Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Passphrasen 2.0?
Geschrieben: 15.04.2025
Letzte Überarbeitung: 27.04.2025
Stichwörter: Kennwörter, Sicherheit mit Bedienbarkeit
Sind Passphrasen eine Luftnummer?
In dem obigen Bild von iStock1 lässt sich mit etwas Phantasie 2, erahnen: Passphrasen sind zwar deutlich leichter zu erlernen als komplexe Kennwörter gleicher (oder maßvoll höherer) Stärke, aber die Tipparbeit ist auf Dauer deutlich höher bei den Passphrasen zu veranschlagen.3 Letzterer Aspekt wird uns hier noch beschäftigen. Denn ohne eine Lösung an dieser Stelle, werden Passphrasen weiterhin ein Mauerblümchendasein fristen. Sollte das Problem jedoch gelöst werden, könnten Passphrasen überall dort, wo merkbare Kennwörter gefordert sind, noch bedeutend werden.
Dabei hatte alles gut angefangen: Mit dem Comic "Password Strength" wurde schon vor vielen Jahren4 aufgezeigt, dass es viel leichter ist, sich Passphrasen zu merken als sogenannte "komplexe Passwörter".
Viele sprangen auf den Zug auf: IBM hatte auf seinem Mainframe-Betriebssystem z/OS1 die Möglichkeit eingeführt, Passphrasen mit bis zu 100 Zeichen zu verwenden (nachdem zuvor maximal 8-Zeichen-lange Passwörter möglich waren). Das BSI schreibt in seinen "Tipps für ein gutes Passwort" auch über die Möglichkeit, ganze Sätze oder mehrere zufällig gewählten Wörtern zusammen als Passwort zu verwenden.5 Man kann auch im Internet Passphrasengeneratoren finden (siehe Abschnitt "Passphrasengeneratoren im Netz"). Manche bieten Wortlisten in verschiedenen Sprachen an. Manchmal kann man sich das Trennzeichen zwischen den Phrasenwörtern aussuchen, manchmal darf man wählen, ob nur Kleinbuchstaben für Phrasenwörter gewählt werden oder auch Großbuchstaben oder gar Ziffern.
Ich muss gestehen, ich höre nur selten davon, dass jemand Passphrasen tatsächlich benutzt. Aber das muss ja nichts heißen. Die Hürden sind schließlich nicht gering. Man müsste etwas Neues lernen und dann schreckt noch die Tipparbeit. Doch genau an diesem Punkt habe ich eine Entdeckung gemacht... Dazu später, zuvor will ich noch einen Blick auf die Basics von Passphrasen werfen.
Wie man es nicht machen sollte
Natürlich kann man sich Passphrasen selber ausdenken, so wie es auch das BSI beschreibt, aber das wird dem Thema "Passphrase" nicht gerecht. In dem oben genannten xkcd-Comic wurde nämlich die Passphrase
correct horse battery staple
als Beispiel genannt. Man kann sie sich gut merken und deshalb wurde es in mindestens einer Firma Mode, genau diese Passphrase zu benutzen. Und entsprechend bald wurde sie kompromittiert. Der Fehler war, das Passwort mit anderen zu teilen, und sie womöglich auch für verschiedene Zwecke zu benutzen. In der oben genannten Form ist sie (zum Zeitpunkt der Erstellung dieses Blog-Artitels) bei einer HIBP-Abfrage 187-fach kompromittiert.
Richtig wäre gewesen, wenn man das Beispiel nur als Beispiel genommen hätte und mit Würfeln oder einem Passphrasengenerator aus einer Wortliste zufällig eine Anzahl Wörter ausgewählt und dann diese Phrase für genau einen Zweck benutzt, und niemandem sonst weitererzählt hätte.
Passphrasen generieren
Mit Hilfe eines Würfels und einer Diceware, d. h. einer Liste von einfachen Wörtern, die je einer Folge von ausgewürfelten Zahlen (je 1 bis 6) zugeordnet sind, lässt sich eine echt zufällige Folge von Wörtern erstellen. Z. B. liefert EFF's Short Wordlist 2.0 (mit eindeutigem Prefix) eine derartige Liste. Wenn dann vier Würfelergebnisse 4, 3, 4, 6 ergeben, so findet man in der Liste unter "4346" das Wort "molecule". Jedes so ermittelte Wort hat dann eine Entropie von 10,34 Bits.6 Für 128 Bits benötigt man 13 Worte, für 80 Bits sind es acht Worte.
