Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>

Fast richtig

Geschrieben: 29.05.2023
Letzte Überarbeitung: 03.06.2023
Stichwörter: Kennwörter, Sicherheit

Was das BSI empfiehlt

Das Bundesamt für Sicherheit in der Informationstechnik gibt auf seiner Webseite Hinweise, wie ein sicheres Kennwort gewählt werden sollte.1 Der Abschnitt "Passwort Check – Tipps für ein gutes Passwort" erscheint mir auf den ersten Blick hilfreich und (für sich genommen) in Ordnung zu sein2, doch der Abschnitt "Länge und Komplexität: Zwei entscheidende Merkmale" ist schon diskutabel. Das BSI schreibt:

"Ein starkes Passwort kann 'kürzer und komplex' oder 'lang und weniger komplex' sein. Doch wie lang und wie komplex sollte es mindestens sein? Folgende Beispiele geben Orientierung:
Ein Passwort ist sicher, wenn es beispielsweise

  • 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern). Es ist dann lang und weniger komplex.
  • 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden. Es ist dann kürzer und komplex.
  • 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert."

Nachgerechnet

Wenn alle Zeichen zufällig gewählt werden, ist ein Kennwort mit

  • 20 bis 25 Zeichen und zwei Zeichenarten 103 bis 129 Bits stark3
  • 8 bis 12 Zeichen und vier Zeichenarten 52 bis 79 Bits stark4
  • 8 Zeichen und drei Zeichenarten 48 Bits stark5

Im zweiten und dritten Fall kommen wir also auf viel geringere Stärken als im ersten Fall. Man sollte sich vergegenwärtigen: Bei 20 Bits weniger Stärke reduziert sich der Aufwand für die Angreifer*in um den Faktor eine Million!

Wäre nicht so gut, oder?

Wenn im ersten Fall die Zeichen jedoch nicht zufällig gewählt werden, also eine Folge von Wörtern, so kommen wir auch dort auf weitaus geringere Stärken. Ein Kennwort aus 20 bis 25 Zeichen, das aus vier bis fünf einfachen Worten besteht, dürfte dann (grob gerundet) nur um die 60 Bits stark sein.6 Leider suggeriert das BSI an anderer Stelle der gleichen Seite, dass ein Kennwort dieser Länge durchaus aus normalen Wörten bestehen (also tatsächlich derartig abgeschwächt sein) könnte:

"[...7] Die andere nutzt einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Eine weitere Möglichkeit besteht darin, zufällig 5–6 Worte aus dem Wörterbuch zu wählen und diese mit einem Leerzeichen zu trennen. Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort."8

Die Aussage "Ein Passwort ist sicher, wenn es beispielsweise ..." ist also sehr gewagt. Unter "sicher" verstehe ich, dass etwas "unbedenklich" ist (ich mich also auf andere Dinge konzentrieren kann). Die Empfehlung des BSI erfüllt dieses Kriterium aber leider nicht.9

Welche Stärke benötigen wir denn?

Heutzutage (2023) sollten kryptografische Schlüssel10 und kryptografische Hashes11 mindestens 128 Bits an Stärke aufweisen. Kryptografische Schlüssel, aber auch kryptografische Hashes für Authentisierungsverfahren werden in der Praxis von Zufallswerten und Kennwörtern abgeleitet. Da Kennwörter oft eine geringe Stärke aufweisen, kommen Schlüsselstreckungsverfahren zum Einsatz, die zusätzlich bis zu 20 Bits an Stärke bringen können, aber kaum mehr. (Sonst würde die Rechenzeit unerträglich lang werden.)12

Kennwörter sind also oft (wenn nicht sogar in der Regel) Ausgangspunkt einer kryptografischen Kette und dabei, wenn sie weniger als 108 Bits stark sind, gewiss das schwächste Glied dieser Kette.

In vielen Fällen (z. B. Zugangskennwörter im Internet) besteht aber kein Grund, die Kennwörter nicht ebenso stark zu machen, wie kryptografische Schlüssel, da man sie ja im Passwortmanager des Browsers leicht und sicher abspeichern kann.13

Es bleiben nur ganz wenige Kennwörter, die man von Hand eingeben muss.14 Meist nur ein bis zwei, bei manchen vielleicht drei. Diese kann man durchaus so wählen, dass sie Brute-Force-Angriffen widerstehen, d. h. zwei hoch 108 Versuche (bei 20-Bit-Schlüsselstreckung) erfordern würden, was der Widerstandsfähigkeit kryptografischer Schlüssel und Hashes entspricht.15

Ist diese Stärke wirklich überall erforderlich?

