Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>

Merkbare Kennwörter – Die Balance wahren

Geschrieben: 09.02.2024
Letzte Überarbeitung: 15.04.2025
Stichwörter: Kennwörter, Sicherheit mit Bedienbarkeit

Leicht zu leben ohne Leichtsinn,
heiter zu sein ohne Ausgelassenheit,
Mut zu haben ohne Übermut,
Vertrauen und freudige Ergebung zu zeigen
ohne türkischen Fatalismus,
– das ist die Kunst des Lebens.

Diese Empfehlung gab uns Theodor Fontane vor mehr als 150 Jahren.1 Mir geht es darum, genau diese Kunst im Bereich der Cybersicherheit zu pflegen: Man sollte sich nicht von Sorgen zerfressen lassen, aber nicht leichtsinnig werden, sondern praktikable Wege gehen, die uns vor Cyberbedrohungen gut schützen, doch den nötigen Aufwand in Grenzen halten.

Wir leben in einer gefährlichen Zeit, in der die Cyberbedrohungen stark zunehmen2, und kommen deshalb nicht umhin, einigen Aufwand für die Cybersicherheit zu treiben.3

Diesen Aufwand kann man aber gut begrenzen, indem man

  • erst gut überlegt und dann handelt,
  • sich dafür aber nicht soviel Zeit lässt, bis es zu spät ist,
  • lieber ausreichende Vorsorge betreibt, als später wesentlich mehr Zeit und Geld für die Schadensbehebung aufzuwenden,
  • kluge Strategien anwendet, die viel erreichen ohne allzuviel zu kosten,
  • die größten Risiken identifiziert und
  • dann bei ihnen zeitnah ansetzt.

Tatsächlich liegt meist das größte Risiko für die Cybersicherheit im Umgang mit Kennwörtern.4

Genug des Vorworts, kommen wir zur Sache, denn zur Balance und Lebenskunst gehört auch, selbst bei größer Gefahr nicht zu verzweifeln, sondern ins Handeln zu kommen.5

Warum die Eingrenzung auf merkbare Kennwörter?

Kennwörter, die in Passwortmanagern (sei es in dem des Browsers, einem lokalen oder einem Online-Passwortmanager) gespeichert und bei Bedarf dort abgerufen werden können, können einfach in genügender Stärke (128 Bit Entropie) generiert und per Copy/Paste abgeholt werden. Die Länge und Komplexität des Kennworts behindert dabei nicht, da zwei Dutzend Zeichen auf diese Weise problemlos übertragen werden können. (Falls der Passwortmanager des Browsers benutzt wird, ist es noch einfacher, da dieser Anmeldeformulare automatisch ausfüllt.)

Aber man muss erst einmal dahin kommen, den Browser oder einen Passwortmanager benutzen zu können. D. h. man muss sich am Gerät anmelden, das Hauptkennwort für den Browser eingeben und/oder den Passwortmanager öffnen können. Diese Kennwörter müssen von Hand eingegeben werden, d. h. man sollte sie auswendig gelernt haben. Eine Speicherung in Papierform wäre keine gute Praxis.6

Bei diesen wenigen Kennwörtern ist also gut darauf zu achten, dass sie genügend stark sind (damit sie nicht gehackt werden können), andererseits man sie sich auch einprägen kann, um sich nicht selbst von den eigenen Daten auszusperren.

Meine Empfehlung für zu merkende Kennwörter ...

... ist, pseudozufällige Passwörter anhand von kreativ entwickelten Geschichten zu entwickeln und in der Regel7 auf eine Stärke von 128 Bit zu achten.8

Diese Empfehlung ist durchaus durchdacht. Mir ist schon klar, dass sie eine Zumutung darstellt. Aber mir erscheint dies, die beste Möglichkeit zu sein, im digitalen Bereich eine Sicherheit zu erreichen, die z. B. auch staatlichen Geheimdiensten Widerstand leistet.9

Es gibt immer Alternativen!

Im Gegensatz zu Politiker*innen, die häufig ihre Meinung als alternativlos hinstellen, oder die äußern, dass ihnen die Phantasie fehle, sich etwas anderes vorzustellen10, bin ich der Meinung, dass es durchaus andere begründete Meinungen als meine eigene gibt. Man braucht ja nur leicht andere Einschätzungen oder Ziele zugrunde legen.

Auch wenn die Sicherheit bei der Verwaltung von Geheimnissen im Vordergrund steht, so ist doch die Brauchbarkeit ein ebenbürtiger Aspekt. Ist das Verfahren nicht brauchbar, nützt die ganze Sicherheit nichts. Ist es völlig unsicher, nützt es wohl kaum, von Brauchbarkeit zu sprechen. Deshalb gilt es, die Balance zwischen beiden Aspekten zu wahren und gute Kompromisse zu finden.

Je nach benutzender Person könnten solche Kompromisse anders ausfallen. Der Kompromiss "pseudozufällige Kennwörter mit 128 Bit Stärke", den ich persönlich bevorzuge, mag z. B. für die eine zu unsicher sein (da pseudozufällig und nicht echt zufällig) und für die andere zu wenig brauchbar (da nur mit viel Kreativität und Mühe erreichbar) sein.

Daher will ich einige (die meiner Meinung nach wichtigsten) Alternativen besprechen und versuchen, herauszufinden, was sie für Konsequenzen hätten. Wenn man diese tragen will, dann dürften solche Alternativen durchaus Sinn machen. Wenn nicht, so weiß man jedenfalls besser, warum man sie nicht wählen will.