Man kann jetzt daran gehen, diese Worte nach und nach auswendig zu lernen und auch mit den Fingern7 einzuüben. Hilfreich ist dabei, aus der Passphrase eine Geschichte zu entwickeln, die als Eselsbrücke dient.
Da ja nicht die Eselsbrücke eingegeben wird, sondern die Passphrase, brauchen wir die Entropie der Eselsbrücke gar nicht zu betrachten, sondern nur die der Passphrase, und diese steht ja fest.
Was man allerdings nicht machen sollte, ist: Einfach so lange neue Passphrasen generieren, bis man eine hat, zu der man bequem eine passende Eselsbrücke findet. Das würde dann nämlich die Zufälligkeit des Endergebnisses einschränken und damit auch die Entropie verringern.8
Abgekürzte Passphrase (weiterhin merkbar)
Das Hauptproblem einer Passphrase ist die lange Eintippzeit. (Passphrasen sind ja nur für notwendig einzutippende Kennwörter, wie bei der Geräte-Anmeldung, sinnvoll, da andere, z. B. Internet-Kennwörter, viel leichter über einen Passwortmanager generiert und per Copy/Paste – oder direkt über den Passwortmanager des Browsers – eingegeben werden.)
Die oben genannte Wortliste der Electronic Frontier Foundation hat nun drei angenehme Eigenschaften:
- Zum Einen ist jedes Wort der Wortliste in den ersten drei Zeichen eindeutig. D. h. diese ersten drei Buchstaben kann man als Abkürzung verwenden. Und zwar unabhägig davon, wofür man die Passphrase benutzt.
- Zum Anderen sind die Wörter ausgeschrieben alle deutlich verschieden voneinander, so dass eine Verwechslung kaum möglich ist.
- Bis auf ein Wort9 bestehen alle Wörter nur aus Kleinbuchstaben. Kleinbuchstaben lassen sich aber auch auf Smartphones bequem eingeben, da sie keine Umschalttasten verlangen.10
Was man (gestützt durch die Geschichte, die man als Eselbrücke entwicket hat) auswendig lernt, ist nach wie vor die komplette Passphrase. Was man aber eingibt, sind jeweils nur die ersten drei Buchstaben. D. h. man sagt im Stillen die Passphrase auf und tippt nur jeweils die Abkürzungen, d. h. jeweils die ersten drei Buchstaben, der Wörter.
Obwohl die EFF eine andere Intention hatte (die so nicht funktionierte11), kann man also aus den Eigenschaften der Wortliste ein Verfahren entwickeln, dass die Eintippzeit gewaltig reduziert: Gemerkt wird die komplette Passphrase, aber geschrieben (d. h. als Passwort genutzt) wird deren Abkürzung, bestehend aus den einzelnen Abkürzungen der Phrasenwörter. (Das meinte ich mit meiner Entdeckung.)
Diese Anfänge müssen natürlich korrekt geschrieben werden. Aber die Wortliste ist ja abrufbar und man kann im Zweifel immer die genaue Schreibung nachschlagen. Irgendwann hat man die Schreibung raus und die Finger haben sie ebenfalls gelernt.
Trennzeichen einfügen (oder auch nicht)
Wollte man eine starke Passphrase (also 13 Wörter), so braucht man für die Abkürzungen 39 Zeichen. (Für 80-Bit Entropie sind es immer noch acht Wörter und damit 24 Zeichen für die Abkürzung.) Doch, wenn man die Abkürzungen direkt hintereinander schreibt, könnte es ziemlich unübersichtlich werden. Aber von der Schreibung der langen IBAN her kennen wir, dass bereits das Einstreuen von Leerzeichen alle vier Ziffern viel bringt, um nicht durcheinander zu kommen.
Da wir es hier mit dreibuchstabigen Abkürzungen zu tun haben, würde ich bevorzugen, abwechselnd nach den Abkürzungen der einzelnen Worte Punkte und Leerzeichen einzustreuen: Wären die Abkürzungen z. B. einzeln
abc, bcd, cde, efg, fgh, ghi, hij, ijk
zusammengeschrieben also
abcbcdcdeefgfghghihijijk
(ich habe absichtlich Abkürzungen gewählt, die in der Wortliste gar nicht vorkommen12), so würde nach dem Einstreuen von Punken und Leerzeichen
abc.bcd cde.efg fgh.ghi hij.ijk
herauskommen.
