einem Betriebssystem (bei der Anmeldung), habe ich deutliche Hinweise darauf gefunden, dass das Kennwort gestreckt wird. Bei Passwortmanagern ist es ebenso schon seit längerem üblich.
Heute31 ist der positive Effekt der Schlüsselstreckung noch überschaubar und wird bei Online-Passwortmanagern durch die clientseitige Verschlüsselung noch großenteils aufgefressen. Deshalb vernachlässige ich ihn bei der Betrachtung, ob man vielleicht deshalb Kennwörter unterhalb von 128 Bit Stärke verwenden könnte. Aber für die Zukunft ist der Effekt der Schlüsselstreckung (dass er den negativen Effekt der von Hacker*innen genutzten steigenden Rechgeschwindigkeiten hinsichtlich der Passwortsicherheit wieder ausgleicht) ausgesprochen bedeutend.

28) Schreiben Sie sich die Schritte auf, die sie gehen wollen. Setzen Sie sich Termine (z. B. alle drei Monate), an die sie zuverlässig erinnert werden, an denen Sie überprüfen: Bin ich die bisherigen Schritte schon vollständig gegangen? Nur, Wenn ja, sollten Sie den nächstens Schritt wagen.

29) Siehe auch den Blog-Artikel "Risikominimierung".

30) Bei der Suche (am 22.01.2025) verwendete ich die Suchmaschine DuckDuckGo12.
In den ersten zehn Ergebnissen führten sechs von ihnen auf einen Passwortgenerator.
Von den vier Links zu Passphrasengeneratoren führten drei nur zu einem Generator und machten keine Angaben zur Wortliste oder gar zur Abkürzbarkeit von Worten.
Der "Passphrase Generator" von Daniel Stiner verweist zwar auf eine Tabelle von vielen Wortlisten (auch solche mit Abkürzungen, und auch auf seine Quellen). Aber ohne Quellenstudium kann man nicht ermitteln, welche Wortliste nun verwendet wird und ob (und wenn ja wie) man die generierte Passphrase abkürzen könnte, ohne Entropie zu verlieren.

31) Im Jahr 2025, dem Zeitpunkt der letzten Komplettüberprüfung dieses Artikels.

32) Die Levenshtein-Distanz misst die Unähnlichkeit von zwei Zeichenketten. Siehe Wikipedia "Levenshtein-Distanz".

33) Ich vermute, das hängt mit der historischen Sicherheitsarchitektur von Rechenzentren, die der einer mittelalterlichen Burg ähnelt, zusammen. Da schien es gar nicht vorstellbar zu sein, dass Hacker*innen von außen bis ins Innerste eines Rechenzentrums eindringen können und damit Kennwörter erbeuten können. Deshalb glaubte man, durch Sperren von Internetkonten nach einigen fehlerhaften Passworteingaben bereits genügend Passwortsicherheit getrieben zu haben.
Inzwischen wird die Sicherheitsproblematik von Rechenzentren allerdings anders gesehen, und der moderne Ansatz für die Sicherheit von Rechenzentren heißt "Zero-Trust". Das hängt wohl damit zusammen, dass, wie oben erwähnt, mittlerweile immer wieder auch große Firmen und Rechenzentren von außen erfolgreich gehackt wurden.
Dass die neue Sichtweise auch bedeuten sollte, dass von den Benutzer*innen nicht einfach Vertrauen in die Sicherheit der Rechenzentren abverlangt wird, sondern letzter auch den Nutzer*innen die Möglichkeit geben sollten, sich selbst vor den Konsequenzen eines Dateneinbruchs bei ihren Dienstleistern stärker zu schützen (z. B. durch längere Passwörter bzw. Passphrasen), mit einer solchen Einsicht tun sich die großen Firmen allerdings noch schwer.

>> Zurück zum Artikelverzeichnis >>

Inhalt
Menü