Alternative: Geringere Passwortstärke wählen ...

... bei Internet-Logins

Man muss einem Internetdienst ja ohnehin bis zu einem bestimmten Grad vertrauen. Anderenfalls sollte man mit diesem überhaupt nicht kommunizieren. Selbst bei clientseitiger Verschlüsselung (angebliche "Zero-Knowledge"-Technologie11) ist Vertrauen nötig. Denn wäre der Dienst bösartig, könnte er einfach die JavaScripts so verändern, dass diese doch die Klartext-Informationen an den Server weiterleiten.12

Wenn man einem Internetdienst zutraut, dass er die Serverdaten zuverlässig vor fremdem Zugriff schützt, so sind für die Passwortstärke keineswegs 128 Bit erforderlich, sondern weitaus weniger. Denn selbst Botnets können nur in weitaus geringerer Frequenz Kennwörter auf einem Internet-Account ausprobieren, als dies bei abgegriffenen Kennwortdaten mit Offline-Angriffen der Fall ist.

Das Problem ist nur, dass es selbst bei renommierten Unternehmen wie Microsoft®13, GoDaddy®13 und LastPass13 Dateneinbrüche gegeben hat.14 (Bei LastPass waren allerdings dabei gravierende Sicherheitsmängel offenbar geworden. Vielleicht gab es solche auch bei den anderen beiden Unternehmen? Dann könnte man vielleicht annehmen, dass bestimmte, vielleicht kleinere Unternehmen einen effektiveren Schutz bewerkstelligen. (Ich persönlich würde jedoch eine solche Annahme ohne klare Hinweise, dass es wirklich so ist, lieber nicht treffen.)

Aber man kann natürlich recherchieren, wie viele Sicherheitsvorfälle es bei einem bestimmten Dienst (und anderen Diensten, bei denen ähnliche Sicherheitsstandards gelten) in den letzten Jahren gegeben hat15 und daraus eine Risikoabschätzung ableiten.

Bevor man bei Internet-Logins mit weniger als 128-Bit für die Stärke der Kennwörter zufrieden gibt, sollte man sich aber vergegenwärtigen, dass starke Kennwörter kaum Aufwand bedeuten: Sie müssen nicht merkbar sein. Man kann sie vom Browser generieren und speichern und auch automatisch in Anmeldeformulare eintragen lassen. Und mindestens beim Firefox-Browser werden diese auch sicher mit dem Hauptpasswort (auf Desktop-Computern) oder mit dem Anmeldekennwort (über ein Security-Device auf iOS13 und Android13) verschlüsselt.

Der Aufwand für starke Kennwörter im Internet ist also vor allem einmalig. Bei Firefox allerdings müsste man auf Desktops und Laptops nach jedem Start des Browsers das Hauptkennwort eingeben. Wenn man das gleiche Kennwort wie für die Anmeldung am Rechner verwendet, wäre das aber zumindest für 10-Fingerschreiber*innen nicht sehr schlimm.

... bei lokalen Geräten und Passwortmanagern

In diesem Fall (der durchaus schwieriger als der der Internet-Kennwörter ist, da hier merkbare Kennwörter erforderlich sind) hat die Nutzer*in immerhin selbst die Möglichkeit, auf die installierte Hardware aufzupassen und Unbefugten den Zugang zu verwehren. Ohne Zugang16 kommen Angreifer*innen weder an die Kennwörter noch an die damit geschützten Daten.

Man sollte dann

  • Bei Verlassen des Arbeitsplatzes bei angemeldeter Sitzung diese immer sperren (oder zumindest ein Timeout für automatische Sperrung festlegen) und
  • bei Verschrottung der Geräte die Platte sicher und komplett löschen oder physikalisch (z. B. durch Bohrmaschine oder Hammer) zerstören.

D. h. das Kennwort würde nur als letzte Hürde dienen, um die Daten zu schützen. Falls das Kennwort schwach gewählt ist, hält diese Hürde allerdings gegenüber Profis, die doch Daten abgreifen konnten, nicht stand.

... Risikobereitschaft vorausgesetzt

Eine gewisse Risikobereitschaft ist allerdings bei reduzierter Passwortstärke Voraussetzung. Doch beinhaltet das Fehlen der digitialen Risikobereitschaft auch ein Risiko, da dies ja Aufwände bedeutet. Man muss also abwägen. Es gilt: Der zu leichtsinnige Hase wird wohl vom Fuchs gefressen. Der zu ängstliche Hase kann aber verhungern.

In dem Blog-Artikel "Die Mathematik der Passwortstärke" wird ja durchaus erklärt, warum auch Kennwörter, die keine 128 Bit an Stärke besitzen, derzeit nicht immer geknackt werden. (Es ist halt für Hacker*innen oft profitabler, nur die leicht zu knackenden Kennwörter abzusahnen, als die mittelstarken mit aller Gewalt zu knacken.) Aber man läuft natürlich Gefahr, dass es eine*n dann bloß später erwischt. Wenn man dieses Risiko eingehen mag, warum nicht? Für eine begrenzte Übergangzeit (z. B. bis man ein 128-Bit starkes Kennwort den Fingern17 beigebracht hat) halte ich dieses Risiko ohnehin für vertretbar.

... oder man rechnet genau nach

Die 128 Bit sind recht grob übernommen von den NIST-Empfehlungen für uneingeschränkte empfohlene Verschlüsselungs- und Hash-Algorithmen. Nun verlangen die NIST-Empfehlungen bis 2030 streng genommen nur 118 Bit, und es werden 128 Bit erst ab 2030 verlangt, und selbst dann gibt es noch Ausnahmen, bei denen 118 Bit erlaubt sind.

