Info zu Passphrasen

Wie man mit Passphrasen die Passwortsicherheit drastisch erhöhen,
aber den Aufwand in Grenzen halten und
dabei in ganz kleinen Schritten
ohne Selbstaussperrrisiko vorgehen kann

Was ist mit "Passphrasen" gemeint, was hier mit "Passwort"

Es geht um Kennwörter, die aus mehreren zufällig gewählten Wörtern (aus einer Wortliste) zusammengesetzt sind. "Kennwort" bzw. "Passwort" ist also, wenn keine einschränkenden Attribute angegeben sind, der Oberbegriff, der Passphrasen mit einschließt.

Manchmal wird allerdings das Begriffspaar "Passphrase" und "Passwort" gegensätzlich gebraucht, insbesondere dann, wenn es um die zufällige Generierung geht: Bei einem "Passphrasengenerator" geht es in der Regel um die Generierung einer Phrase aus zufällig gewählten Elementen einer bestimmten Wortliste. Bei einem Passwortgenerator geht es in der Regel um die Generierung des Passworts aus zufällig gewählten Zeichen eines bestimmten Zeichensatzes.

Wird von einem "generierten Passwort" gesprochen, ist also gewöhnlich ein aus einem Zeichensatz heraus generiertes Passwort gemeint.

Unterschied zwischen generierten Passphrasen und herkömmlich generierten Kennwörtern

Stellen wir eine generierte Passphrase und ein (aus einem Zeichensatz heraus) generiertes Passwort gleicher Stärke gegenüber, so sehen wir:

• Die Passphrase lässt sich leichter auswendig lernen als das Passwort, aber
• die Passphrase ist wesentlich länger als das (aus einem Zeichensatz heraus) generierte Passwort und erfordert daher regelmäßig mehr Tippaufwand bei der Eingabe.
• Beide bieten aber die Möglichkeit, eine festgelegte Stärke zu erhalten, und damit eine Sicherheit, wie wir sie sonst nur von kryptografischen Schlüsseln kennen.

Wann sollten wir Passphrasen verwenden, wann herkömmlich generierte Kennwörter?

• Wir sollten aus einem Zeichensatz heraus generierte Passwörter verwenden, wann immer wir diese Passwörter nicht auswendig wissen müssen, sondern es reicht, sie mit einem Passwortmanager verwalten, d. h. diese dort speichern und bei Bedarf abrufen zu können. Das ist z. B. für die Masse der Internetkennwörter der Fall. Denn wir sind dann ja an einem Gerät bereits angemeldet und können die Kennwörter vom Passwortmanager des Browsers, von einem anderen Passwortmanager auf diesem Gerät oder von einem Online-Passwortmanager abrufen.
• Passphrasen sind dagegen sinnvoll, wenn man ein Kennwort auswendig wissen muss oder will, also z. B. für
  • die Anmeldung an Geräten,
  • die Anmeldung am Browser (für dessen Passwortmanager),
  • die Anmeldung an einem anderen Passwortmanager,
  • die Öffnung von verschlüsselten Platten und
  • die Nutzung verschlüsselter kryptografischen Schlüssel (z. B. Zertifikate, SSH-Schlüssel u. ä.)

Herausforderungen: Einarbeiten, Tipparbeit und Erlernen

Einarbeiten

Wir geben zu: Diese Info, das Generieren und das Prüfen von Passphrasen auf die von uns vorgeschlagene Weise halbwegs zu verstehen kostet Zeit und Mühe, aber es ist die Investition wert. Wir haben viel Aufwand getrieben, es so einfach wie möglich zu gestalten, den Hauptaugenmerk aber auf die Minimierung des Gesamtaufwands gelegt, der die später immer wiederkehrende Eingabe der Passphrase mit einschließt.

Sollte Ihnen Manches unnötig kompliziert erscheinen, lesen Sie bitte den Blog-Artikel "Passphrasen 2.0?". Denn wir mussten einige Kompromisse eingehen, damit nicht an weniger auffälliger Stelle größere Probleme auftreten. (Keine Kompromisse haben wir bei der Sicherheit und deren Nachvollziehbarkeit gemacht.)