Es gibt schon Ausnahmen: Eine ist die PIN einer SIM. Da die SIM nach drei Fehlversuchen gesperrt wird, ist das Risiko (wenn das Handy in falsche Hände gerät) eines Angriffs auf die SIM nur 0,3 Promille.16

Aber man sollte nicht unnötig und unbedacht die Stärke geringer als oben beschrieben wählen. Es geht ja nicht nur um die Abwehr von Botnet-Angriffen, die aus dem Internet heraus zu Zehntausenden Accounts mit Wörterbuchangriffen attackieren. Diese ließen sich auch mit halbstarken17 Kennworten abwehren. Das Problem ist, dass es ja immer wieder Hacker*innen gelingt, Schwachstellen von Servern auszunutzen, um in sie einzudringen und direkt Daten von ihnen zu erbeuten.

Wenn eine Hacker*in dabei auch die Anmeldedaten der Nutzer*innen des Servers abgezogen hat, kann diese schwache Kennwörter im Offline-Modus ziemlich schnell entschlüsseln, um damit dann später weitere Angriffe zu starten, auch wenn die Schwachstelle des Servers nur kurzfristig bestand und schon geschlossen worden ist. Manchmal bemerken die Serverbetreiber*innen gar nicht, dass Daten abgegriffen wurden, oft erkennen sie es erst spät oder informieren die Nutzer*innen erst spät und für den Kennwortwechsel zu spät.

So gibt es dann Folgeangriffe. Was passiert, wenn eine Hacker*in das Kennwort eines E-Mail-Accounts erbeutet hat, habe ich im Blog-Artikel "Identitätsdiebstahl" beschrieben. Und besonders kritisch sind nicht nur E-Mail-Accounts, sondern auch Kennwörter von anderen Cloud-Diensten, z. B. solchen, die für die Anmeldung bei Drittdiensten (z. B. Github) oder für die Speichung von persönlichen Daten (z. B. Dropbox) benutzt werden. Die Hacker*innen finden ja auch ständig neue Angriffspunkte (also solche, auf die noch niemand hingewiesen hat).

Erlaubt ein zweiter Faktor schwächere Kennworte?

Eine Zwei-Faktor-Authentisierung ist sehr gut, um z. B., wenn man auf eine Phishing-Attacke hereingefallen ist, noch Zeit zu haben, das Kennwort zu wechseln.

Keinesfalls sollte man aber daran denken, deshalb nun das Kennwort schwächer zu gestalten, als wenn man es ohne zweiten Faktor getan hätte. (Wie es leider der oben genannte BSI-Vergleich "sicherer" Kennwörter suggeriert.) Denn: Eine Angreifer*in könnte dann beide Faktoren einzeln angreifen und hätte es wesentlich leichter, als wenn sie es mit der ganzen Stärke auf einmal zu tun hätte.18

Es gibt auch den umgekehrten Fall, bei dem der erste Faktor der Besitz eines Gerätes ist und der zweite das Kennwort. Das z. B. beim Smartphone so. Im Normalfall schützt einfach der Besitz vor fremdem Zugriff. Aber wenn Sie es verlieren, dann ist dass Kennwort der Notnagel: Mit ihm sind die Daten auf dem Telefon verschlüsselt. Die Stärke des Kennworts entscheidet darüber, ob die Finder*in (oder auch Dieb*in) eine Chance hat, an Ihre Daten zu gelangen!

Sonderzeichen in Kennwörtern sind eine Fehlentwicklung!

Sechs Jahre nach der öffentlichen Entschuldigung von Bill Burr für die anderthalb Jahrzehnte zuvor von ihm eingeführten Passwortrichtlinien19 sollte sich das BSI von der Strategie der Komplexität durch Sonderzeichen komplett verabschieden!

Warum? Auf einem Smartphone verlangt ein Kennwort, das nur aus Kleinbuchstaben und Ziffern besteht, weniger Tippvorgänge als ein kürzeres, gleich starkes, mit größerem Zeichenvorrat.20

Auch auf einer Desktop-Tastatur sind Sonderzeichen ein Problem. Unterschiedliche Sprachtastaturen machen sie zur Qual (die unterschiedliche Positionierung von 'y' und 'z' sind schon schlimm genug).