Das ist nun schon übersichtlicher. Aber es spricht nichts dagegen, nach einiger Eingewöhnungszeit erst die Punkte herauszunehmen, so dass
abcbcd cdeefg fghghi hijijk
herauskommt, und man es vielleicht irgendwann sogar schafft, sicher auf (die schon oben genannte zusammengeschriebene Fassung ohne jegliche Trennzeichen)
abcbcdcdeefgfghghihijijk
zu verkürzen, so dass man (im Beispiel bei 80 Bit Entropie für die Passphrase) schließlich nur 24 Zeichen für die Abkürzungen benötigt.
(Das Weglassen von Leerzeichen ist tatsächlich nicht unwesentlich. Es geht schon um jedes Zeichen.13)
Weniger Tippaufwand geht bei Passphrasen kaum. Bei starken Passphrasen (mind. 128 Bit) würde man sogar 39 Zeichen im Mininum für die kürzeste Abkürzungsvariante benötigen.
Der Vorteil wäre aber immer noch, dass zunächst eine merkbare Geschichte, daraus abgeleitet eine Passphrase, daraus wiederum abgeleitet die Abkürzungen (jeweils die ersten drei Buchstaben der Passphrasenworte) dahinter stehen.
D. h. etwas, was man sich durchaus merken kann, was die Finger einüben können, was gleichzeitig aber kalkulierbare Sicherheit bietet.
Gemischte Formate und Teilphrasen
Um sich eine Passphrase gut merken zu können, kann es Sinn machen, nicht gleich mit der abgekürzten, sondern mit der ausgeschriebenen Form anzufangen und erst später nach und nach die Phrasenwörter durch deren Abkürzungen zu ersetzen.
Dann hat man aber zumindest zeitweilig eine Mischung von zwei unterschiedlichen Formaten. Es gibt jedoch in der EFF-Wortliste Phrasenwörter, die genaus aussehen, wie eine Kombination von Abkürzungen. Z. B. ist "afraid" ein solches Wort, denn "afr" ist die Abkürzung von (dem ausgeschriebenen Wort) "afraid" und "aid" die von "aidless".
Solche Uneindeutigkeiten können natürlich zu einem Verlust an Entropie führen14. Aber die Wahrscheinlichkeit bei der Kombination von zwei Abkürzungen auf ein Phrasenwort zu treffen, ist nicht sehr hoch. Sie liegt bei eins zu 17.496.
Allerdings gibt es Probleme bei der Prüfung von Passphrasen, die in gemischter Form geschrieben sind. Denn gut 13 Prozent aller Phrasenwörter der EFF-Liste sehen aus wie eine Kombination von zwei oder drei Abkürzungen.15 Da käme ein Passphrasenchecker schon leicht durcheinander. (Und einen solchen Checker braucht man, wenn man sich nicht mehr ganz genau an die Schreibweise erinnern kann.)
Also sollten Uneindeutigkeiten vermieden werden. Man kann dies erreichen über die Markierung des Wechsels von Formaten durch einen angehängten Punkt und die Markierung des Beginns von Abkürzungsormaten, die als Folge von ausgeschriebenen Wörtern missverstanden werden könnten, durch einen führenden Punkt.
Man teilt einfach die Phrase in Teilphrasen auf, so dass in jeder Teilphrase entweder nur ausgeschriebene Phrasenwörter oder nur Abkürzungen stehen. Zwischen je zwei Teilphrasen schreibt man ". " (Punkt gefolgt von Leerzeichen).16
teilphrase1. teilphrase2. teilphrase3
Eine Teilphrase, die nur aus Abkürzungen besteht, kann dann immer durch einen führenden Punkt als Abkürzungsphrase markiert werden. Sie muss (für die Überprüfung durch einen Checker) aber nur dann so markiert werden, wenn es tatsächlich nötig ist (sie sonst mit einer ausgeschriebenen Wortfolge verwechselbar wäre), wie es z. B. bei
.afraid afloat cup
der Fall ist.