Tipparbeit

• Das Ziel ist, die Tipparbeit perspektivisch auf ein Minimum zu reduzieren. Der Passphrasengenerator (Tab "Generieren") verwendet deshalb eine Wortliste, bei denen jeweils die ersten drei Buchstaben der Phrasenwörter eindeutig sind und daher als Abkürzungen für die Phrasenwörter verwendet werden können.
• Wenn man anstelle der Phrasenwörter nur die Abkürzungen eintippt, so liegt der Tippaufwand nur um 50 % höher als bei den diesbezüglich am effizientesten generierten Passwörtern gleicher Stärke.
• Am Anfang sollte man jedoch die Phrasenwörter ausschreiben, jedenfalls solange, bis man sie sicher auswendig weiß, nicht nur mit dem Großhirn, sondern auch mit den Fingern.

Erlernen

• Wenn man den Weg von Phrasenwörtern hin zu deren Abkürzungen zu schnell geht, riskiert man die Selbstaussperrung. Deshalb ist meist ein Weg mit einer flachen Lernkurve, d. h. vielen kleinen Lernschritten sinnvoll: Unterteilung einer langen (d. h. starken) Passphrase in Teilphrasen, Ersetzung von Phrasenwörtern nur nach und nach durch ihre Abkürzungen. Schließlich Verdichtung der Abkürzungen durch Verwendung kompakterer Formate.
• (Dieses Vorgehen ist natürlich kein Dogma, sondern nur eine Anregung: Letztlich bestimmen Sie selbst, wie schnell oder langsam Sie vorgehen wollen. Wir gehen in dieser Anleitung jedoch sicherheitshalber in sehr kleinen Schritten vor.)
• Man kann nicht einfach Phrasenwörter mit Abkürzungen mischen. In unserer Wortliste sehen nämlich gut 13 % der Wörter genauso aus, wie zusammengeschriebene Abkürzungen. D. h. Abkürzungen und Vollwörter sind deutlich zu trennen. Abkürzungen gehören in eine Teilphrase, die Vollwörter in eine andere. (Es darf auch weitere Unterteilungen in Teilphrasen geben, aber Abkürzungen und Vollwörter dürfen nicht gemischt zusammen in einer Teilphrase stehen.) Teilphrasen werden jeweils durch ". " (Punkt und Leerzeichen) voneinander getrennt.
• Prüfen Sie jeweils nach jeder Änderung der Passphrase, die im Folgenden beschrieben wird, im Tab "Prüfen" die Passphrase. Damit Ihnen gleich eventuelle Unstimmigkeiten aufgezeigt werden.
• Den Übergang zwischen den verschiedenen Formaten können Sie mit dem "Prüfen"-Tab leicht hinbekommen: Wenn Sie bei einer Phrase mit ausgeschriebenen Vollwörtern beginnen, wird ihnen im Prüfen-Tab unter der Überschrift "Mehr oder weniger abkürzen" mit "Kürzer" angezeigt, wie Sie das erste Wort abkürzen können. Diese leicht abgekürzte Phrase können Sie auch über die Schaltfläche "Übernehmen" direkt wieder prüfen lassen und bekommen sie bei "Kürzer" eine etwas stärker abgekürzte Phrase angezeigt. Sie können das ruhig weitertreiben, bis alle Vollworte in Abkürzungen ersetzt wurden und auch das kürzeste Abkürzungsformat ("Abk. kurz", d. h. alle Abkürzungen der Phrasenwörter direkt hintereinander geschrieben) verwendet wird. Wenn Sie die Zwischenschritte verstanden haben, sind Sie mit unseren Abkürzungsformaten vertraut. Ansonsten spielen Sie ein Wenig mit "Generieren" und "Prüfen": "Generieren" zeigt Ihnen, wie man es richtig macht, "Prüfen" hilft Ihnen, Fehler zu verstehen.
• Achtung: "Mehr oder weniger abkürzen" erscheint nur, wenn Sie wie folgt vorgehen: Erst von den Vollwörten übergehen in das Format "Abk. lang", und zwar immer Wort für Wort, d. h. das vorderste Vollwort wird umgewandelt. Wenn Sie alle Vollwörter in das "Abk. lang"-Format umgewandelt haben, werden (wiederum Wort für Wort, von vorne nach hinten) die Abkürzungen in das mittlere Abkürzungsformat ("Abk. mittel") umgewandelt. Ist das geschehen, werden Abkürzungen schließlich nach und nach in das kürzeste Abkürzungsformat gewandelt.
• Sie werden manchmal sehen, dass in der Teilphrase mit den Abkürzungen ein führender Punkt auftaucht. Das ist immer dann der Fall, wenn sonst eine Verwechslung von Abkürzungen mit Vollwörtern möglich wäre. Wenn Sie mit "Mehr oder weniger abkürzen" arbeiten, sagt Ihnen der "Prüfen"-Tab, wann Sie den führenden Punkt benötigen. Das ist sehr empfehlenswert! (Es selbst herauszubekommen, ist gar nicht so einfach. Eine Alternative wäre aber, bei Abkürzungen immer den führenden Punkt zu schreiben.)