Sonderzeichen machen allerdings ausnahmsweise Sinn bei Geräten und Accounts, die immer noch keine langen Kennwörter zulassen.

Bessere Vorschläge?

Man braucht weder unmerkbar kryptische noch ellenlange Kennwörter.

Das Ziel ist einfach nur, dass einer Hacker*in nichts anderes als die unlösbare Aufgabe übrigbleiben würde, als alle Zeichenkombinationen durchzuprobieren. Und diese sollten mindestens zwei hoch 128 an der Zahl sein.

Mit einem 25-Zeichen-Kennwort (Kleinbuchstaben und Ziffern) das kreativ genügend verfremdet ist (in keinem Wörterbuch, keiner Zitatensammlung enthalten, auch durch keine generierbare Liste auffindbar21), ist man auf der sicheren Seite.

Wenn man irgendwo nicht soviele Zeichen verwenden kann, dann kann man ausnahmsweise auch Großbuchstaben und Sonderzeichen mit verwenden.

Fazit

Die Tipps des BSI zur geeigneten Kennwortwahl sind zum großen Teil schon recht gut, insgesamt aber eben leider nur "fast richtig"22:

  • Die Strategie der Komplexität taugt nur für Ausnahmen.
  • Die Strategie ganzer Sätze aus einfachen Wörtern erfordert entweder viel Schreibaufwand oder könnte am Ende zu unnötig schwachen Kennwörtern führen.
  • Lange (25 Zeichen) Kennwörter aus Kleinbuchstaben und Ziffern, verfremdet, so dass sie anderen fremd erscheinen würden, für eine*n selbst aber noch gut merkbar sind, sind dagegen das Mittel der Wahl (aber vom BSI leider nicht vorgeschlagen).
  • Ein zweiter Faktor für die Authentisierung ist kein Grund ein schwächeres Kennwort zu wählen. Das könnte sonst leicht zum Bumerang werden.
  • Andere Vorschläge des BSI, wie z. B. der Hinweis "Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt", oder der Vorschlag, einen Passwortmanager zu nutzen, sind dagegen sehr gut.

Das Ziel ist, möglichst alle Kennworte so sicher wie kryptografische Schlüssel zu machen.

Von diesem Ziel sollte man nicht allzuweit abweichen, sonst ist das Ergebnis ein deutliches Minus an Sicherheit, gegenüber dem, was mit vertretbarem Aufwand erreichbar wäre.

 

1) Siehe BSI "Sichere Passwörter erstellen" (abgerufen am 24.05.2023).

2) Beim genauen Durchlesen fällt mir jedoch auf, dass die Prioritäten nicht gut gewählt sind. So wird zunächst über Merkstrategien für Kennwörter geschrieben und erst später erwähnt, dass ein Passwortmanager empfehlenswert ist. Letzteres heißt aber schon, dass man sich ohnehin nur ganz wenige Kennwörter wirklich merken muss (nämlich das zum Anmelden an ein Gerät und das zum Anmelden an den Passwortmanager).
Wenn als zweiter Punkt dann erwähnt wird "Grundsätzlich gilt: Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein." wird suggeriert, dass bereits ein acht Zeichen langes Kennwort gut sein kann. Und das ist nun wirklich sehr zweifelhaft: Insbesondere für das Hauptkennwort eines Passwortmanagers würde man doch lieber kryptografische Stärke sehen, aber gleichzeitig eine flotte Eingabemöglichkeit, wie sie auf Smartphones nur mit Kleinbuchstaben und Ziffern gegeben ist (dann aber gewiss nicht mehr mit nur acht Zeichen).

3) Zwei Zeichenarten umfassen 36 Zeichen (10 Ziffern, 26 Kleinbuchstaben). Der binäre Logarithmus von 36 ist etwa 5,17 (die Stärke eines Zeichens). 20 mal 5,17 ist rund 103, 25 mal 5,17 ist rund 129.

4) Vier Zeichenarten umfassen 94 Zeichen (10 Ziffern, 52 Klein- und Großbuchstaben, 32 Sonderzeichen). Der binäre Logarithmus von 94 ist etwa 6,55. 8 mal 6,55 ist rund 52, 12 mal 6,55 ist rund 79.

5) Drei Zeichenarten umfassen 62 Zeichen (10 Ziffern, 52 Klein- und Großbuchstaben). Der binäre Logarithmus von 62 ist etwa 5,94. 8 mal 5,94 ist rund 48.

