Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>


Das gute Kennwort

Geschrieben: 14.04.2017
Letzte Überarbeitung: 09.02.2024
Stichwörter: Kennwörter

Die Ziele

Ein gutes Kennwort soll einer Angreifer*in einen so hohen Aufwand bereiten, dass sie von seinem Vorhaben mit ausreichender Wahrscheinlichkeit ablässt.

Ist das zu schwach formuliert? Ich denke nicht, da das Wort "ausreichend" ja auch je nach Situation "hundertprozentig" bedeuten kann. Nein, der Satz ist für manche Fälle sogar zu stark formuliert: Es gibt Situationen, wo ein Kennwort einer Angreifer*in nur eine Hürde bieten soll, aber kein wirkliches Hindernis nötig ist.

Sie glauben es nicht? Hier ein Beispiel: Sie erstellen eine neue Homepage. Wer kiebitzen will, soll es doch tun. Aber das Problem ist das Impressum. Solange das nicht einwandfrei ist, besteht das Risiko, dass Sie von einer Abmahn-Anwält*in mit Geldforderungen gequält werden. Deshalb versehen Sie die Homepage im Bau mit einem Kennwort. Der Abmahn-Anwält*in würde ein Knacken des Kennworts nichts nützen, denn es ist bei einem noch so schwachen Kennwort klar, dass die Homepage nicht öffentlich ist und eine Abmahnung keine Rechtsgrundlage hätte.

Warum dieses Beispiel? Gute Kennwörter zu erstellen und zu schützen, sie einzutippen und nicht zu verlieren, all das kostet Aufwand. Der Gesamtaufwand darf den Nutzen nicht überschreiten. Deshalb ist es wichtig, richtige Prioritäten zu setzen.

Für jeden Zweck das richtige Kennwort

Es gibt also Kennwörter, die müssen im Kopf behalten und/oder schnell eingeben können. Bei anderen ist das nicht der Fall.

Einige Kennwörter müssen Sie vielleicht regelmäßig wechseln, bei anderen wäre das unnötiger Aufwand.

Der Verlust des einen Kennworts kann eine persönliche Katastrophe bedeuten, bei einem anderen, wäre der Schaden recht begrenzt.

Für die Masse der Internet-Logins ...

... werden die Kennwörter am besten mit einem Generator erstellt. Sinnvoll ist, Kennwörter mit einer Stärke von 128 Bit zu wählen.1

128 Bits erreicht man mit einem zufällig gewählten Kennwort von Ziffern, Klein- und Großbuchstaben im amerikanischen Alphabet mit 22 Zeichen. Nimmt man die sichtbaren Sonderzeichen des US-ASCII-Zeichensatzen hinzu, so kommt man auch mit 20 Zeichen aus. Voraussetzung ist aber, dass ein solches Kennwort mit einem echten Zufallszahlengenerator im Hintergrund erzeugt wurde.

Das Schöne an diesen zufälligen Kennwörtern ist, dass sie mit wenig Aufwand (nämlich maschinell) erstellt werden können. Aber ihr Einsatz ist begrenzt: Auswendig lernen kann man Sie kaum, selbst das richtige Abschreiben ist schwierig. Das Notieren solcher Kennwörter auf Zetteln oder unverdeckte Eingabe wären risikobehaftet (Verlieren des Zettels, Kameras in Zügen und auf öffentlichen Plätzen).

Deshalb gehören solche Kennwörter in den Passwortmanager des Browsers (dem Browser müssen Sie ohnehin vertrauen), sollten aber möglichst durch ein Hauptpasswort geschützt werden. Solange der Browser nicht ausgeführt wird oder die PC-Sitzung gesperrt ist, kann niemand außer Ihnen diese Kennwörter verwenden.

Sie sollten die Angriffe auf die Internet-Server nicht unterschätzen. Sie wissen nicht, wie gut die Kennwörter dort geschützt sind. (Es ist zwar prinzipiell nicht schwierig, aber oft fehlt bei Shop-Betreiber*innen die nötige Kompetenz.) Daher sollten Sie für jedes Internet-Login ein separates Kennwort generieren.