Begriffe

• Passphrase: Kennwörter, die aus mehreren zufällig gewählten Wörtern (aus einer Wortliste) zusammengesetzt sind. ("Kennwort" bzw. "Passwort" ist also der Oberbegriff, der Passphrasen mit einschließt.)
• Stärke: Die Stärke eines Kennworts ist proportional zum Aufwand, der erforderlich wäre, durch Ausprobieren das Kennwort zu ermitteln.
• Entropie: Die Entropie eines Kennworts ist die Anzahl von versteckten Ja-Nein-Entscheidungen (Bits), die von einer Hacker*in durchpropiert werden müssten um das Kennwort zu ermitteln. Die Stärke geht exponentiell mit der Entropie.

Wie stark sollte eine Passphrase sein?

Wir empfehlen, perspektivisch eine Entropie von 128 Bit anzustreben. (Dann hätte die Passphrase eine Stärke, wie sie auch als sicher betrachtete kryptografische Schlüssel haben.) Das ist nicht ganz einfach und kurzfristig auch nicht unbedingt nötig (da die meisten Passwörter viel schwächer sind und sich die Hacker*innen zunächst auf die schwächsten Passwörter stürzen). 128 Bit erreicht man mit 13 Wörtern unseres Passphrasengenerators.

Wie kann man sich eine Passphrase merken?

Eine sehr lange Passphrase (z. B. um 128 Bit Entropie zu erhalten) unterteilt man zunächst besser in kurze Teilphrasen (drei bis fünf Wörter), die einzeln nacheinander erlernt werden.

Für jede solche Teilphrase (oder ohnehin schon kurze Passphrase) denkt man sich eine Eselsbrücke aus, ähnlich wie bei dem Beispiel "correct horse battery staple". (Nehmen Sie aber bitte nur das Vorgehen als Beispiel, die Phrase generieren sie selbst.)

Es macht Sinn, zumindest während der Lernphase die Passphrase in dem Vollwort-Format, die aktuelle gesamte Phrase (so wie sie ist: inkl. Aufteilung in Teilphrasen und Abkürzungen in den aktuellen Formaten) und die Eselsbrücken an einem sicheren, aber auch sicher zugänglichen, Ort (am besten in einem Passwortmanager, notfalls aber auch im Safe) zu speichern.

Wenn die Passphrase für den Zugang zum Passwortmanager bestimmt ist, sind sicherlich Kompromisse solange erforderlich, bis man eine hinreichend starke Phrase zuverlässig auswendig weiß.

Selbst wenn man eine Passphrase gut auswendig gelernt hat, sollte man bedenken, dass man erkranken kann oder einen Unfall haben kann und nach der Genesung die Passphrase einfach nicht mehr vollständig weiß. Irgendwann muss man ohnehin die eigenen digititalen Geheimnisse vererben. Für solche Notfälle sollte man rechtzeitig vorsorgen. key.matiq bietet dafür Möglichkeiten (Stichworte: Hinterlegung und Notfallkoffer).

Zum Nachschlagen: Beispiele für Zwischenschritte zwischen Vollwörtern und Abkürzungen

Wir haben Formate entwickelt, die

• zunächst eine geringere, aber übersichtlichere Abkürzung der Passphrase (durch abwechselndes Einstreuen von Punkten und Leerzeichen) erlauben, um die Gefahr des Verschreibens zu reduzieren, dann aber eine weitere Verdichtung erlauben,
• die Mischung von ausgeschriebenen Phrasenwörtern und Abkürzungen erlauben, um nach und nach von der ausgeschriebenen Fassung zur abgekürzten übergehen zu können.

