Sonstiges

Neues aus der Forschung: Passwörter leicht zu merken und kaum zu knacken

Wer sich ein neues Passwort ausdenken muss, kennt das Problem: entweder man nimmt eines, das leicht zu merken ist (weibliche Vornamen sind da sehr beliebt), dann aber kann der Kollege es leicht erraten. Wer aber auf Sicherheit bedacht eines mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wählt, so dass niemand jemals darauf kommen kann, hat es bald auch selber vergessen. Microsofts Forschungsabteilung hat sich mit diesem Problem beschäftigt und ist zu einer Lösung gekommen, mit der sichere und einfach zu merkende Passwörter möglich werden sollen.

Um es sofort zu sagen: die Lösung besteht darin, dass jeweils nur eine geringe Anzahl von Usern eines Dienstes oder einer Firma dasselbe Passwort haben dürfen. Wenn ein Account mit einem Wort aus der Alltagssprache geschützt ist, können Hacker sich mit einem simplen Wörterbuch-Angriff Zugang verschaffen. Dabei wird einfach jedes Wort aus einem Lexikon automatisch durchprobiert, bis das Passwort gefunden wurde.

Indem das System nach einer geringen Anzahl von wiederholten Fehlversuchen den Zugang zunächst komplett sperrt, kann ein solcher Angriff relativ einfach verhindert werden. Deshalb probieren gewiefte Hacker nun nicht mehr tausende mögliche Passwörter an einem Account aus, sondern testen nur zwei bis drei Wörter, dafür aber bei tausenden verschiedenen Nutzern, was auf ungefähr dieselbe Anzahl gekaperter Zugänge hinausläuft. Wenn nun aber das Sicherheitssystem nur fünf Nutzern das Passwort „Heidi“ erlaubt, sinkt die Erfolgschance der Hacker rapide. Und der sechste User muss dann eben „Almöhi“ wählen.

Die Forscher betonen allerdings, dass Microsoft zur Zeit nicht plant, diese Idee in ihren Produkten umzusetzen. Dann nämlich müssten vermutlich tausende Hotmail-Nutzer ihr Passwort „123456“ ändern. Mich allerdings betrifft das alles sowieso nicht, denn mein Passwort ist schon seit Jahren „*********“.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


(Nils Baer / Foto: Flickr – Fotograf: Freddy The Boy)

Über den Autor

Nils Baer

Nils Baer hat im Jahr 2010 über 100 Artikel für BASIC thinking geschrieben und veröffentlicht.

33 Kommentare

  • Das Problem an der Sache ist: Wenn ich weiß das mein Passwort schon vergeben ist könnte ich ja anfangen dieses Passwort bei verschiedenen Usern auszuprobieren…

    In kleineren Foren wäre das schlecht

  • Ich verstehe da nicht unbedingt den Vorteil? Dann probiert man eben für jeden Account ein anderes Passwort aus. Die Chancen sollten dabei nicht sinken.

    „Der Benutzer xy verwendet dieses Passwort bereits, bitte wählen Sie ein anderes“.

    Wenn alle Menschen wirklich konsequent sichere Passwörter mit einer Mindestlänge von 20 zufälligen Zeichen aus dem ganzen ASCII-Raum verwenden würden wäre das kein Problem. Außerdem sollte man kein Passwort für mehrere Accounts verwenden.

  • Stimme #2 voll und ganz zu. Da kann man ja gleich noch eine Liste mit freien Passwörtern dazu schreiben, bei der Anmeldung in Foren.

    Ich denke, sichere Passwörter sind und bleiben die langen Zeichenketten mit allen möglichen Kombinationen aus Buchstaben, Zahlen und Zeichen. Und wenn man sich sowas nicht merken kann, dann benutzt man eben nen Passwort Manager oder geht das Risiko ein, ein geknacktes E-Mail Konto zu haben.

  • Interessant ist, was Timbo schreibt. Wenn der Dienst meldet, »Das Passwort CLOWN wird bereits verwendet», dann ist das Passwort irgendwie nur noch semigeheim… Wäre es nicht effektiver, Wörterbücher mit gesperrten Begriffen zu hinterlegen, so dass man nicht von vorneherein einen Wörterbucheintrag verwenden kann?