Bevor ich die verbleibenden Kennwörter bespreche, die im Gegensatz zu den generierten merkbar sein müssen, gehe ich erst noch auf die Probleme beim Generieren zufälliger Kennwörter ein.

Probleme beim Generieren von Internet-Kennwörtern

Leider lassen nicht alle Betreiber*innen von Anmelde-Seiten zu, starke Kennwörter (mit 128 Bit Entropie) zu wählen.2 Die erlaubte Länge ist oft zu kurz. In diesem Fall sollte man das Kennwort so stark wie möglich wählen, d. h. mit Maximallänge und unter Einschluss von ASCII Sonderzeichen.

Oft sind dann auch noch die Sonderzeichen eingeschränkt, d. h. nicht alle sichtbaren 32 Sonderzeichen des ASCII-Zeichensatzes sind erlaubt. In diesem Fall empfiehlt sich,

  • zunächst ein Kennwort mit vollem ASCII-Zeichensatz zu generieren, was deutlich länger als die Maximalänge ist (z. B. 30 Zeichen),
  • dann alle nicht akzeptierten Zeichen herauszustreichen
  • und schließlich die übrige Zeichenkette auf die Maximallänge einzukürzen (einfach hinten abschneiden).

Auf diese Weise erreichen Sie mit jedem Passwortgenerator für jedes Internetkonto ein, wenn schon nicht 128-Bit-starkes, dann doch wenigstens (für die jeweilige Website) maximal starkes Kennwort.

Ohne die Internet-Kennwörter verbleiben ...

  • das Anmeldekennwort für Ihren PC,
  • das Anmeldekennwort für Ihr Notebook,
  • die PIN von Ihrem Smartphone,
  • die PINs (und ggf. PUKs) Ihrer Chipkarten,
  • die Hauptpasswörter von Browsern und anderen Programmen (z. B. E-Mail-Client, FTP-Client) oder andere Passwörter, die nicht über ein Hauptpasswort abgedeckt sind (z. B. Anmeldung in ein Virtuelles Privates Netzwerk)
  • Zahlenkombinationen für Ihr Fahradschloss, Ihren Safe, o. ä.

Das können also immer noch eine ganze Menge Geheimnisse sein. Um diese in den Griff zu bekommen, sollten Sie zunächst überlegen, welche Geheimnisse

  • Sie auswendig wissen müssen (z. B. die PIN ihrer EC-Karte), welche Sie dagegen bei Bedarf nachschauen können (z. B. über einen Passwortmanager) und welche
  • Sie aufwändig eingeben müssen (lang, verdeckt, ohne Tastatur) und welche sich dagegen leicht eingeben lassen.

Denken Sie bei jedem Geheimnis genau über diese Fragen nach: Müssen Sie die PIN jeder EC-Karte z. B. wirklich auswendig wissen, wenn Sie auch immer Ihr Smartphone dabei haben und damit über den Passwortmanager an die PIN heran kommen? Aber auch: Was passiert, wenn Sie kein Netz haben, wenn der Akku des Smartphones leer ist, Sie das Smartphone verloren haben?

Können Sie die Kombination Ihres Safes in der Zeit zwischen dem Nachschauen im Passwortmanager und der Eingabe mühelos im Kopf behalten? Oder haben Sie am Safe WLAN-Empfang und können über das Smartphone die Zahlen herausbekommen?

Wer hat Zugang zu Ihren Geräten? Können Sie diesen Personen bedingungslos vertrauen? (Auch wenn Sie Ihren pubertierenden Sohn lieben, oder gerade deswegen sollte er nicht gerade Zugang zum Schrank mit Ihren Sportwaffen haben.)

All diese Fragen sind deshalb wichtig, weil sie beeinflussen, wie stark die Kennwörter (oder Zahlenkombinationen) sein müssen (um Sie vor Angreifer*innen zu schützen) oder dürfen (um Ihnen das Leben nicht schwer zu machen), damit sie den Aufwand an der richtigen Stelle einsetzen.