Man kann sich jetzt damit beschäftigen, ob diese 10 Bit geringere Stärke nicht auch für Kennwörter im Bereich Geräte und Hauptpasswörter bei Browsern und Passwortmanagern ausreichend sind. Sind die Übergangsregeln für 118-Bit-Algorithmen nur Kompromisse, die das NIST bezüglich der Weiterverwendung von schon im Einsatz befindlicher Software eingegangen ist, oder hält das NIST tatsächlich 118 Bit für sicher bis 2030? Muss man tatsächlich die Sicherheitsstärken für alle Algorithmen (symmetrische und asymmetrische Verschlüsselung und auch Hash-Algorithmen) und auch die Kennwortstärke gleich wählen?18

Wenn man weiß, welche Schlüsselstreckung ein Browser oder ein Gerät bei der Anmeldung vornimmt, kommt man vielleicht auch damit auf eine noch etwas geringere notwendige Kennwortstärke.

Mir erschien der Aufwand, die obigen Fragen sicher zu ergründen, allerdings zu hoch. Ich halte es für einfacher, ein längeres Kennwort zu erlernen, als der Sicherheit eines kürzeren Passworts nachzugehen, die ohnehin in sechs Jahren obsolet ist. Aber andere mögen das vielleicht anders sehen.

Echt zufällige Kennwörter für Geräte und Passwortmanager wählen?

Pseudozufällige Kennwörter zu entwickeln ist nicht jedes Menschen Sache. Dazu braucht es Kreativität, Geduld und ein Gefühl dafür, ob ein Kennwort aus der Sicht der Hacker*in wirklich zufällig erscheint.

Es kommt nun noch die Entwicklung der KI hinzu. Wie lange wird es brauchen, bis KI-basierte Hack-Software in der Lage ist, von möglichen Kennwörtern diejenigen auszusortieren, die vermutlich nie verwendet werden, weil sie Menschen als zu kryptisch und auch sonst als sehr schwer merkbar erscheinen. Eine typische Merkstrategie ist z. B., einen Satz auswendig zu lernen und von den Wörtern nur die Anfangsbuchstaben zu verwenden. Aber haben solche Kennwörter nicht eine bestimmte Häufigkeitsverteilung von Zeichen? Kommen Großbuchstaben nicht immer am Anfang und seltener in der Mitte vor? Benutzen Menschen nicht doch immer wieder die gleichen Verfremdungen, die dann von einer KI leicht berücksichtigt werden können? Ist es vielleicht nur nötig, eine KI mit der halben Milliarde bekannten bereits gehackten Kennwörtern zu trainieren, um auch uns als stark erscheinende Kennwörter doch durch diese KI hacken zu lassen?

Wollen wir tatsächlich den Hacker*innen diese Chance lassen?

Eine mögliche Alternative ist es, echt zufällige Kennwörer zu entwickeln. Bei diesen wäre man gewiss vor Ausspähung sicherer als mit meinem Vorschlag der pseudozufälligen Kennwörter.

Es gibt verschiedene Möglichkeiten:

  • Zufällige Kennwörter auswendig lernen
  • Passphrasen generieren und auswendig lernen
  • Passphrasen generieren und auswendig lernen und von diesen ein Kennwort ableiten (abgekürzte Passphrase), das schließlich die ursprüngliche Passphrase ersetzt.

Bei allen diesen (im Folgenden näher vorgestellten) Möglichkeiten gibt es, wie auch bei der Erstellung und Nutzung pseudozufälliger Kennwörter Vor- und Nachteile. Sie sind unterschiedlich in den Aspekten:

  • Wie aufwendig ist die Erstellung des Kennworts (bzw. der Passphrase)?
  • Wie aufwendig ist das Auswendiglernen?
  • Wie aufwendig ist später die regelmäßige Eingabe des Kennworts (bzw. der Passphrase)?
  • Bei echt zufälligen Kennwörtern oder Passphrasen stellt sich die Frage nach der Sicherheit gegen das Erraten nicht, aber bei pseudozufälligen Kennwörtern schon (s. o.).

Auch bei der Abwägung zwischen diesen vier Aspekten sollte man eine sinnvolle Balance finden. Betrachten wir daher die Möglichkeiten genauer:

Zufällige Kennwörter auswendig lernen

Also man generiert Kennwörter mit der gewünschten Entropie und lernt dieses auswendig. Es gibt auch für zufällig generierte (also sehr kryptische) Wörter Merkstrategien. Ich habe mich nur nicht damit beschäftigt, weil ich mir pseudozufällige Kennwörter leichter merken kann. Aber die Menschen sind verschieden. Ein echt zufälliges Kennwort wäre natürlich sicherer. Ein pseudo-zufälliges Kennwort könnte auch sicher sein, aber der Weg dahin erfordert Einiges an Kreativität und Einfühlungsvermögen in die Gedankenwelt der Hacker*innen. (Was macht ein Kennwort erratbar? Was durchkreuzt jegliche Erratbarkeit?)

Und eine KI könnte irgendwann Einfühlungvermögen in meine Gedankenwelt gewinnen und damit meine Durchkreuzungsstrategien ihrerseits durchkreuzen.

(Wie lang müsste ein echt zufälliges Kennwort sein? Will man 128 Bit Entropie, bräuchte man 22 Klein- und Großbuchstaben und Ziffern. Nimmt man alle ASCII-Sonderzeichen hinzu, braucht man 20 Zeichen. Nimmt man dagegen nur Ziffern und Kleinbuchstaben, sind es 25 Zeichen.)