Wann der führende Punkt bei Abkürzungs-Teilphrasen nötig ist und wann nicht, könnten uns Generator und Checker sagen. Die Einteilung in Teilphrasen und die entsprechende Markierung (durch die Punkte) muss die Nutzer*in dagegen selbst vornehmen. Hier kann der Generator nur prinzipielle Vorschläge (entlang der hier entwickelten Syntax) machen. Und der Checker könnte auf syntaktische Fehler und auch auf Formatwechsel inmitten von Teilphrasen hinweisen.
Neben der Aufteilung bei Formatwechseln bietet sich z. B. auch an, eine Aufteilung in Teilphrasen entlang der damit verbundenen Eselsbrücken17 durch Punkte zu verdeutlichen:
erste teilphrase. zweite teilphrase. nun die dritte
Pseudozufällige Passwörter vs. Passphrasen
Der Vorteil von zufällig gewählten Passphrasen (und auch von ihnren abgeleiteten Abkürzungen) ist, dass sie eine leicht und sicher berechenbare Stärke haben. Der Nachteil ist, dass sie (auch in der abgekürzten Form) mehr Eingabeaufwand im täglichen Gebrauch benötigen, als dies bei pseudozufälligen Kennwörtern gleicher (aber viel schwerer abschätzbaren) Stärke der Fall ist.
Der Vorteil von pseudozufälligen Passwörtern ist, dass hier viel mehr Freiheit besteht und man die Passwörter so wählen kann, dass sie Entropie fast so dicht verpacken können, wie dies ein Passwortgenerator vermag. Der Nachteil ist aber, dass dies ein hohes Können voraussetzt.
Dieser Aspekt wird im Blog-Artikel "Merkbare Kennwörter – Die Balance wahren" im gleichnamigen Abschnitt "Pseudozufällige Passwörter vs. Passphrasen" genauer diskutiert.
Benutzung von Passphrasen in einer Matrix von Teilgeheimnissen
Im Blog-Artikel Blog-Artikel "Merkbare Kennwörter – Die Balance wahren" habe ich u. a. ein System vorgeschlagen, bei dem man eine Matrix von Teilgeheimnissen benutzt, um eine Anzahl von zu merkenden Kennwörtern mit vertretbarem Aufwand in den Griff bekommt. Dieses System lässt sich natürlich auch mit Passphrasen und auch mit ihren Abkürzungen entwickeln. D. h. jedes Teilgeheimnis in dem System entspricht einer kurzen Teilphrase (für die letztlich nur die Abkürzungen eingegeben werden). Die zusammengesetzten kurzen Passphrasen ergeben dann jeweils die vollständigen Passphrase (die man sich still selbst aufsagt, um nur deren Abkürzungen als Passwort einzutippen).
Zu Ende gedacht erhält man damit ein System, bei dem man die Stärke der einzelnen Teilgeheimnisse (und damit auch der gesamten einzutippenden Kennwörter) gut kennt und damit auch die Risiken gut abschätzen kann.
Ich will keineswegs sagen, dass man sich solch ein System von heute auf morgen implementieren soll, aber es kann als Vision dienen, damit man weiß, in welche Richtung man die eigene Passwortsicherheit weiterentwickeln könnte, ohne dabei den Aufwand in unendliche Höhen zu treiben.
Passphrasegeneratoren im Netz
Ich habe nach "passphrase generator" im Netz gesucht18 und zwar einige Generatoren gefunden, aber keiner davon hat
- die verwendete Wortliste direkt zum Download angeboten, so dass man die Eigenschaften der Wortliste überprüfen könnte, oder z. B. mit Würfeln ohne jedes Risiko selbst eine Passphrase erwürfeln könnte, oder
- die kurze Wortliste (2.0) der EFF genutzt, bei der die ersten drei Zeichen der Wörter eindeutig sind und die sich daher für Abkürzungen eignet, oder
- eine direkte Umsetzung der Passphrase in eine Abkürzung angezeigt.
Daher halte ich die derzeitigen bekannten Passwortgeneratoren für suboptimal. Man kann zwar mit ihnen Passphrasen mit definierter Stärke generieren, aber man erkauft die Stärke mit beträchtlichem Aufwand bei der täglichen Eingabe, der bei Verwendung der EFF-Liste doch sehr deutlich reduziert werden könnte.