Wenn Sie z. B. wie ein Schießhund auf Ihren Computer aufpassen und dazu noch ein gut merkbares aber schon ausreichend starkes Hauptpasswort für den Browser verwenden, müsste eine Angreifer*in ja bereits zwei mittelgroße Hürden überspringen, um an die im Browser gespeicherten Kennwörter zu gelangen.

Das Hauptkennwort für den Zugriff auf den Online-Passwortmanager sollte dann vielleicht noch etwas stärker sein, da auf dieses ja aus dem Internet heraus Angriffe möglich sind. Für den Normalfall könnten Sie es jetzt im Browser abspeichern. Aber sie sollten zumindest mit vertretbarem Aufwand in der Lage sein, es zu rekonstruieren, falls Sie doch das Smartphone verlieren. Und damit kommen wir zum Kern der Geschichte:

Das starke, aber dennoch merkbare Kennwort

Wir brauchen ein Kennwort, das um es zu erraten, viele (möglichst 128) Ja-Nein-Entscheidungen braucht, also Entropie von der Größenordnung der eines sicheren Schlüssels hat.

Gleichzeitig sollen Sie sich dieses Kennwort merken können.

Wie bringen Sie das zusammen? Indem Sie mit dem Kennwort eine Geschichte verbinden. Beginnen Sie mit dieser Geschichte, einer Geschichte, auf die keine mögliche Angreifer*in so schnell kommt, die sie suchen müsste wie eine Nadel im Heuhaufen. Denn, gehen Sie davon aus: Auch die Angreifer*innen wissen, dass die Leute sich starke Kennwörter nur merken können, wenn Sie sie mit Geschichten verbinden. Sie suchen daher nach Kombinationen von Wörtern aus Lexika, rechnen damit, dass Sie die Namen ihrer Freund*in, Ihrer Kinder, deren Geburtsdaten verwenden oder auch den Namen ihres Hundes.

Seien Sie also kreativ, nehmen Sie keine Standardgeschichte, wählen Sie den Begriff "Geschichte" weit. Es kann ein Lied sein, ein Bild, ein Gefühl, irgendein Gedanke. Wandeln Sie die Geschichte ab, verfremden Sie sie, laufen Sie Assoziationen nach, aber achten Sie darauf, dass die Geschichte immer noch auswendig erlernbar ist, dass sie innere Symmetrien, Rhythmen, Prinzipien, Weisheiten oder ähnliches enthält, die Ihnen, aber auch nur Ihnen erlaubt, einen roten Faden zu behalten, um sich diese Geschichte zu merken.

Haben Sie diese Geschichte? Dann fangen Sie an, sie "aufzuschreiben", ganz kurz (aber nicht zu kurz), in Zeichen. Nehmen wir zum Beispiel das Sprichwort "Was Hänschen nicht lernt, lernt Hans nimmermehr". Den "Hans" können Sie z. B. mit einem "H" abkürzen und das "Hänschen" mit dem entsprechenden Kleinbuchstaben. Aber das wäre vielleicht zu naheliegend. Vielleicht ist das Hänschen besser mit einem "i" beschrieben, während der Mann "Hans" mit auch mit dem Symbol "|" oder dem Großbuchstaben "O" assoziiert werden kann.

Die Umsetzung in Zeichen sollte ein Kunstwerk, einmalig, kein Weg, den ein anderer nachgehen könnte. Kein Zeichen zu viel, keins zu wenig. Was wären zu wenig Zeichen? Wenn eine Prüfung der Stärke weniger als 128 Bit ergeben würde.

Die Formel dafür lautet: Nehmen Sie die verwendeten Zeichenklassen (Großbuchstaben, Kleinbuchstaben, Ziffern, Sonderzeichen) und bestimmen Sie daraus die Größe des gesamten verwendeten Zeichenvorrats. (Der Zeichenvorrat von "08fuenfzehn"3 besteht aus Ziffern und Kleinbuchstaben und umfasst daher 36 Zeichen). Die Anzahl der Bits ist nun die Anzahl der Zeichen mulitipliziert mit dem binären Logarithmus (log2) der Zeichenvorratsgröße. (Bei "08fuenfzehn" wäre es 11 mal log2(36) und das ist 56,869..., d. h. wir haben rund 57 Bits.