Abkürzungsformate

Die Passphrase "correct horse battery staple"* würden wir zunächst mit (Format: "Abk. lang")

cor.hor bat.sta

später mit (Format: "Abk. mittel")

corhor batsta

und erst zuletzt mit (Format: "Abk. kurz")

corhorbatsta

abkürzen.

*) Wir verwenden absichtlich an dieser Stelle (um das Prinzip zu zeigen) als Beispiel eine Passphrase, die allgemein bekannt und kompromittiert ist, deren produktive Verwendung also auszuschließen ist. Und die aus Wörtern besteht, die in der Wortliste unseres Passphrasengenerators gar nicht vorkommen.

Mischung von Vollwörtern und Abkürzungen

Dabei müssen wir zum Einen Abkürzungen und ausgeschriebene Phrasenteile (durch Einfügen von ". ", d. h. Punkt und Leerzeichen) trennen. Z. B. könnten wir schreiben:

corhor. battery staple

Wir würden in diesem Fall "corhor" und "battery staple" als "Teilphrasen" bezeichnen, die eben durch ". " (Punkt und Leerzeichen) getrennt sind. In einer Teilphrase dürften dann eben entweder nur ausgeschriebenen Phrasenwörter stehen oder Abkürzungen.

Zum Anderen können Teilphrasen, die Abkürzungen enthalten, als solche mit einem vorangestellten "." gekennzeichnet werden. Und sie müssen dann auch so gekennzeichnet werden, wenn sonst eine Verwechslung mit einer Teilphrase aus Vollwörtern möglich ist. Z. B. ist in der von uns verwendeten Wortliste*

afloat

sowohl ein Vollwort, könnte aber auch als Abkürzungsfolge von "afl" und "oat" ("afl" für "afloat" und "oat" für das Vollwort "oat") verstanden werden.

*) Hier müssen wir Wörter der von uns verwendeten Wortliste diskutieren. Wir haben das erste Wort, dass mit einer Folge von Abkürzungen verwechselt werden kann, genommen. Es gibt 171 solcher Wörter in der aus 1.296 Wörtern bestehenden Liste. (Da wir grundsätzlich nur die Verwendung zufällig generierter Passphrasen empfehlen, und es sich nur um ein Phrasenwort handelt, sehen wir durch dieses Beispiel keine Kompromittierungs-Gefahr.)

Formate mit "Generieren" und "Prüfen" ausprobieren

Wir geben zu, dass diese Formate nicht ganz unkompliziert sind, aber die "Generieren"- und "Prüfen"-Tabs helfen dabei, sie durch Ausprobieren zu verstehen. Die Investition lohnt sich, da die Verkürzung der Schreibarbeit auf Dauer viel Zeit spart und die Zwischenschritte eine flache Lernkurve ermöglichen, die das Risiko, sich wegen Vergessens irgendwo selbst auszusperren, minimiert.

Wie kann man von einem herkömmlichen Passwort auf eine Passphrase umsteigen ohne Risiko der Selbstaussperrung und auch ohne zwischenzeitliche Abschwächung des Kennworts?

Eine Passphrase übt man am besten Wort für Wort, zumindest aber Teilphrase für Teilphrase ein, um dem Risiko der Selbstaussperrung zu begegnen. (Man benutzt immer nur soviel von der Passphrase, wie man sich ganz sicher merken kann.) Damit ist natürlich zunächst der benutzte Teil der Passphrase noch recht schwach. Die Abschwächung des Kennworts lässt sich aber leicht dadurch vermeiden, indem man noch das bisherige Kennwort an die Passphrase anhängt oder ihr vorausstellt.

Sobald der Passphrasen-Teil für sich genommen stark genug ist, kann man dann das alte Passwort weglassen und sich auf die weitere Verstärkung der Passphrase konzentrieren.

Mehr Möglichkeiten mit Komponenten und Komplementen

Dieser Abschnitt ist für diejenigen interessant, die viele merkbare Kennwörter brauchen und damit liebäugeln, nicht alle grundverschieden zu gestalten, aber der Sicherheit wegen doch deutliche Unterschiede zwischen den einzelnen Kennwörtern zu halten. So dass, wenn eines der Kennwörter offen gelegt wurde, man noch Zeit genug hat, die anderen zu ändern, die gemeinsame (nun kompromittierte) Bestandteile haben.