Einige Passwortgeneratoren sind mehrsprachig. Aber dieser Vorteil ist m. E. viel geringer als die besprochenen Nachteile gegenüber der EFF-Liste.19
Deshalb haben wir einen eigenen Passphrasengenerator basierend auf der kurzen Wortliste (2.0) der EFF entwickelt.
Passphrasen 2.0!
Auch wenn ich bislang eher für pseudozufällige Kennwörter plädierte, so gibt es doch auch starke Argumente, Passphrasen zu bevorzugen. Die Wortliste der EFF macht es einfach, dafür auch Abkürzungen zu verwenden und weist damit einen Weg, mit deutlich begrenztem Aufwand zu starken Kennwörtern zu kommen.
Unter dem Menü-Pfad "Support > Passphrasen" (bzw. innerhalb einer Box-Anmeldung unter "Extras > Passphrasen") bieten wir daher nun unseren Passphrasen-Generator und -Checker an, um diesen Weg durch key.matiq zu unterstützen.
Insgesamt erscheint mir dieser Weg, eine deutlich verbesserte Neuauflage des Passphrasenkonzepts zu sein. Etwas, was zwar ein wenig Lernaufwand erfordert, der sich aber lohnt, weil man das Ergebnis nun wirklich benutzen kann. Man könnte es tatsächlich "Passphrasen 2.0" nennen.
1) Hinweise zu Marken Dritter:
"iStock" ist eine eingetragene Marke der iStock LP.
2) In dem Bild liegt die Stärke des herkömmlichen (komplexen) Passworts bei geschätzt 67 Bit, die der Passphrase bei 60 Bit (gemessen mit passwordcheck.ch).
Man stelle sich vor, die Passphrase wäre doppelt so lang. Sie wäre immer noch leichter zu erlernen, als das Kauderwelsch des komplexen Passworts, hätte aber eine Entropie von 120 Bit.
3) Passphrasen haben (gegenüber komplexen Kennwörtern) typischerweise eine geringere Entropie-Dichte, d. h. es werden mehr Zeichen benötigt, um die ausgewürfelte Zufälligkeit, die es der Hacker*in schwer machen soll, zu verpacken.
Setzt man aber die Entropie nicht zu den einzutippenden Zeichen, sondern zu dem Merkaufwand ins Verhältnis, stehen Passphrasen viel besser da.
Nun steht das Erlernen und Merken nur am Anfang, die Tipparbeit aber bleibt dauerhaft. Das heißt, wenn man sich auch leichter beim Erlernen einer Passphrase tut, so kann sich das später in viel mehr Eingabeaufwand rächen.
Andererseits sollte man auch berücksichtigen: Wenn man ein Passwort schlecht erlernen kann, so besteht auch leicht die Gefahr der Selbstaussperrung mit oft großem Folgeaufwand.
Es bietet sich daher an, zu versuchen, die positiven Aspekte zu kombinieren, die negativen dagegen zu eliminieren: Leichte Erlernbarkeit zu erreichen, aber dabei einen Weg zu finden, auf Dauer den Tippaufwand zu minimieren. Darum geht es im Kern dieses Artikels.
4) Im Internet Archive (web.archive.org) gab es schon seit August 2011 Archivierungsversuche dieser Seite und seit April 2012 auch gelungene Archivierungen.
5) Siehe BSI: "Sichere Passwörter erstellen".
6) Mit jedem Würfelwurf haben wir knapp 2,6 Bit (der binäre Logarithmus von 6) gewonnen, mit jedem Wort sind das dann gut 10,3 Bit.
7) Siehe auch den Blog-Artikel "Das Gedächtnis der Finger".
8)
Man darf durchaus mal experimentell eine Phrase generieren, und diese dann
hinterher verwerfen. Aber man sollte sich immer vorher entscheiden,
was man mit der Passphrase machen will: Nehmen oder verwerfen. Und man sollte
dann auch hinterher der Entscheidung
folgen.
Falls man die Entscheidung vorher vergessen hat, sollte sie – streng
genommen – "verwerfen" lauten.
Ganz so ernst muss man das aber nicht nehmen, solange man diesem Punkt nicht
extensiv zuwiderläuft. Denn so genau ist die geforderte Entropie ja ohnehin
nicht gewählt. (Wer es aber wissen möchte: Beim ersten Verwerfen und bei jeder
Verdoppelung der Versuche, aus denen man nach Vorlieben auswählt, verliert man
je ein Bit Entropie.20)
9)
Es stört nur beim Wort "yo-yo" der Bindestrich, da man auf einem Smartphone
dafür zwei Tasten, statt nur einer betätigen müsste. Wer damit ein Problem
hat, kann aber einfach statt des Bindestrichs ein "x" schreiben. Also
"yoxyo" statt "yo-yo". Und bei der Abkürzung "yox" statt "yo-".