  • @#3
    „Wenn alle Menschen wirklich konsequent sichere Passwörter mit einer Mindestlänge von 20 zufälligen Zeichen aus dem ganzen ASCII-Raum verwenden würden wäre das kein Problem. Außerdem sollte man kein Passwort für mehrere Accounts verwenden.“

    D.h. 20 Zeichen langes Passwort, „sicher“ mit Groß- und Kleinbuchstaben, Zahlen und am besten noch Sonderzeichen. Und dann für jeden deiner 10 bis 20+ Internetaccounts ein Anderes – und das soll sich einer merken? Gut dass da neben dir noch Microsoft dran arbeitet. 😉

  • Das Internet und der Beruf verlangt uns täglich eine Menge an Passwörtern ab. Passwort-Programme sind da schon sehr hilfreich.

    Ein Tipp:
    Jeder kennt irgendwelche Geschichten und Märchen. Da könnte man aus den Anfangsbuchstaben der Wörter eines Satzes + Sonderzeichen/Zahlen davor und danach, recht sichere Passwörter kreieren.

  • Dazu stand in der c´t eine interessante Strategie:

    Man erstellt sich ein einziges möglichst kompliziertes Passwort. Um es sich besser merken zu können, wählt man zB. die Anfangsbuchstaben eines Satzes. Z.B.:

    „Zum Frühstück mag ich am liebsten Brötchen mit Erdbeermarmelade“

    Diesen spickt man mit ein paar Zahlen und Sonderzeichen, dann kommt so etwas dabei heraus:

    5ZF$mialBmE.

    Um jetzt nicht überall das Selbe PW zu nutzen, hängt man den Einsatzzweck noch hinten dran. Z.B. GMXMail, oder GMX etc. für einen GMX-Account: 5ZF$mialBmE.GMX-Mail

    Leicht zu merken und dennoch praktisch nicht zu erraten.

  • ich denke ich sollte hier eine klage anstreben, denn ich denke nicht, dass ich für genau dieses Passwort ein Nutzungsrecht erteilt habe und schließlich nutze ich dieses Passwort schon seit über 10 Jahren!

  • @#6
    Es ist durchaus möglich, sich solche Langen Passwörter zu merken. Ein etwa 15-Zeichen langer „Salt“, an den wiederum je nach Dienst eine 7 Zeichen lange Zeichenkette gehängt wird. Dann hat man ein 22 Zeichen langes Passwort, muss sich pro Dienst jedoch bloß 7 Zeichen merken. So hat @#8 das auch schon beschrieben.

    Ich habe das eine Zeit lang genutzt, allerdings verwende ich inzwischen KeePass(X) um meine Passwörter zu verwalten. Nur die wichtigsten Sachen merke ich mir jetzt noch. Das hat auch seine Vorteile. Wenn man sein eigenes Passwort nicht kennt, kann man es auch nicht verraten.^^
    Allerdings sollte man auch nicht zu paranoid werden 😛 Doch er starke Sicherheitsgewinn ohne Mehraufwand, da ein Passwortverwaltungs-Programm sowieso verwendet wird ist durchaus zu rechtfertigen.

    Ich ärgere mich viel mehr über gewisse Dienste, die eine maximal Länge angeben. Es ist einfach unnötig, das Passwort auf 12 Zeichen o. ä. zu begrenzen, da dieses sowieso gehasht werden sollte.

  • Puh, da haben wir schonmal nicht das gleiche, meins ist •••••••••

    Mir erscheint diese Lösung eher unpraktikabel: Aus Admin-Sicht mag das Sinn ergeben, aber kaum ein User wird mit Verständnis reagieren, wenn er ein Passwort nicht wählen kann, weil es schon (ein paar Mal) verwendet wird.

    Und mal ganz allgemein: Passwörter sind einfach ein Krampf im Arsch. Es ist aufwändig, sich an alle Regeln für Passwörter zu halten (komplex, häufig ändern, unterschiedliche Passwörter für unterschiedliche Dienste), und auch ein Passwort-Safe ist nur bedingt eine Lösung.

  • Spätestens dann muss jeder wohl bei jeder Seite ein anderes Passwort verwenden (es sei denn, er hat schon jetzt eine „kuriose“ Kombination. Somit werden die Passwörter dann leider „unmerkbar“. Ich habe das Problem jetzt schon oft, da manche Anbieter spezifische Anforderungen an ein Passwort stellen, die andere nicht stellen.