6) Damit man bei 20 bis 25 Zeichen auf vier bis fünf Worte kommt, müssten die Worte wohl meist einsilbig, höchstens zweisilbig sein. Denn die Silben bestehen bei einsilbigen Worten im Schnitt aus 3,63 Lauten (siehe Wikipedia "Silbenlänge"), ein Laut benötigt im Schnitt etwas mehr als einen Buchstaben. Es dürften also recht einfache Worte sein, wie sie im Aussprachewörterbuch von Viëtor mit 20.453 Stichwörtern vorkommen (siehe Wikipedia "Wortlänge"). Die ein- bis zweisilbigen Wörter umfassen 42% dieses Wörterbuchs, d. h. rund 10.000 Stichwörter. Der binäre Logarithmus von 10.000 ist etwa 13,29 d. h. 4 bis 5 Wörter haben eine Stärke von rund 52 bis 66 Bits.

7) Das Zitat stammt aus den Überlegungen der BSI-Autor*in zu verschiedenen Merkstrategien ("Der eine merkt sich ..., die andere nutzt ..."). Ich fokussiere mit der Auslassung auf die zweite und dritte Möglichkeit, mit denen m. E. zu unkritisch umgegangen wird.

8) Für sehr lange Sätze stimmt das schon, aber bei zu kurzen und bekannten Sätzen steigt das Risiko. Die Hacker*innen lesen ja auch diese Empfehlungen.
Sollten die BSI-Empfehlungen greifen, werden die Hacker*innen dazu übergehen, in ihre Wörterbücher statt der dann nicht mehr verwendeten einfachen Wörter auch einfache Sätze zu verwenden. Man kann sich sicher sein: Die Wörterbücher der Hacker*innen folgen den tatsächlich verwendeten Kennwörtern.
Erst wenn die aus Sätzen bzw. mehreren Worten konstruierten Kennwörter sämtlich lang und verschieden sind, also aus einer unübersehbaren Zahl von potentiellen Kennwörtern pseudo-zufällig ausgewählt werden, haben Hacker*innen keine Chance mehr.
D. h. die Aussage "Dies resultiert in einem [...] für Angreifer schwer zu brechenden Passwort." kann durchaus bezweifelt werden.
Im Übrigen ist auch der andere Teil der zitierten Aussage ("Dies resultiert in einem leicht zu merkenden [...] Passwort.") zweifelhaft: Gute Merkstrategien basieren auf Bildern, die man im Kopf behalten kann. Es ist dabei viel einfacher selbst einen Satz zu wählen, zu verfremden und sich dann zu merken, als einer willkürlichen Ansammlung von Wörtern ein Merkschema überzustülpen. (Beim Spiel "Ich packe meinen Koffer" kann man sich viel leichter merken, was man selbst in den Koffer gepackt hat, als was die anderen hinein getan haben.)

9) Diese Kritik mag hart erscheinen. Tatsächlich haben sich ja die Mitarbeiter*innen des BSI alle Mühe gegeben, verschiedene Strategien aufzuzeigen und auch auf die Knackpunkte (Kennwortlänge und -komplexität) hinzuweisen. Das ist durchaus lobenswert. Es fehlte eigentlich nur, dass sie es nachgerechnet hätten und anhand harter Zahlen (Stärke in Bits) klarere Anhaltspunkte gegeben hätten. So aber können sich Leser*innen, die schwache Kennwörter verwenden, weiterhin in falscher Sicherheit wiegen.