Pseudozufällige Passwörter vs. Passphrasen

Der Vorteil von zufällig gewählten Passphrasen (und auch der von ihnen abgeleiteten Abkürzungen) ist, dass sie eine leicht und sicher berechenbare Stärke haben. Der Nachteil ist, dass sie mehr Eingabeaufwand im täglichen Gebrauch benötigen, als dies bei pseudozufälligen Kennwörtern gleicher (aber viel schwerer abschätzbaren) Stärke der Fall ist.

Dieser Nachteil lässt sich aber weitgehend reduzieren, wenn man Passphrasen aus der EFF Short Wordlist 2.0 generiert, da dort die Phrasenwörter in den ersten drei Buchstaben alle unterschiedlich sind und daher diese als Abkürzungen die Phrasenwörter ersetzen können. Damit lässt sich der dauerhafte Tippaufwand auf das 1,5-fache des theoretischen Minimums reduzieren, hält sich also in einem erträglichen Rahmen. Allerdings erfordert es Einarbeitung und Geduld, zunächst für die Phrasenwörter eine Eselsbrücke zu erdenken, dann damit die Phrasenwörter zu lernen und einzuüben und schließlich nach und nach durch deren Abkürzungen zu ersetzen.

Wie das geht, wird ausführlich im Blog-Artikel "Passphrasen 2.0?" beschrieben.

Der Vorteil von pseudozufälligen Passwörtern ist, dass hier viel mehr Freiheit besteht und man die Passwörter so wählen kann, dass sie Entropie fast so dicht verpacken können, wie dies ein Passwortgenerator vermag.19 Der Nachteil ist aber, dass dies ein hohes Können voraussetzt, ein Gefühl dafür, was wirklich originell ist, und mit welcher Originalität man sich nur selbst täuscht. (Man muss sehr aufmerksam sein, welche Passwörter gehackt worden sind und welche Muster man deshalb vermeiden muss. Denn es ist nur eine Frage der Zeit, bis solche Muster auch KI-basierte Hackbots20 erlernt haben.)

Es hängt also sicher etwas von der persönlichen Situation ab, ob man die eine oder die andere Methode bevorzugt: Wer täglich nur morgends und mittags sich am Computer anmelden muss, kommt vielleicht mit einer Passphrase gut zurecht. Wer am Tag häufig das Smartphone benutzt, das sich nach 10 Minuten Nichtbenutzung selbstständig sperrt, braucht vermutlich ein kürzeres Kennwort und macht sich lieber die Mühe, ein wirklich gutes pseudozufälliges zu entwickeln, was auf jeden Fall besser sein dürfte, als auf einen Fingerabdruck oder ein Sperrmuster zu setzen.

Unterschiedliche merkbare Kennwörter für jeden Zweck (Matrix von Teilgeheimnissen)

Für Benutzer*innen, die sich nur selten bei Web-Apps anmelden, empfehlen wir, dass sie die Kennwörter für den Browser ("Hauptpasswort"), key.matiq ("Hauptkennwort") und den Computer ("PIN" oder "Passwort") gleich wählen.

Irgendwann ist dieses Kennwort aber eingeübt, und es kommen auch noch andere Geräte hinzu, weitere zu merkende und einzutippende Kennwörter.

Dann kann es Sinn machen, ein System von verschiedenen Kennwörtern zu entwickeln mit gemeinsamen Teilen. Z. B. einem gemeinsamen langen Teil, der zunächst eingetippt wird. Dann einem Teil, der verschieden ist für jedes Gerät bzw. für die Cloud (PC, Laptop, Smartphone, Cloud) und dann einem Teil, der verschieden ist für jeden Zweck bzw. jede App (Anmeldung an das Gerät, Hauptpasswort für den Browser, Masterpasswort/Hauptkennwort für einen Passwortmanager, Passwort für eine Remote-Login-Sitzung, etc.)

Die Übersicht kann man ganz gut behalten, indem man die Teile z. B. in key.matiq als Teilgeheimnisse (Komplemente oder Komponenten21) implementiert.

Man kann zunächst den prinzipiellen Aufbau für alle einzutippenden Kennwörter gleich halten, und später kann man auch den Aufbau varieren, falls man ein gutes Gedächtnis hat,

Im Hinterkopf sollte man die Frage behalten: Was passiert, wenn eines der einzutippenden Kennwörter kompromittiert wird. Also z. B. ungewollt die PIN des PC doch an Microsoft geschickt wird. Wie sicher sind dann noch die anderen Kennwörter? Welchen Aufwand muss ich dann betreiben, um den Schaden gering zu halten? Und welchen Aufwand muss ich im Normalfall, also täglich betreiben? Wie wahrscheinlich ist es, dass der Bösfall eintritt?