Die oben kurz angerissenen Formate und vor allem deren Mischbarkeit ermöglicht, Passphrasen auch mittels Komponenten und Komplementen zusammenzusetzen. Das wird in den Blog-Artikeln "Merkbare Kennwörter – die Balance wahren" (im Abschnitt "Unterschiedliche merkbare Kennwörter für jeden Zweck (Matrix von Teilgeheimnissen)") und "Passphrasen 2.0?" (im Abschnitt "Benutzung von Passphrasen in einer Matrix von Teilgeheimnissen") beschrieben.

Damit ist erreichbar, dass man tatsächlich mit einer überschaubaren Anzahl von Teilphrasen sämtliche zu merkenden Passwörter mit einem minimalen Merkaufwand in den Griff bekommt.

Wird eines der Passwörter kompromittiert, so sollte man natürlich alle seine*ihre Komponenten und Komplemente als kompromittiert betrachten und sie dementsprechend auch für allen anderen Passwörter, die diese benutzen, ändern.

Damit dies gelingt, sollte jede Komponente bzw. jedes Komplement ca. 30 Bits an Entropie haben und das Kombi-System nur für Passwörter verwendet werden, die höchstwahrscheinlich auch mittels Schlüsselstreckung zusätzlich geschützt werden. (Bei Anmeldekennwörtern für Betriebssysteme, Passwörtern für verschlüsselte Platten, Passwortmanagern und verschlüsselten kryptografischen Schlüsseln sollte dies eigentlich der Fall sein.)

(Da bei einer Schlüsselstreckung man wohl davon ausgehen kann, dass die Berechnung mindestens 0,1 Sekunden dauert, sollten 30 Bits Passwortentropie diese Zeit etwa um den Faktor 1 Mrd. erhöhen. Damit wäre man bei 3,4 Jahren Rechenzeit, um alle Möglichkeiten auszuprobieren, also im Schnitt bei 1,7 Jahren mittlerer Rechenzeit bis zur Kompromittierung. Nun muss man aber berücksichtigen, dass der Rechner einer Hacker*in evtl. um ein Vielfaches schneller ist als der eigene Rechner. Ist Letzterer z. B. sechs Jahre alt, so dürfte ein neuer Rechner, den vielleicht die Hacker*in besitzt, für gleiche Kosten bereits viermal so schnell sein. D. h. man sollte doch bald, spätestens innerhalb weniger Monate die mitbetroffenen Passwörter geändert haben.)

Beim Prüfen "Erkannte Struktur" einer Passphrase

Beim Prüfen einer Passphrase wird diese angezeigt, um deutlich zu machen, wo Abkürzungen und wo Vollwörter erkannt wurden. Das passiert nur, wenn die Passphrase fehlerfrei war, d. h. keine unerwarteten Zeichen eingestreut wurden, nur erwartete Formate verwendet wurden und nur Phrasenworte oder Abkürzungen aus der Wortliste angegeben wurden.

Zunächst wird eingegebene Phrase angezeigt.

Darunter werden die erkannten Teilphrasen geschrieben. Und auch die dazwischen liegenden Separatoren ". " (Punkt und Leerzeichen).

Unter jeder Teilphrase wird eine Aufteilung in "SubSubs" vorgenommen. Mit "SubSub" bezeichnen wir entweder eine Folge von ausgeschriebenen Phrasenwörtern oder eine Folge von Abkürzungen nach einem der von uns definierten Abkürzungs Formate. Die Zeichenketten, die einem SubSub entsprechen, werden gegenüber der Teilphrase eingerückt angegeben.

Vor den SubSubs wird ggf. noch der führende Punkt der Teilphrase (der markieren soll, dass es sich innerhalb der Teilphrase nur um Abkürzungen handeln kann) angezeigt.

Die zwischen den SubSubs liegenden Leerzeichen (die in diesem Kontext als Separatoren gewertet werden) werden ebenfalls (auf gleicher Ebene) angezeigt. (Eine Teilphrase wird immer dann in mehrere SubSubs aufgeteilt, wenn sie mehrere Abkürzungsformate beinhaltet).