  • Und das nennt Microsoft eine Lösung?!
    Wenn ich also irgendwo einen Account erstelle und mir gesagt wird, dass dieses Passwort schon vergeben ist, dann werde ich doch wohl nur misstrauisch. Denn das würde ja heißen, alle Passwörter werden einmal durchgegangen und ausgelesen wenn jemand neues hinzukommt…
    Hört sich doch nach einer neuen angreifbaren Stelle an.

    PS. meine 14 Zeichen langen, unsinnigen Passwörter schreibe ich mir auf ein Postit und klebe es an den Monitor, nach ca 3 Wochen weiß ich es automatisch auswendig.

  • Als Pragmatiker empfehle ich einfache Paßwörter, die mit ein paar Sonderzeichen gespickt werden. Um die Übersicht zu behalten, sollte man sie sich aber irgendwo notieren, meine speichere ich im iphone. Natürlich ist das aus Sicht einer absoluten Sicherheitsphilosophie riskant, aber anders ist das Risiko des Vergessens zu groß. Und die meisten werden halt höchsten Ziel eines zufälligen Hackerangriffs, die Angst vor einem gezielten Angriff ist eher Paranoia.

  • Hm, also ich hab zwar auch noch einige unsichere Passwörter, aber die wichtigen Passwörter (z.B. Festplattenverschlüsselung) sind leicht merkbar und sicher.

    Die Größe des Datenträgers mit der Einheit, dazu eine für mich schlüssige Bezeichnung des Datenträgers, eine einfache Zahlen/Sonderzeichenkombination, die Bezeichnung des Datenträgers mit logisch vertauschten Buchstaben und noch ein paar Sonderzeichen und Ziffern, die sich als Gleichung aus der Quersumme der Größe des Datenträgers mit einer unbekannten ergeben.
    Das System ist immer gleich, deswegen sind alle diese Passwörter für mich leicht zu merken, absolut sicher, da komplett unterschiedlich und mittlerweile hab ich diese Passwörter mit 40+ Zeichen in 4 Sekunden eingegeben…

    Also wer will, kann sich auch sichere Passwörter merkbar machen, ohne sie unter die Tastatur zu kleben…

  • @#12- Entweder war dass saudumm, oder das war absicht – hab mich amüsiert 😉

    Das mit den Passwörter für wenige User ist doch voll nervig.
    Ich dreh schon durch wenn ich mich wo anmelde und 10 Mal irgendwelche Nutzernamen ausdenken muss – wenn da jetzt noch ein unique Passwort dazukommt ( dann am besten noch min. 5 und max 8 zeichen -.- ) hängt man ewig bei anmeldungen rum und bekommt die geduld auf die probe gestellt -> Absolut Nutzerunfreundlich imho.

  • Danke für die Info! ich habe das Passwort jetzt in kuhmilch2 geändert; war wohl nicht so schlau das Passwort online zustellen.

  • Sorry Nils,
    das ist absoluter Schwachsinn – und hast es einfach nicht verstanden.
    Wenn man ein solches System umsetzen würde, müsste ein Hacker einfach nur herausfinden, welches Passwort schon (beispielsweise) 5 mal vorhanden ist und dieses dann bei allen Usern per Script ausprobieren. Nach wenigen Minuten hätte der Hacker schon 5 gehackte Accounts.

    Wörterbuchattacke? Lächerlich. Hacker gehen doch nicht mit einer Wörterbuchattacke vor. Schau dir mal einschlägige Foren an, da findest du Listen mit 500.000 „beliebten“ Passwörtern – mit ordentlichen Scripten kann man damit weit mehr Accounts hacken.

    Wer also sicher im Internet unterwegs sein will, sollte folgendes beachten:
    1. Passwörter mit mindestens 8 Zeichen (Buchstaben, Sonderzeichen, Leerzeichen, Zahlen, etc.)
    2. Man sollte einen sicheren Mail-Anbieter haben, mit einem sicheren Passwort.
    3. Bei jedem Anbieter ein neues Passwort wählen.
    4. Keepass benutzen (Verwalten von Passwörtern)

  • Gibt viele Möglichkeiten sich komplexe und lange Passwörter super einfach zu merken, in dem man ein Schema auf der Tastatur benutzt. Zb: hn7ujm8ik9ol0p – Man nehme zb einfach immer den Anfangsbuchstaben oder Zweiten oder Dritten oder Letzten Buchstaben des Dienstes bei dem man sich anmelden will und geht dann die Tasten hoch und runter oder im Zickzack von links nach rechts oder oder oder. So mach ich das bei unwichtigen Accounts.