10) Kryptografische Schlüssel dienen in Verschlüsselungsverfahren dazu, Klartexte (unverschlüsselte Daten) in Ciphertexte (verschlüsselte Daten) zu transformieren. Solche Schlüssel sind dabei Daten, die das kryptografische Verfahren (den Algorithmus) steuern. (So wie bei einem mechanischen Schloss der Schlüssel den Schließapparat "steuert".) Eine Entschlüsselung von Ciphertexten sollte ohne Kenntnis des Schlüssels unmöglich sein. (Wäre sie es doch, wäre das Verschlüsselungsverfahren kompromittiert!)
Symmetrische kryptografische Verfahren (wie der AES-Algorithmus) benutzen für Ver- und Entschlüsselung denselben Schlüssel, asymmetrische Verfahren (wie der RSA-Algorithmus) benutzen für die Verschlüsselung einen "öffentlichen Schlüssel" und für die Entschlüsselung einen anderen, geheim zu haltenden "privaten Schlüssel".
Stärke eines Schlüssels (Sicherheitsstärke): Sie wird in Bits gemessen und ist bei symmetrischen Verfahren die Schlüssellänge (d. h. der binäre Logarithmus der Größe des Schlüsselraums). Bei asymmetrischen Verfahren wird für die Berechnung der Schlüssellänge der Schlüsselraum der öffentlichen Schlüssel herangezogen, für die Berechnung der Sicherheitsstärke jedoch (da nicht alle Schlüssel des Schlüsselraums verwendbar sind) der binäre Logarithmus der Größe (nicht des gesamten, sondern nur) des verwendbaren Teils des Schlüsselraums.
Siehe auch Wikipedia "Kryptographie", Wikipedia "Schlüssel (Kryptologie)" und Wikipedia "Schlüssellänge".
"Sicherheitsstärke" in meinem Sinn (es gibt noch keinen allgemein verwendeten deutschen Fachbegriff dafür) wird im Englischen "security level" oder "security strength" genannt (im Kontext von Kryptografie). Siehe Wikipedia "Security level".

11) Ein kryptografischer Hash ist ein Wert (fester Länge), der mittels einer kryptografischen Hashfunktion aus Daten (beliebiger Länge) gewonnen wird, eine Art Fingerabdruck, der zum Nachweis der Integrität der Daten genutzt wird: Z. B. kann ein Service über die Bildung und Kontrolle des Hashwerts eines Kennworts festgstellen, ob das korrekte Kennwort eingegeben wurde, ohne dass er das Kennwort selbst gespeichert hat. (Es reicht, bei der Festelegung des Kennworts den Hashwert zu speichern.)
Auch für die Ableitung von kryptografischen Schlüsseln aus Kennwörtern wird eine Hashfunktion benötigt.

12) Schlüsselstreckungen werden durch die Software des Providers, bzw. der Anwendung, die ein Kennwort entgegennimmt, vorgenommen. Das kann funktionieren, muss aber nicht, bzw. die Nutzer*in hat keine Möglichkeit, das zu kontrollieren. Sicherer ist es, die Kennworte gleich so zu wählen, als ob es keine Schlüsselstreckung gäbe, also 128 Bits Stärke statt nur 108 Bits.
Siehe auch Wikipedia "Schlüsselstreckung".

13) Siehe den Blog-Artikel "Passwortmanager sind gut und nicht schlecht".
Als Ausnahme von der Regel sollte man jedoch das Hauptkennwort von key.matiq auf einem Smartphone nicht im Passwortmanager des Browsers abspeichern, da es dort keinen Browser gibt, der ein Hauptpasswort verwendet. (Firefox®23 verwendet stattdessen ein Sicherheitsmodul des Smartphones, das jedoch durch "Pegasus"-Angriffe mehrfach geknackt wurde.) Als Alternative bietet sich aber die Verwendung eines lokalen Passwortmanagers (z. B. KeePass2Android) auf dem Smartphone an. Siehe auch Ratgeber (für alle) "Passwortmanager des Browsers".

14) An dieser Stelle im Haupttext einmal abgesehen von den doch recht kurzen numerischen PINs für Chipkarten und Kombinationen für Zahlenschlösser. Z. T. ist es vielleicht vertretbar, für mehrere Chipkarten dieselbe Ziffernfolge zu wählen (wenn der Zugang den Karten gut geschützt ist und man den Verlust einer Karte bald bemerken und dann die PIN bei den anderen sofort ändern würde). Für andere Chipkarten (z. B. der Personalausweis) oder auch den Key-Code des Autoradios wird die PIN vielleicht so selten benötigt, dass die Forderung vertretbar ist, dann die PIN in der key.matiq-Box nachzuschauen. Vielleicht ist es auch möglich, zwei oder drei häufig benötigte PINs, sowie die Kombinationen von Koffer- und Fahrradschlössern zusätzlich zu den zwei bis drei händisch einzugebenden langen Kennwörtern im Kopf zu behalten.

15) Eine Schlüsselstreckung von 20 Bit bedeutet, das 2 hoch 20 mal je Versuch ein Hash gebildet wird, bevor der abgeleitete Schlüssel ausprobiert werden kann. 2 hoch 108 mal 2 hoch 20 sind: 2 hoch 128. D. h. der Aufwand zum Ausprobieren aller möglichen Schlüssel ist der gleiche wie der zum Durchprobieren der möglichen Kennwörter.