Auch sollte man aufpassen, dass man das ganze System noch gut im Kopf behält:

  • Achten Sie darauf, dass Ihr System nicht allzu kompliziert wird.22
  • Alle Kennwortteile und auch der Aufbau sollten zum Erhalt des Trainingszustands regelmäßig den Fingern angeboten17, zumindest aber vom Gedächtnis aufgerufen23 werden.
  • Und es sollte zumindest einen sicheren Notnagel geben, über den man z. B. noch in die key.matiq-Box hineinkommt, um nachzuschauen. (Auch wenn der PC kaputt, das Smartphone verloren gegangen, oder das Haus abgebrannt ist.)
  • Nicht alles auf einmal implementieren, sondern in ganz kleinen Schritten24, die man aber konsequent geht.
  • Sich so ein System zu entwickeln und auch wirklich zu praktizieren, ist schon hohe Kunst, bietet aber eine sehr hohe Sicherheit bei letztlich moderatem Gesamtaufwand.
  • Sie sollten es daher gut abwägen: Verwalten Sie wichtige Daten von Dritten und müssen Sie daher mit ausgefeilten Angriffen rechnen, könnte so ein System Ihnen helfen, den Schaden einzudämmen, falls ein Gerät oder eine App gehackt werden sollte. Sind die Risiken geringer, könnte vielleicht doch ein gemeinsames Anmeldepasswort für Ihre wenigen (ansonsten gut gesicherten und auf dem neuesten Stand gehaltenen) Geräte und sicherheitsrelevanten Apps noch akzeptabel sein.

Sind 128 Bit Entropie auch zukünftig Stärke genug?

Ja, ich denke schon. Zwar werden Rechner immer noch immer schneller und damit steigen die Möglichkeiten der Hacker*innen, aber die Möglichkeiten der Gegenwehr steigen proportional. Das Zauberwort heißt: Schlüsselstreckung. Die Schlüsselstreckung verstärkt das Kennwort (genauer: den kryptografischen Hash, der von dem Kennwort abgeleitet und gespeichert wird) genauso sehr, wie die Hacker*innen schneller werden, Kennwörter zu entschlüsseln (genauer: aus den kryptographischen Hashes die dazu passenden Kennwörter zu ermitteln). So wird ein in zig Jahren zufällig gewähltes Kennwort mit 128 Bit Entropie dann immer noch so sicher sein, wie ein zufällig gewähltes 128-Bit-Kennwort von heute (weil das Kennwort in dieser fernen Zukunft mit stärkerer Schlüsselstreckung verschlüsselt werden wird).

Nur: Ein konkretes heute sicheres Kennwort könnte in einigen Jahrzehnten vielleicht nicht mehr ganz so sicher sein, wenn eine Hacker*in das verschlüsselte Kennwort heute abgreifen und dann Jahrzehnte liegen lassen kann, bevor sie sich dann an die Kryptoanalyse macht. Wer das berücksichtigen will, der*die sollte Kennwörter nicht über viele Jahrzehnte hin unverändert lassen, sondern in moderaten Abständen25 überarbeiten.

Manche Geheimnisse haben aber auch ein Verfallsdatum, d. h. nach einigen Jahrzehnten sind sie für niemand mehr interessant. Dann braucht man obige Überlegung nicht anzustellen.

Was wir aber wissen, ist in jedem Fall, dass die Passwörter nicht immer noch länger werden müssen, weil 128 Bit Entropie in jedem Fall reichen sollten.26

Risiken sauber gegeneinander abwägen

Die verschiedenen Risiken sollten Sie gegeneinander abwägen. Es gilt für jedes Einzelrisiko: Risiko gleich Eintrittswahrscheinlichkeit mal Schaden bzw. Aufwand. Der tägliche Aufwand (100 % Eintrittswahrscheinlichkeit) sollte auch nicht unterschätzt werden.27. Man muss eine Balance finden! Und damit kommen wir wieder zum Motto dieses Artikels.

Zwar kann man manche Faktoren für diese Abwägung auch ermitteln. Z. B. indem man die tatsächlichen Schäden von Cyberangriffen durch die Anzahl der diesem Risiko ausgesetzten Personen teilt. Oder indem man die Zeiten, die man sich für die Passwortsicherheit nimmt, notiert.

Aber letztlich (nach der Betrachtung der verfügbaren Fakten) wird die Abwägung nicht rechnerisch, sondern gefühlsmäßig erfolgen. Die Evolution hat schließlich dafür gesorgt, dass unsere diesbezüglichen Gefühle dann eine ganz gute Trefferrate haben.

Fazit

In diesem Artikel wurden viele Alternativen besprochen, mit denen man Risiken bezüglich der Passwortsicherheit begegnen kann. Ich habe zwar Preferenzen, die ich auch nicht verheimliche, aber letztlich muss jede*r selbst für sich entscheiden, was er für sich für sinnvoll hält. Es gibt da kein absolutes Ja oder Nein, sondern eher die Suche einer klugen Balance zwischen verschiedenen Ansätzen.

1) Quelle: Fontane, T., Briefe. An seine Frau, 21. Oktober 1868, siehe www.aphorismen.de: "Aphorismus zum Thema Lebenskunst".

2) Es stellen nun28 die drei Präsidenten der mächtigsten Staaten der Welt territoriale Ansprüche auf andere Staaten. Einer von ihnen führt bereits Krieg und die beiden anderen erklären, dass sie militärische Aktionen nicht ausschließen. Moderne Kriegsführung wird heutzutage mit hybriden Mitteln – d. h. auch in der Cyberwelt – begleitet und vorbereitet. Das gilt auch für eine Reihe von Territorialmächten, insbesondere für die im Nahostkonflikt agierenden. Wir müssen also künftig eher noch mehr mit staatlichen (und damit noch gefährlicheren) Akteuren bei den Cyberbedrohungen rechnen.
Ein konkretes Schlaglicht liefert der Bericht von tagesschau.de "Hackerangriff betrifft offenbar auch Merz-Mails". Es geht mir hier nicht um Herrn Merz, sondern darum, dass mittels ausländischer Cyberangriffe demokratische Entscheidungen manipuliert werden können und damit auch die Demokratie als solche angegriffen wird. Und damit auch wir alle als Wahlvolk angegriffen werden.