  • Wenn man hier in die Kommentare sein Passwort schreibt, wird es übrigens auch automatisch in Sternchen umgewandelt – wow! Hier z.B. meins:
    ********
    Probiert es mal aus!

  • Man kann sich auch ein Passwort mit Sonderzeichen und Zahlen recht gut merken. Oben wurde es ja schon teils angesprochen. Ich denke mir einen leicht zu merkenden Satz aus oder nehme alternativ einen Satz aus meinem Lieblingsbuch. Heisst dieser Satz dann.. „Gestern habe ich wieder 4 Brötchen mit 2 Lagen Nutella gegessen und dabei 1 kg zugenommen !“, wäre das Passwort: „Ghiw4Bm2LNgud1kz!“
    Ich denke so etwas sollte in den meisten Fällen völlig ausreichen.

  • Also, ich habe etwa 180 Passwörter zu verwalten, und ich bin sicher nicht mal ein besonders aktiver User (denn deswegen kann ich mir sie eben nicht merken…). All die Foren, Dienste, Mailprovider (habt Ihr etwa nur EINE Mailadresse?), Accounts, Konten, Social Networks…
    Weg von Kennwörtern, hin zur Authentisierung über SmartCard und PIN.

  • Wenn nur ein e-Mail-Konto zu verwalten ist, dann lässt sich das Passwort sicherlich merken. Habe gerade in meinem KeePass nachgeschaut: mittlerer dreistelliger Bereich. Das ist einfach nicht machbar! Mit der Passwortverwaltung hat man auch keinen Stress mehr etwas einzigartiges, sicheres und langes erfinden zu müssen -> einfach Passwort generieren und fertig. Dummeweise gibt es immernoch Anbieter, die bestimmte Sonderzeichen verbieten, das ist ärgerlich.

  • Ich verwende selber ähnliche Systeme wie #8 und #11. Leider gibt es tatsächlich etliche Anbieter, die dem Anwender die maximale Kennwortlänge vorschreiben und Sonderzeichen verbieten. Sowas kann ich echt nicht verstehen und wenn schon eine maximale Länge, dann doch bitte irgendwo bei 255 Zeichen.

  • @ #26 Tommy:
    Ja klar, weg von Passwörtern und zur Smartcard und PIN. Schön und gut, aber was ist, wenn ich z.B. einen Mail-/Twitter-/{Dienst einfügen}-Account machen will, der mit anderen Accounts in keinster Weise in Verbindung stehen soll?

    Mit diese „Internet-ID“, respektive Smartcard, die du meinst, wäre das nicht möglich. Das wäre das Ende des halbwegs anonymen Internets.

    Irgendwann wirds so kommen, keine Frage…. Aber diese Sche**e soll sich ruhig Zeit lassen.

  • @Dicke Berta
    Wörterbuchattacke? Lächerlich. Hacker gehen doch nicht mit einer Wörterbuchattacke vor. Schau dir mal einschlägige Foren an, da findest du Listen mit 500.000 “beliebten” Passwörtern – mit ordentlichen Scripten kann man damit weit mehr Accounts hacken.

    Definition (Wikipedia):
    Als einen Wörterbuchangriff (engl. dictionary attack, frz. attaque par dictionnaire) bezeichnet man die Methode der Kryptoanalyse, ein unbekanntes Passwort (oder Benutzernamen) mit Hilfe einer Passwörterliste (oft auch wordlist oder dictionary genannt) zu entschlüsseln.

    Erst informieren (oder nachdenken), dann meckern!

  • Das überzeugt mich jetzt aber auch nicht. Wenn man Fremden bei der Anmeldung mitteilt, dass dieses Passwort mehrfach genutzt wird, ist das doch geradezu eine Einladung selbst an Normalnutzer, mal zu versuchen, sich Zugang zu einem Account zu verschaffen.

    Das ist so, als ob man einen Schlüssel im Treppenhaus findet und nur noch nicht weiß, zu welcher Wohnung er passt.

    Ich klebe mir meine Passwörter zwar nicht unter die Tastatur, aber dort sind sie absolut sicher vor Hackern. Insofern ist das wirklich nicht die schlechteste Lösung, gerade im Vergleich zu dem, wie die meisten Menschen mit Passwörtern umgehen.