16) Aber auch in diesem Fall gilt es, vorsichtig zu sein: Wenn z. B. die SIM-PIN gleichzeitig für die Verschlüsselung des Smartphone verwendet wird (also für diesen Zweck kein eigenes Kennwort festgelegt wurde), dann könnte die Angreifer*in die SIM zunächst entfernen, dann sehr viel mehr Versuche unternehmen, die vierstellige PIN für das Anmelden zu ermitteln und (wenn Sie damit erfolgreich war) schließlich die SIM wieder einstecken und dann sowohl SIM als auch die Daten des Telefons benutzen.
Also: Besser ein separates Kennwort für die Entsperrung und Verschlüsselung des Smartphones festlegen, statt dafür die SIM-PIN zu verwenden.

17) "Halbstark" soll hier heißen: Die Kennwörter sind zwar stark genug, um Botnet-Angriffen zu widerstehen, aber Größenordnungen schwächer als "starke" Kennwörter. Als "stark" lassen sich nur Kennwörter, die zusammen mit der Schlüsselstreckung eine Stärke von (derzeit24) mind. 128 Bit ergeben, bezeichen. Man braucht eine klare Unterscheidung und Grenzen, und daher sind auch (im eben genannten Sinn) halbstarke Kennwörter als "schwach" zu bezeichen.
Ein wichtiger Grund, hier keine Kompromisse einzugehen (zumindest nicht auf Dauer) ist, dass mittlere Stärken zu einem Trainingseffekt bei den Hacker*innen führen: Man lässt ihnen Chancen (die oft nur deshalb noch nicht genutzt werden, weil es noch schwächere Opfer gibt). Der Sumpf lässt sich so nicht austrocken: Wenn die ganz schwachen Kennwörter von den Opfern nicht mehr verwendet werden (weil der Schaden zu schnell auf dem Fuße folgt), aber nur ein bisschen verbessert werden, strengen sich die Hacker*innen ebenfalls etwas mehr an, haben weiterhin Erfolge und gewinnen mehr Geld und Kraft ihr Unwesen zu treiben. Es ist daher wichtig, ihnen die Türen ganz zu verschließen, ihr Tun aussichtslos werden zu lassen.

18) Ein Bündel von Streichhölzern lässt sich schwerer brechen, als es bei vereinzelten Streichhölzern geht.
Zwei schwache Kettenglieder können parallel gehängt vielleicht ein starkes einzelnes ersetzen. Hängt man sie aber hintereinander, wird gewiss die ganze Kette geschwächt.

19) Siehe auch den Blog-Artikel "Todo cambia".

20) Das hat den Grund in der Vielzahl von Umschaltvorgängen zwischen Klein- und Großbuchstaben und zwischen Buchstaben und Sonderzeichen. Die ausschließliche Verwendung von Kleinbuchstaben und Ziffern in einem Kennwort erspart auf einem Android-Smartphone mehr als 20 Prozent an Tippen gegenüber dem bei Nutzung des vollen ASCII-Zeichensatzes (bei gleicher Passwortstärke).

21) Hier ist halt ein wenig Kreativität gefragt, und Einfühlungsvermögen. Man stelle sich folgende Fragen: Wie könnte denn eine Hacker*in vorgehen, um meinem Kennwort nahe zu kommen? Wie würde ich an ihrer Stelle vorgehen? Erst wenn man sich selbst überzeugt hat, die Hacker*in für diese Aufgabe in ein Labyrinth geschickt zu haben, indem sie sich nur verheddern kann, sollte man zufrieden sein!

22) Das hat mich auch zur Wahl des einleitenden Bildes verleitet. Es reicht eben nicht, nur ungefähr zu wissen, dass eine Bürste im Bad verwendet werden sollte, man sollte auch das Wofür und das Wie ihrer Benutzung kennen. Ungenaues Wissen kann das Ziel einer Aktion torpedieren! Ich hoffe, ihr verzeiht mir den Scherz, Leute vom BSI! Nichts für ungut!

23) Hinweise zu Marken Drit­ter:
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.

24) Im Jahr 2023, dem Zeitpunkt der letzten Komplettüberprüfung dieses Artikels.

>> Zurück zum Artikelverzeichnis >>