3) Bitte nicht falsch verstehen: Die Kriegsgefahren sind natürlich für sich genommen viel höher als Cyberbedrohungen zu bewerten. Aber beide Bedrohungen hängen ja miteinander zusammen:
Es sieht z. B. so aus, dass die US-Präsidentschafts-Wahlen 2016 u. a. durch die E-Mail-Affäre, die auch durch ausländische Cyberangriffe befeuert wurde, entschieden wurde. Die Einschätzung der US-Geheimdienste war, dass mit großer Sicherheit der russische Präsident persönlich die Hack-Angriffe angeordnet hatte. Siehe Wikipedia "Hillery Clinton" (Abschnitte "E-Mail Affäre" und "mögliche Einflussnahmen auf die Wahl").
Wenn das stimmt, war der Ausgang der US-Wahl zweifellos ein großer Erfolg für ihn, der ihn durchaus mit ermutigt haben kann, sechs Jahre später den Russisch-Ukrainischen Krieg durch die Entscheidung zum Überfall im Februar 2022 zu eskalieren. Siehe Wikipedia "Russischer Überfall auf die Ukraine seit 2022".

4) Kryptografische Algorithmen werden heutzutage öffentlich diskutiert (siehe Wikipedia "Kerckhoffs' Prinzip") und kryptografische Schlüssel mittels echten Zufallszahlengeneratoren generiert. Auch andere Kernelemente der Cybersicherheit werden öffentlich von Profis diskutiert und kontrolliert. An solchen Stellen sind also die Risiken vergleichsweise gering einzuschätzen.
Nur bei den Passwörtern gibt die Schwierigkeit, dass man ja den Menschen nicht über die Schulter schauen sollte, wenn sie ihre Kennwörter eingeben, dass aber genau dies erforderlich wäre, um sie diesbezüglich gut zu trainieren. Außerdem ist die menschliche Merkfähigkeit begrenzt und die Menschen, die Passwörter eingeben, sind meist Laien. Und schließlich kommt man an Passwörtern in der Kryptographie nicht vorbei: Alle permanenten kryptographischen Schlüssel (und damit auch alle von diesen verschlüsselten Geheimnisse) müssen von (durch Menschen auswendig gelernten) Passwörtern abgeleitet werden, damit sie nach einem Kaltstart des Systems, auf dem sie (verschlüsselt) gespeichert wurden, wieder nutzbar abgerufen werden können.
Die einzige denkbare Ausnahme wäre, dass es gar keinen kompletten Kaltstart gäbe, d. h. dass es ein System von vielen verteilten Computern gäbe, die sich gegenseitig als Backup dienen würden. Allerdings ist es schwer vorstellbar, dass ein derartiges System zugleich sicher vor dem Verlust von Daten wie auch vor der Ausspähung wäre.
Deshalb ist es zumindest derzeit28 in der Regel sinnvoller, Techniken für starke, menschlich merkbare Kennwörter zu zu entwickeln.

5) Es gibt neben Kriegen und Kriegsgefahren ja noch eine viel größere Bedrohung für die Menschheit: Die Klimakrise bzw. die drohende Klimakatastrophe. Und da gibt es durchaus Menschen, die anstatt zu verzweifeln, sich darauf konzentrieren, zu handeln (siehe www.psy4f.org: "Klimagefühle – Wie wir an der Umweltkrise wachsen statt zu verzweifeln"). Davon kann man auch für unser vergleichsweise kleines Thema lernen.

6) Passwortbücher, auch wenn sie im Tresor lagern, können gelesen und auch abfotografiert werden, ohne dass eine offensichtliche Spur dieses Vorgangs verbleibt. Ob ein physikalischer Tresor so schwer zu öffnen ist, wie es die Datenbank eines Passwortmanagers wäre, darf bezweifelt werden. Einen Schlüssel wird man nicht immer bei sich tragen, und eine Nummernkombination ist bei gleicher Stärke gewöhnlich schwieriger zu merken, als es ein gutes Passwort ist. D. h. entweder man verliert an Sicherheit vor Ausspähung, oder man verliert an Sicherheit vor Verlust, wenn nicht sogar an beidem.

7) Eine Ausnahme bilden z. B. PINs von Chipkarten, da hier der Schutz durch die Selbstzerstörung nach einer Anzahl Fehlversuchen gewährleistet wird.
Eine andere Ausnahme bilden z. B. Zahlenschlösser, weil hier eine Vielzahl langsamer manueller Versuche (unter dem Risiko des in flagranti erwischt Werdens) oft bereits einen ausreichenden Schutz ermöglicht, und die Erhöhung des Schutzes normalerweise einen Austausch der Hardware (des Schlosses oder gleich des ganzen Tresors) voraussetzt.

8) Siehe den Blog-Artikel "Das gute Kennwort".

9) Die Enthüllungen von Edward Snowden sollten wir nicht vergessen. Offenbar sammelt die NSA in großem Stil nach wie vor Daten über die gesamte Weltbevölkerung, die bei Bedarf dazu dienen können, Dossiers über beliebige ins Visier geratene Personen zu erstellen. Was wissen wir, wer z. B. in Zukunft Präsident*in der USA wird? Und was es bedeuten wird, wenn diese dann Zugriff auf diese Daten hat?

10) Ich habe den Verdacht, dass diesbezügliche Äußerungen gar nicht auf Fantasielosigkeit zurückzuführen sind, sondern eher das Ziel verfolgen, die Kritik anderer niederzureden.

11) Siehe Glossar "Zero-Knowledge-Server".