Als Eselsbrücke könnte dafür mit etwas Fantasie "ungewollter Bindestrich"
(oder " / ")
dienen:
Man will den Bindestrich nicht haben, und der lässt sich am leichtesten
mit einem Querstrich durchstreichen und raus kommt etwas, was wie (ein
verdrehtes) "x" oder "+" aussieht. "+" will man aber auch nicht haben, weil
es ja darum geht, Sonderzeichen auszuschließen, es bleibt also nur "x" übrig.
(Eselsbrücken dürfen ruhig schräg sein, sie müssen letztlich nur
funktionieren!)
10) Ich habe festgestellt, dass bei echt zufällig gewählten Kennwörtern man auf einem Smartphone am meisten Stärke pro Tastendruck gewinnt, wenn man sich auf Kleinbuchstaben und Ziffern beschränkt. Die Vermeidung von Umschalttasten bringt da im Ergebnis mehr, als es der zusätzliche Entropiegewinn pro Zeichen würde, würde man Großbuchstaben und Sonderzeichen mit einschließen.
11)
Die Intention der EFF war: Die Eindeutigkeit der ersten drei Buchstaben
sollten ermöglichen, eine Autovervollständigung der einzelnen Worte der
Passphrase zu implementieren. Der deutliche
Levenshtein-Abstand21, zwischen allen
möglichen Wörtern sollte eine Autokorrektur ermöglichen. Doch wo sind diese
schönen Eigenschaften implementiert? Mir ist das noch nicht über den Weg
gelaufen.
Ich denke auch, dass das kaum passieren wird. Es gibt viele Wortlisten, die
alle parallel zur genannten EFF-Wortliste existieren. Welches Betriebssystem,
welcher Passwortmanager wird schon genau auf diese eine EFF-Wortliste setzen?
Jedes Programm, jeder Dienst, der ein Kennwort benötigt, wird (und sollte)
beliebige Kennwörter akzeptieren.
Es reicht, wenn diese schön lange Passwortfelder
(mindestens 51 Zeichen, damit eine abgekürzte Passphrase mit eingestreuten
Trennzeichen, wie oben beschrieben, darin Platz hat) erlauben.
Eine derartige (noch deutlich weitergehende) Empfehlung gibt das
NIST bereits seit 2017. Zwar wird bei
manchen Online-Diensten (insbesondere bei solchen, die aus der
Rechenzentrumswelt kommen) diese Empfehlung noch
ignoriert.22 Aber für Online-Dienste
können wir auch Kennwörter verwenden, die generiert, aber wesentlich kürzer
sind. (Da reichen bereits 22 alphanumerische Zeichen oder gar 20 Zeichen, wenn
auch alle Sonderzeichen erlaubt sind, für 128 Bit Stärke).
Bei den wenigen Zwecken, für die merkbare Kennwörter nötig sind, werden
heutzutage 23 in der Regel
durchaus Passwortlängen von 51 Zeichen und mehr zugelassen.
12)
Die Erfahrung zeigt, dass Beispiele von Passwörtern in Artikeln manchmal
Leute verleiten, diese für eigene praktische Zwecke zu übernehmen. (Der
Gedanke, der dahinter steckt, ist, dass oft offensichtliche Ostereier nicht
leicht gefunden werden.) Und wenn etwas einen Menschen zu einem Fehler
verleitet, dann kann das auch mehreren passieren. Deshalb ist die Gefahr, dass
im Internet veröffentlichten Beispiele von Kennwörtern bei Hackversuchen
erfolgreich ausprobiert werden, überhaupt nicht zu vernachlässigen.
Denn, auch wenn das mit den Ostereiern oft stimmt: Hacker*innen sind ja keine
Laien, sondern kennen schon all die laienhaften Tricks ihrer Opfer.