Achtung: Die Stärkenprüfung zeigt aber nur, wie schwierig es für eine Angreifer*in wäre, mit zufälligen Kombinationen des Zeichenvorrats das Kennwort zu erraten. Bedenken Sie, dass "08fuenfzehn" auch anders zu erraten ist, nähmlich als Kombination von zwei Zahlen zwischen 0 und 99 wahlweise als Ziffern oder mit Buchstaben geschrieben. Dafür gibt es gerade mal 40.000 (200 mal 200) Möglichkeiten, das entspricht nur rund 15 Bit Entropie (log2(40.000)). (Ein paar wenige Bits kommen wohl noch dazu, denn die Angreifer*in muss ja auch erst auf diese Art Kombi kommen, es gibt ja auch andere Systematiken, die sie überprüfen müsste.4)

Warum beschreiben wir diesen Weg jetzt nicht genauer? Es gibt zahlreiche Anleitungen dazu, sich merkbare Kennwörter auszudenken, im Internet. Aber: folgt man einer dieser Anleitungen, hat man schon wieder ein bisschen Entropie verloren, die Angreifer*in hat schon einen Hinweis, in welcher Richtung sie suchen muss. Deshalb unser Ratschlag, es eben möglichst originell hinzubekommen. Das kostet viel Zeit, die sollte man sich auch nehmen, aber eben zielgerichtet nur einsetzen, wo es wirklich nötig ist.

Kennwörter, die nach dem in diesem Abschnitt beschriebenen Weg gefunden wurden, bezeichne ich als inzwischen in anderen Blog-Artikeln als "pseudozufällig".5

Den Gegner einschätzen

Beim Schachspiel ist ein typischer Anfänger*innenfehler, Schlachtpläne nur auf den eigenen möglichen Zügen aufzubauen und nicht die Gegenzüge der Gegner*in zu berücksichtigen.

Versetzen Sie sich daher in die Position der Angreifer*in und überlegen, wie sie am geschicktesten handeln würde, um Ihr Kennwort zu erraten.

Wenn Sie so an die Sache herangehen, wird die Geschichte Ihres Kennworts und deren Umsetzung in Zeichen ein Labyrinth werden, in dem die Angreifer*in vor lauter Abzweigungen keinen Weg zur Lösung finden wird.

Das Auswändiglernen

Es ist gar nicht so einfach, ein starkes Kennwort auswändig zu lernen. Mein Tipp: Ersetzen Sie Ihr altes Kennwort durch das neue nicht in einem, sondern in mehreren kleinen Schritten:

Beispiel: Ihr altes Kennwort war "supergeheim", Ihr neues ist

das-ist-bestimmt-kein-gutes-Kennwort

(Bitte nicht gerade diese Phrase wählen! Es wird sicher eine Hacker*in auf die Idee kommen, alle Beispiel-Kennwörter in einer Liste zusammenzufassen und dann damit Internetkonten anzugreifen. Obiges Kennwort soll NUR als Beispiel dienen.)

Sie können sich das neue Kennwort in Ihrer key.matiq-Box abspeichern, damit Sie es für die folgende Prozedur immer wieder anschauen können.

Sie könnten jetzt das Kennwort auf

das-supergeheim

ändern und sobald das zusätzliche "das-" in ihren Fingern sitzt (egal ob nach einer Woche oder einem Monat) es in

das-ist-supergeheim

wandeln und so weiter machen, bis Sie irgendwann bei

das-ist-bestimmt-kein-gutes-supergeheim

landen und im letzten Schritt dann bei ihrem neuen Kennwort

das-ist-bestimmt-kein-gutes-Kennwort

enden.

Mit dieser Methode der langsamen Metamorphose verhindern Sie, dass Sie sich selbst aussperren.

Auch bei neuen Kennwörtern, die nur aus Zeichensalat zu bestehen scheinen, wie "fVBZtebshkR8Ly" funktioniert sie. Hier würden die Metamorphose z. B. mit

fsupergeheim

starten und über

fVBsupergeheim

gehen und nach einigen weiteren Schritten zu

fVBZtebshkR8Lsupergeheim

kommen und schließlich wie gewünscht bei

fVBZtebshkR8Ly

enden.