12) Es ist nicht einmal Bösartigkeit erforderlich. LastPass13 hatte z. B. von "Zero-Knowledge" gesprochen, obwohl sie ganz bewusst Begleitdaten im Klartext auf dem Server abgespeichert hatten. (Ohne dass sie dies kenntlich machten oder es für die Nutzer*innen einen Vorteil brachte.) Es war einfach eine Lüge, nicht um ihre Kund*innen zu bestehlen, sondern um sich Aufwand zu ersparen und um den Eindruck zu erwecken, dass sie wenigstens so sicher seien, wie ihre Konkurrenz. Das sollte man zwar nicht gerade "bösartig" nennen (denn sie haben ihren Kund*innen ja nicht absichtlich geschadet), aber natürlich haben sie damit ihre Kund*innen schwer hintergangen (und haben jenen grob fahrlässig geschadet).

13) Hinweise zu Marken Drit­ter:
"DuckDuckGo" scheint eine Marke der duckduckgo.com oder von Gabriel Weinberg zu sein.
"GoDaddy" ist eine eingetragene Marke der GoDaddy Operating Company, LLC. Inc.
"Android" ist eine Marke der Google LLC.
"LastPass" ist eine Marke oder registrierte Marke von LastPass US LP in den U. S. und anderen Ländern.
"Microsoft" ist eine eingetragene Marke der Microsoft Corporation in den USA und/oder anderen Ländern.
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.

14) Siehe die Blog-Artikel "Unsichere Zeiten" und "Sicherheitsbresche bei LastPass".

15) Im EU-Raum sind durch die DSGVO Unternehmen verpflichtet, ihre Kund*innen über sie betreffende Sicherheitsvorfälle unverzüglich zu unterrichten.

16) "Zugang" heißt hier nicht nur "physikalischer Zugang". Ein Virenscanner kann in der Regel ebenfalls alle Daten des Rechners lesen. (Sonst könnte er seine Aufgabe schlecht erfüllen). Daher muss man dem Scanner, bzw. dessen Hersteller schon vertrauen.

17) Siehe auch den Blog-Artikel "Das Gedächtnis der Finger".

18) Die verschiedenen Algorithmen unterscheiden sich in der Zeitdauer. Eine Hash-Berechnung mit SHA-256 dauert (auf unserem Server) ungefähr doppelt solange wie eine AES-Entschlüsselung, eine RSA-Entschlüsselung ungefähr 1000 mal so lang. Dementsprechend könnte man wohl beim Hashing mit SHA-256 wohl ein Bit weniger an Sicherheitsstärke (bei RSA-Schlüsseln sogar 10 Bits weniger an Stärke) verantworten. Aber das eine Bit, was man beim Hashing sparen könnte und was dann auf die nötige Kennwortstärke durchschlagen würde, macht den Kohl wohl auch nicht fett.

19) Der Unterschied in der Entropiedichte kommt daher, dass in einer Passphrase (und auch in ihrer Abkürzung) bereits viel Entropie verworfen worden ist, die ursprünglich in der Auswahl der Wortliste, der Abkürzungen und des Algorithmus enthalten war. Da Auswahl nicht geheim, sondern öffentlich ist, ist deren Zufälligkeit nicht mehr der Stärke des resultierenden Passworts zuzurechnen.
(Die kurze EFF-Wortliste (2.0) hat in ihrer abgekürzten Form – d. h. immer nur die drei ersten Buchstaben jedes Worts eingetippt – 3,1 Bit Entropie pro Tastendruck. Ein völlig zufälliges alphanumerisches Kennwort mit Ziffern und Kleinbuchstaben würde jedoch jedoch 5,2 Bit pro Tastenschlag bringen.)
Bei einem pseudozufälligen Kennwort bleibt aber die Herkunft der Geschichte, aus der das Kennwort entwickelt wird, die Geschichte selbst und der Ableitungsvorgang so geheim wie das resultierende Kennwort. Die Mühe der Kennwort-Enwickler*in besteht darin, in allen Ebenen dieser Entwicklung auf die Menge an Entropie zu achten. (Die geschätzte Anzahl Bits ist die Anzahl von willkürlichen Ja-Nein-Entscheidungen. Eine Auswahl einer Alternative unter vieren gilt dann als zwei Bits, eine unter tausend als zehn Bits.) Auch das Endergebnis muss auf diese Entropie hin überprüft werden: Eine Anzahl von N ausschließlich alphanumerischen Zeichen (Ziffern, Groß- und Kleinbuchstaben) kann z. B. nicht mehr Entropie beinhalten als N mal der binäre Logarithmus von 62. (62 ist die Anzahl der alphanumerischen Zeichen.) Und es wäre gewiss weniger Entropie, wenn z. B. bestimmte Zeichen unterrepräsentiert sind, d. h. eine geringere Wahrscheinlichkeit haben, im Endresultat vorzukommen. Das gleiche gilt auch für die Abfolge bestimmter Zeichenfolgen.
Sind aber diese Fälle berücksichtigt, ihre Auswirkungen sauber abgeschätzt und ggf. durch Verlängerung des Passworts kompensiert (das erfordert schon ein bisschen mathematisches Denken), dann kann man schon mit einem pseudozufälligen Kennwort mehr als 3,1 (aber bestimmt weniger als 5,2) Bit Entropie pro Tastenschlag erreichen. Da das Kennwort aber selbst entwickelt wurde, dürfte es deutlich leichter auswendig erlernbar sein als ein generiertes alphanumerischen Kennwort (ohne Großbuchstaben) gleicher Länge.