13) Wie wichtig letztlich die Verkürzung der Schreibarbeit ist, sieht man an der Kompromittierung von der berühmten Phrase "correct horse battery staple": Es gab sie nämlich auch in der Fassung ohne Leerzeichen, also
correcthorsebatterystaple
Diese Fassung wurde jedoch nicht 187-fach, sondern 1911-fach kompromittiert. Man kann daraus entnehmen, dass sie auch zehnmal so beliebt war. Woher das wohl kommen mag? Nun, ja: jedes Zeichen zählt!
14) Wenn es zwei Wege gibt, über die der Klartext eines Kennworts gefunden werden kann, zählt der kürzere.
15) Bei solch einer hohen Zahl hielten wir es für ein aussichtsloses Unterfangen eine Variante der EFF-Wortliste zu erstellen, die ohne Wörter auskommt, die mit Kombinationen von Abkürzungen kollidieren. Natürlich hätte man versuchen können auszunutzen, dass nur Wörter mit sechs oder neun Buchstaben mit Abkürzungen kollidieren können. Aber es wären halt viele wichtige Begriffe, die für die Eselsbrückenbildung wichtig sind, dabei über Bord gegangen. Die Überarbeitung der Wortliste hätte wohl in deren Zerstörung gemündet.
Da dürfte die weiter unten erfolgte Einführung eines führenden Punktes in Teilphrasen, die Abkürzungen enthalten (und mit Vollwörtern kollieren können) den geringeren Eingriff bedeuten. Auch die strenge Abgrenzung zwischen Teilphrasen, die Abkürzungen enthalten und solchen, die Vollwörter enthalten, ist nicht so schlimm.
16) Den Punkt vor dem Leerzeichen kann man als Abschluss der vorangegangenen Teilphrase verstehen. (Jedoch zu beachten: Die letzte Teilphrase braucht keinen abschließenden Punkt.)
Ein Wechsel zwischen verschiedenen Abkürzungsformaten innerhalb einer Teilphrase ohne ausgeschriebene Phrasenworte sollte der Übersichtlichkeit halber jeweils durch ein einfaches Leerzeichen (ohne Punkt davor) zwischen den verschiedenen Formaten verdeutlicht werden. Eine weitere Aufteilung in mehrere Teilphrasen mittels ". " (Punkt und Leerzeichen) ist hier jedoch nicht unbedingt erforderlich, da Mehrdeutigkeiten bei den Abkürzungsformaten ausgeschlossen sind.
17) Wenn man tatsächlich auf 128 Bit Entropie kommen will, braucht man für eine komplette Passphrase ja 13 Phrasenwörter. Manche*r wird sich schwer tun, sich diese mit einer einzigen guten Eselsbrücke zu merken. Eine Aufteilung in drei bis vier Teilphrasen mit je drei bis fünf Phrasenwörtern kann da vielleicht helfen. (Und vielleicht auch bei dem weiter unten beschriebenen System einer Matrix von Teilgeheimnissen nützlich sein.)
18)
Bei der Suche (am 22.01.2025) verwendete ich die Suchmaschine
DuckDuckGo1.
In den ersten zehn Ergebnissen führten sechs von ihnen auf einen
Passwortgenerator.
Von den vier Links zu Passphrasengeneratoren führten drei nur zu einem
Generator und machten keine Angaben zur Wortliste oder gar zur Abkürzbarkeit
von Worten.
Der "Passphrase Generator" von Daniel Stiner verweist zwar auf eine Tabelle
von vielen Wortlisten (auch solche mit Abkürzungen, und auch auf seine
Quellen). Aber ohne Quellenstudium kann man nicht ermitteln, welche Wortliste
nun verwendet wird und ob (und wenn ja wie) man die generierte Passphrase
abkürzen könnte, ohne Entropie zu verlieren.
19)
Ich denke, es ist nicht so sehr die Sprachbarriere zum Englischen, die
Menschen davon abhält, Passphrasen zu verwenden, sondern der hohe Aufwand,
den es bedeuten würde, längere Passphrasen in Gänze täglich oder womöglich
noch öfter einzutippen.
Passphrasen auf ganz wenige Worte (und damit auf eine erbärmliche Entropie)
zu begrenzen, bringt aber aucht nichts.
Daher gehen Passphrasengeneratoren, die Wortlisten ohne Abkürzungsmöglichkeit
benutzen (oder, sollte es diese doch geben, zumindest vergessen, auf diese
hinzuweisen) an der Praxis vorbei, auch wenn sie mehrsprachig sind.