Auch jedes SubSub wird nochmals unterteilt und zwar in von uns so genannte "Chunks". Das sind Zeichenketten, die keine Leerzeichen mehr enthalten. Sie werden wiederum eingerückt angezeigt. Auch die Separatoren (Leerzeichen) dazwischen werden auf gleicher Ebene angezeigt.

Falls ein Chunk aus einem Phrasenwort besteht, wird dieses darunter eingerückt angezeigt. Besteht aber der Chunk aus Abkürzungen, so werden unterhalb davon (wiederum eingerückt) die Abkürzungen angezeigt. Beim "Abk. lang"-Format ggf. auch ein dazwischen liegender Punkt als Separator.

Für all dies Elemente werden Kurzinfos (Tooltips) angezeigt, wenn Sie mit einer Maus darüber streichen. Bei Touchscreens können Sie (über die Gerät-Einstellungen) -Symbole einblenden lassen, die Sie nur anzutippen brauchen, um die entsprechenden Kurzinfos zu erhalten.

Sicherheit: Wo werden die Passphrasen generiert, Wer bekommt sie zu sehen?

Die Passphrasen werden bei key.matiq per JavaScript im Browser Ihres Geräts generiert. Egal ob generiert oder eingegeben, werden sie zunächst nur im flüchtigen Hauptspeicher Ihres Geräts gehalten, und nirgendwohin (außer auf den Bildschirm Ihres Geräts) übertragen.

Nur wenn Sie eine generierte Phrase direkt über "=> Prüfen" prüfen lassen wollen oder eine Phrase, die Sie im "Prüfen"-Tab eingegeben haben, an den Generieren-Tab übergeben (über "=> Generieren"), wird die Phrase kurzfristig und stark verschlüsselt in dem Web-Speicher ihres Browsers (im Session Storage) abgelegt. Der Schlüssel dafür wird über den Server vom einen JavaScript an das andere geleitet, damit die Phrase aus dem Web-Speicher geholt und dort wieder gelöscht werden kann.

Bei diesem Verfahren wird die verschlüsselte Phrase keinesfalls zum Server geschickt, sondern verbleibt in ihrem Browser. Und der Server kann mit dem Schlüssel (der aus frisch generierten Zufallszahlen besteht) deshalb nichts anfangen. Der Session Storage wird sofort nach Abholung der verschlüsselten Phrase (in der Regel innerhalb weniger Sekunden-Bruchteile) wieder gelöscht. Sollte die Abholung misslingen, wird der Session Storage spätestens nach Schließen des Browser-Tabs gelöscht.

Das eben genannte Verfahren sollte also hinreichend sicher sein. Falls Sie aber Zweifel haben, können Sie zumindest, statt die Schaltfläche "=> Prüfen" zu benutzen, einfach per Copy/Paste die Passphrase vom "Generieren"-Tab in den "Prüfen"-Tab übertragen. (Die andere Richtung ist leider mit Copy/Paste nicht möglich.)

Kann man eine Passphrase auch manuell generieren?

Ja. Laden Sie sich die Wortliste herunter. Nehmen Sie einen Würfel, würfeln Sie viermal und notieren Sie die vier Zahlen. Suchen Sie in der Wortliste nach der Zahlenfolge und wählen Sie das zugehörige Wort. Wiederholen Sie den Vorgang für die Anzahl der gewünschten Phrasenwörter.

Was sollen die Markenhinweise bei den Übersetzungen?

In der Wortliste kommen Begriffe vor, die zwar im Englischen gemeinhin verwendet werden, aber Markennamen entsprechen und auch zu weithin bekannten Produkten Assoziationen hervorrufen. (Das ist ja auch gut so, weil diese Assoziationen bei der Entwicklung der Eselsbrücke helfen.) Spätestens bei der Übersetzung müssen wir daher die Marken auch korrekt schreiben und auf deren Rechteinhaber sowie ggf. auf die Registrierung der Marken hinweisen.

(In der Phrase selber können wir diese Hinweise nicht vornehmen, da hier ja das einzutippende Kennwort angegeben wird und die Bedeutung dafür keine Rolle spielt.)

Soweit dieses Vorgehen nicht bereits den Marken-Richtlinien der einzelnen Rechteinhaber entsprechen sollte, so dürfte es zumindest den Fair-Use-Richtlinen der ITA (International Trademark Association: "Fair Use of Trademarks") entsprechen.