20) Zur Definition eines Hackbots siehe z. B. "All About Hackbots: AI Agents That Hack" von Joseph Thacker. Joseph Thacker schreibt über Hackbots, die helfen, Schwachstellen aufzudecken. Aber in den Händen einer kriminellen Black-Hat-Hacker*in würden wohl solche Schwachstellen eher ausgenutzt als aufgedeckt.

21) Siehe die Blog-Artikel "Das Komplement-Konzept" und "Komponenten".

22) Ich stimme Ihnen zu, das klingt doch widersprüchlich: Ich führe viele in der Summe komplizierte Aspekte an und schreibe dann, Sie sollten es ihrerseits einfach halten. Aber ist es nicht besser, sich lieber einmal durch eine komplizierte Gemengelage an Aspekten zu arbeiten, um dann eine für eine*n selbst passende, genügend einfache Lösung für den täglichen Gebrauch zu finden, als es sich voreilig zu einfach zu machen und dann später darüber bös zu stolpern?

23) Also sich z. B. werktäglich die (durch dieses System zusammengesetzten) einzutippenden Passwörter ins Gedächtnis rufen, die man an diesem Tag nicht ohnehin eintippen muss.

24) Schreiben Sie sich die Schritte auf, die sie gehen wollen. Setzen Sie sich Termine (z. B. alle drei Monate), an die sie zuverlässig erinnert werden, an denen Sie überprüfen: Bin ich die bisherigen Schritte schon vollständig gegangen? Nur, Wenn ja, sollten Sie den nächstens Schritt wagen.

25) Was heißt moderat? Nun, die Rechengeschwindigkeit hat sich in den letzten 30 Jahren etwa alle 15 Monate verdoppelt (bedingt durch das Mooresche Gesetz, aber auch durch das Wirtschaftswachstum). Diese Beschleunigung dürfte sich tendenziell eher abschwächen als weiter steigern. D. h. man ist halbwegs sicher mit der Annahme, dass abgegriffene verschlüsselte Geheimnisse alle 15 Monate etwa ein Bit an Stärke verlieren. Ein paar Bits sollte man ja an Reserve einrechnen, so dass eine Überarbeitung alle fünf oder zehn Jahre ausreichend sein könnte. Wenn man bei der Passworterzeugung mit 128 Bit an Passwortstärke gerechnet hat, reicht wohl ein Intervall von zehn Jahren.
Viel längere Intervalle sollte man vorerst aber auch dann nicht wählen, wenn man mehr als 128 Bit Stärke gewählt hatte. Denn auch die kryptografischen Algorithmen unterliegen noch einem Wandel. Was da heute noch als sicher gilt, ist vielleicht in zehn Jahren nicht mehr ganz so unknackbar. Es sieht so aus, dass in den nächsten paar Jahrzehnten wohl noch einige Algorithmen ersetzt werden dürften. Ich vermute aber, dass danach in diesem Bereich die Schnelllebigkeit sich reduzieren dürfte.
Die Häufigkeit der Kompromittierung von Crypto-Algorithmen und -Verfahren hat bereits in den letzten Jahrzehnten stark abgenommen. Man sieht dies z. B. an der Versionsgeschichte von SSL bzw. TLS: Gab es in den 90er Jahren vier Versionen (SSL 1.0 bis TLS 1.0), waren es in den Nuller Jahren nur noch zwei (TLS 1.1 und TLS 1.2), in den 10er Jahren nur noch eine Version (TLS 1.3), in diesem Jahrzehnt28 noch gar keine neue.

26) Sollte das nicht der Fall sein, wäre dies in keinem Fall ein Fehler der Benutzer*in. Bei solch wichtigen Kennwörtern wie diejenigen, die man von Hand eingeben muss (Anmeldung auf Geräten, Öffnen verschlüsselter Platten, Anmeldung bei Passwortmanagern, sonstige Entschlüsselung verschlüsselter Geheimnisse), wäre es schon ein grober Fehler der Softwareentwickler*innen, sollten sie in Zukunft auf Schlüsselstreckung verzichten. Bei zumindest einem Browser (bei dem Hauptkennwort) und einem Betriebssystem (bei der Anmeldung), habe ich deutliche Hinweise darauf gefunden, dass das Kennwort gestreckt wird. Bei Passwortmanagern ist es ebenso schon seit längerem üblich.
Heute28 ist der positive Effekt der Schlüsselstreckung noch überschaubar und wird bei Online-Passwortmanagern durch die clientseitige Verschlüsselung noch großenteils aufgefressen. Deshalb vernachlässige ich ihn bei der Betrachtung, ob man vielleicht deshalb Kennwörter unterhalb von 128 Bit Stärke verwenden könnte. Aber für die Zukunft ist der Effekt der Schlüsselstreckung (dass er den negativen Effekt der von Hacker*innen genutzten steigenden Rechgeschwindigkeiten hinsichtlich der Passwortsicherheit wieder ausgleicht) ausgesprochen bedeutend.

27) Auch das Risiko des Verschätzens sollte eingegrenzt werden. Letzlich sind vor allem die Risiken mit dem größten Potential zu betrachten und soweit möglich zu minimieren. Siehe auch den Blog-Artikel "Risikominimierung".

28) Im Jahr 2025, dem Zeitpunkt der letzten Komplettüberprüfung dieses Artikels.

29) Die Levenshtein-Distanz misst die Unähnlichkeit von zwei Zeichenketten. Siehe Wikipedia "Levenshtein-Distanz".

>> Zurück zum Artikelverzeichnis >>