Natürlich wäre es nett, wenn es Pendants zur EFF Short Wordlist 2.0 in anderen
Sprachen, dann aber auch immer mit eindeutigen dreibuchstabigen Abkürzungen,
gäbe. Aber der Aufwand, diese zu erstellen, wäre immens, von dem Problem der
chinesischen, japanischen und koreanischen Zeichensätze, für die eine eigene
Lösung gefunden werden müsste, ganz zu schweigen. Freiwillige vor!
Bis dahin sehe ich aber eher die Priorität bei Generatoren für
abkürzbare Passphrasen als bei der Mehrsprachigkeit.
Was aber nötig ist: Für die englische Wortliste sollte es für jede
weitere unterstützte Sprache eines Generators (bei key.matiq ist das Deutsch)
Übersetzungsvorschläge für alle Worte geben. (Denn sonst könnte ja jemand,
also z. B. die NSA, der*die die Verbindung einer Benutzer*in zu dem Generator
überwacht, zwar die Inhalte nicht mitbekommen (weil eine solche Verbindung
wohl immer per TLS verschlüsselt ist), aber, wenn sie zeitlich synchron
Verbindungen zu Übersetzungsprogrammen überwacht, Rückschlüsse auf die
generierte Passphrase treffen.) Die Bedeutung der einzelnen Worte ist ja
für Entwicklung der Geschichte, die als Eselbrücke für Passphrase dienen soll,
wichtig.
Es reicht dabei völlig, wenn der Generator bei für eine erstellte Passphrase
die Übersetzungsvorschläge der verwendeten englischen Worte in der
Sprache der Benutzer*in angibt.
20) Das klingt vielleicht widersinnig, da ja beim ersten Verwerfen nur ein winziger Bruchteil der Möglichkeiten ausgeschlossen wird. Doch tatsächlich ist es so, dass dieses erste Verwerfen ja ein Indiz dafür ist, dass auch andere möglich Passphrasen zu verwerfen sind. Wird die erste generierte Phrase verworfen und die zweite akzeptiert, ist es am wahrscheinlichsten, dass bei einer größeren Anzahl von Versuchen halbe-halbe ausgehen würde. Jede Verdoppelung der verworfenen Anzahl von generierten Phrasen bis zur Akzeptanz einer solchen, halbiert den wahrscheinlichen Anteil der akzeptierten Phrasen an allen möglichen. Also muss man mit einem verlorenen Entropie-Bit bei einer verworfenen Phrase und bei jeder Verdoppelung mit je einem weiteren verlorenen Bit rechnen.
21) Die Levenshtein-Distanz misst die Unähnlichkeit von zwei Zeichenketten. Siehe Wikipedia "Levenshtein-Distanz".
22)
Ich vermute, das hängt mit der historischen Sicherheitsarchitektur von
Rechenzentren, die der einer mittelalterlichen Burg ähnelt, zusammen. Da
schien es gar nicht vorstellbar zu sein, dass Hacker*innen von
außen bis ins Innerste eines Rechenzentrums eindringen können und damit
Kennwörter erbeuten können. Deshalb glaubte man, durch Sperren von
Internetkonten nach einigen fehlerhaften Passworteingaben bereits genügend
Passwortsicherheit getrieben zu haben.
Inzwischen wird die Sicherheitsproblematik von Rechenzentren allerdings anders
gesehen, und der moderne Ansatz für die Sicherheit von Rechenzentren heißt
"Zero-Trust". Das hängt wohl damit zusammen, dass, wie oben erwähnt,
mittlerweile immer wieder auch große Firmen und Rechenzentren von außen
erfolgreich gehackt wurden.
Dass die neue Sichtweise auch bedeuten sollte, dass von den Benutzer*innen
nicht einfach Vertrauen in die Sicherheit der Rechenzentren abverlangt wird,
sondern letztere auch den Nutzer*innen die Möglichkeit geben sollten, sich
selbst vor den Konsequenzen eines Dateneinbruchs bei ihren Dienstleistern
stärker zu schützen (z. B. durch längere Passwörter bzw. Passphrasen), mit
einer solchen Einsicht tun sich die großen Firmen allerdings noch schwer.
23) Im Jahr 2025, dem Zeitpunkt der letzten Komplettüberprüfung dieses Artikels.