von Andy Pillip

Gn)54#b/g – go home password, you're drunk

Sonderzeichen und Ziffern machen Passwörter nur für Menschen schwieriger

Wer kann sich schon diese kryptischen Passwörter merken? Sicherer sind sie nicht wirklich.

Längere, normale Sätze (Pass­phrases) sind ein Schritt zu mehr Sicherheit und Nutzerfreundlichkeit. Ein Appell an UI Designer.

Das Wort mag zwar in der Informatik völlig anders definiert sein als im Alltagsgebrauch, sicher ist jedoch, dass sich Gn)54#b/g nur wenige merken können – schon gar nicht mehrere solcher „Wörter“ für unterschiedliche Anbieter.

Verwendet man hingegen nur ein Passwort für alle möglichen Zwecke, hat man ein großes Problem, wenn das Passwort bekannt wird.

Passwörter anzeigen

Für die Kontrolle bei der Eingabe ist ein erster guter Schritt die schon weit verbreitete Funktion, das Passwort im Passwortfeld anzeigen zu können.

Der Nutzer hat seine Umgebung im Normalfall im Blick um sich vor interessierten Blicken zu schützen, und ein gesehenes Wort prägt sich besser ein als ein maskiertes.

Luke Wroblewski zieht ein Fazit: Showing Passwords on Log-In Screens.

Das ist aber nur ein sehr kleiner Schritt zu nutzer­freund­licheren Passwörtern.

Länger ist sicherer als kompliziert

Ein Computer versucht bei einer Brute-Force Pass­wort­attacke alle möglichen Passwörter durch. Die Dauer zum Knacken ist also abhängig von der Anzahl der möglichen Wörter.

Nachdem sich Menschen kryptische Passwörter schlecht merken können, wurden oft Wörter aus dem Wörterbuch verwendet. Dadurch schrumpft die Anzahl der Möglichkeiten natürlich gewaltig, und das Durchprobieren geht wesentlich schneller.

Um das Knacken eines Passwortes zu erschweren, gibt es also zwei Möglichkeiten:

  1. Mehr unterschiedliche Zeichen erzwingen
  2. Längeres Passwort

Unstrittig ist wohl, dass die 1. Möglichkeit die verbreitete ist, vermutlich in erster Linie weil die entstehenden Passwörter nicht mehr im Wörter­buch stehen.

Unser Alphabet hat 29 Zeichen (inklusive der Umlaute, die im Urlaub auf fremdsprachigen Tastaturen u.U. schwer einzugeben sind). Damit gibt es mit 10 Zeichen 2910 = 4 x1014 verschiedene Passwörter, die ein Computer beim Knacken ausprobieren müsste.

Durch das Hinzufügen von 10 Ziffern und sagen wir 8 Sonderzeichen steigern wir das auf 47 mögliche Zeichen und damit 4710 = 5 x1016 mögliche Wörter.

Der Nachteil ist nicht nur, dass Menschen sich das Wort nur schwer merken können, sondern auch dass die Eingabe wesentlich mühsamer wird – auf Touch Tastaturen muss man meist auch noch mehrmals umschalten zwischen verschiedenen Zeichen­sätzen.

Zum Vergleich Möglichkeit 2: Macht man das Wort einfach nur 20 Zeichen lang (und verzichtet auf die proble­matischen Sonder­zeichen und Ziffern), hat man bereits 2920 = 18 x1028 verschiedene Passwörter.

(Tatsächlich sind bereits 20 Ziffern = 1020 sicherer als ein Passwort mit Sonder­zeichen der Länge 10.)

Intel hat eine Kampagne gestartet, die auf die Sicherheit langer Passwörter hinweist, und auch xkcd hat seinen Senf dazu gegeben:

Der Passsatz (Passphrase)

Hätte man 20 oder mehr Zeichen für sein Passwort zur Verfügung, ließen sich ganze sinn­volle Sätze eingeben, die für Menschen wesentlich leichter zu merken sind.

Wo Pass­wörter also noch nötig sind, sollten wir meiner Meinung nach unseren Nutzern also nicht komplizierte, un­sichere Pass­wörter aufdrängen, sondern sie im Gegen­teil dazu ermuntern, lange einfache Sätze ohne Sonder­zeichen zu benutzen.

Das Passphrase Eingabefeld

Ein passendes Eingabe­feld dafür würde die Pass­phrase initial im Klartext anzeigen, vermutlich mehr als 15 Zeichen erzwingen, und sich dementsprechend lang präsentieren. Über eine Schalt­fläche ließe sie sich maskieren.

Ein Indikator für die Sicherheit würde – analog zu howsecureismypassword.com – nicht nur die Anzahl Zeichen berücksichtigen, sondern auch die Länge.

Nachdem viele Nutzer wegen der verbreiteten kryptischen Passwörter Passwortsafes oder Pass­wort­generatoren nutzen, müssen die kürzeren, kryptischen Passwörter ebenfalls noch erlaubt sein.