Wann ändern?

Es wird oft verlangt, Kennwörter häufig zu ändern. Aber bevor man das tut, sollte man den Grund für diesen Ratschlag kennen, und überlegen, ob man mit anderen Maßnahmen und seltenerem Kennwortwechsel nicht mit weniger Aufwand mehr erreicht:

Zunächst einmal kann ein Kennwort durch direkte Angriffe nicht leichter geknackt werden, ob es nun häufig gewechselt wurde oder nicht.

Es ist lediglich so, dass der Schaden, der bei der Kompromittierung eines Kennworts entsteht in der Regel höher ist, wenn dieses nur selten gewechselt wird, vor allem dann, wenn es die angegriffene Person nicht bemerkt.

Der Aufwand für eine Änderung von starken, aber merkbaren Kennwörtern ist jedoch enorm. Deshalb sollte man zunächst darüber nachdenken, wie das Kennwort besser geschützt werden kann (nur für einen Zweck verwenden, nie aufschreiben, nie unter Kameras eintippen, niemandem erzählen) und wie man die Kompromittierung erkennen kann.

Denken Sie daran: Die Kosten eines Risikos bestehen immer in dem Produkt aus Wahrscheinlichkeit des Eintreffens mit dem dann verursachten mittleren Schaden. Halten Sie die Kosten der Minderung des Risikos dem gegenüber.

Wenn Sie monatlich Ihr Kennwort ändern, wie aufwändig ist das? Was wenn Sie es nur jährlich tun (also nur acht Prozent dieses Aufwandes haben), dafür aber darauf achten, dass Sie die Kompromittierung Ihres Kennworts in aller Regel sehr schnell erkennen? Oder sich einfach mal zurücklehnen und darüber nachdenken, ob Sie nicht ein ganz anderes Risiko bisher vernachlässigt haben, an das Sie bisher noch gar nicht gedacht haben?6

 

1) Im Blog-Artikel "Mathematik der Passwortstärke" (Abschnitt "Die nötige Stärke von Kennwörtern") wird ausgeführt, warum diese Stärke sehr sinnvoll ist.
Bei generierten Kennwörten, die vom Browser automatisch in den Anmeldeformularen eingetragen werden, besteht überhaupt kein Grund, eine geringere Stärke zu wählen.

2) Es ist überhaupt nicht einfach, die Webseiten-Betreiber*innen dazu zu bringen, unsinnig niedrige Obergrenzen bei der Kennwortlänge auf einen problemlosen Wert (wie z. B. 100 Zeichen) anzuheben. Bei großen Unternehmen, bei denen es sich lohnen würde und man denken sollte, dass die Kompetenz vorhanden ist, das Problem zu verstehen, kommt man vielleicht bis zum*zur Datenschutzbeauftragten durch, aber dann erklärt diese*r, dass für die Datensicherheit ganz andere zuständig sind, eine eigene Firma in dem Konzern. Dort ruft man dann vielleicht an, und die Sekretär*in verspricht, das Anliegen zu übermitteln und den Rückrufwunsch auszurichten, aber viel weiter kommt man nicht. So endet man leicht in dem Zweifel, ob man nun eher Don Quichotte ähnelt oder dem Buchbinder Wanninger. Sollten Sie so etwas vorhaben: Lassen Sie es lieber!
Aber das gößere Problem ist wohl, dass solche Datensicherheits-Abteilungen nicht selbst darauf gekommen sind, die maximale Kennwortlänge den Sicherheitserfordernissen anzupassen. Benutzen denn deren Mitarbeiter*innen keinen Passwortmanager, der Kennwörter generieren kann, wie es immer wieder öffentlich empfohlen wird? Kommt denn keine dieser Sicherheitsexpert*innen auf die Idee, dass ein generiertes Kennwort dann auch problemlos die Stärke eines kryptografischen Schlüssels haben könnte und auch haben sollte? Fällt niemand in den Datensicherheitsabteilungen auf, dass eigene kleinliche und willkürliche Beschränkungen das verhindern? Gibt es denn gar niemand dort, der*die 2017 in den Nachrichten auf die Entschuldigung von Bill Burr (siehe Blog-Artikel "Todo cambia") gestoßen ist? Niemand, der*die was von Passphrasen gehört hat? Niemand, der*die Englisch (oder ein Übersetzungsprogramm bedienen) kann und den Wikipedia-Artikel "Password Strength" gelesen hat?
Oder bin nur ich doof und Bill Burr vielleicht senil, und liegen das NIST und die Wikipedia voll daneben? Und auch IBM, die schon seit vielen Jahren auf ihrem Mainframe-Betriebssystem für die Anmeldung Passphrasen mit bis zu 100 Zeichen Länge ermöglichen?
Meine Befürchtung ist jedoch, dass wir es hier leider mit vielen Eisbergen der Ignoranz zu tun haben. Gegen solche frontal anzurennen, wäre in der Tat eine Donquichotterie.
Da dürfte es schon besser sein, von der Seite her Aufklärung (wie mit diesem Blog) zu betreiben, und so das Abschmelzen dieser Art von Eisbergen zu fördern.

3) Achtung das Kennwort "08fuenfzehn" ist bereits kompromittiert, d. h. es taucht in Wörterbüchern von Hacker*innen auf, wie eine Abfrage bei "Have I Been Pwned" ergibt. Nur, weil es schon ohnehin verbrannt ist, trauen wir uns, dieses Kennwort hier als Beispiel zu betrachten. Die Erfahrung zeigt nämlich, dass manche Leser*innen gerne Beispiele von Kennwörtern in Blog-Artikeln wie diesem selbst verwenden, anstatt eigene Fantasie zu entwickeln. Hacker*innen haben das wohl auch mitbekommen und testen daher auch veröffentlichte Kennwort-Beispiele.

4) Allgemeiner wird die Kennwortstärke in dem Blog-Artikel "Mathematik der Kennwortstärke" behandelt.

5) Ich habe darüber nachgedacht, ob ich solche Kennwörter nicht eher "semizufällig" nennen sollte, weil bei der Semipermeabilität von Membranen die Durchlässigkeit nur in einer Richtung gegeben ist und das doch eine schöne Analogie wäre. Schließlich soll die Zufälligkeit auch nur aus Sicht der Hacker*in gegeben sein. Aus Sicht der Ersteller*in des Kennworts sollte letzteres dagegen gut merkbar sein, also ganz und gar nicht zufällig.
Da aber "semi" bzw. "halb" auch leicht anders verstanden werden kann, im Zusammenhang mit Stärke (als nur halb so stark wie ein von einem echten Zufallszahlengenerator erzeugtes Kennwort – das wäre natürlich ein arges Missverständnis), habe ich mich dann doch für das Attribut "pseudo" entschieden, auch wenn "pseudo" nun "falsch" bedeutet und pseudozufällige Kennwörter in meinem Sinn durchaus echte Stärke aufweisen sollen.
Doch "pseudozufällig" erinnert auch stark an "Pseudozufallszahlengeneratoren", die, wenn sie gut sind, durchaus starke Dienste leisten: Initialisiert (im Englischen "seeded") mit einem echten Zufallswert und versehen mit einem guten Algorithmus, der aus vorangegangenen erzeugten Werten keine oder kaum Rückschlüsse auf den nächsten Wert zulässt, können solche Pseudozufallszahlengeneratoren ohne signifikante Sicherheitsverluste Zustände überbrücken, bei denen echte Zufallszahlengeneratoren auf Entropie aus Hardwarerauschen warten müssen und ohne einen Pseudogenerator das ganze System aufhalten würden.
Und genau dies machen wir hier auch: Mit Bedacht und Vorsicht einen guten Ersatz wählen, der seinen Zweck erfüllt, wo nichts Besseres zur Verfügung steht.

6) Siehe dazu auch den Blog-Artikel "Risikominimierung".


>> Zurück zum Artikelverzeichnis >>