Wenn im Kopf kein Platz mehr ist

Im dunklen Mittelalter war ein „Passwort“ genau das, was es sagt – ein einfaches Wort um Zugang in eine Burganlage, geheime Treffen oder jede andere Art geschlossener Bereich zu gelangen. Heute ist es weniger ein Wort, als vielmehr eine Zeichenkette a la „hTfd4Xz“.

Es gibt Situationen, in denen Passwörter nicht sehr komplex sein müssen, weil zwischen mehrfachen Eingabeversuchen Zwangspausen bestehen (z.B. beim Einloggen in einen Server), oder weil nach mehrfacher Falscheingabe der Zugang komplett gesperrt wird (PIN-Eingabe beim Bankautomaten) – das Durchprobieren aller möglichen Varianten (Brute force attack) ist hier ziemlich sinnlos.

Ganz anders sieht es aber bei verschlüsselten Datenträgern aus – geraten sie in die falschen Hände, kann der Angreifer sie in seinen Computer einsetzen, und ohne Beschränkungen alle möglichen Passwörter ausprobieren.

Bei den meisten Verschlüsselungsprogrammen gibt der User nicht den eigentlichen Schlüssel ein, sondern ein Passwort, mit dessen Hilfe der endgültige Schlüssel generiert wird.
Vor 100 Jahren mag ein Passwort wie „König Richard“ noch ausreichend gewesen sein – heute wäre so etwas mit einem sogenannten Wörterbuchangriff in Sekunden geknackt.
Noch vor 10 Jahren wurden Schlüssel/ Passwörter mit 40-Bit als „sicher genug“ angepriesen – auch hier ist das Durchprobieren aller möglichen Kombinationen nur noch eine Frage von Stunden.

Heutzutage gilt 128-Bit-Verschlüsselung als Minimum, 256-Bit mausern sich zum Standard – und schon haben wir das Problem: Sind die Daten mit 256 Bit verschlüsseln, sollte das Passwort die gleiche Schlüssellänge haben, sonst macht die aufwendige Verschlüsselung wenig Sinn.

Nehmen wir an, beim Passwort sind sowohl Groß-/ Kleinschreibung (ohne Umlaute) wie auch Ziffern zugelassen – das macht immerhin 62 Möglichkeiten pro Stelle. Mit 43 Stellen wären dann 1.18e+77 Möglichkeiten abgedeckt, was in etwa 256 Bit (1.15e+77 Varianten) entspricht. Nur – wer kann sich ein 43-stelliges Passwort wie „jZ85xfbgGjf52d2sS8gd43ahfFR5rG3qZ4wF425FfVf“ noch merken? Wer hat die Zeit, so ein Durcheinander einzugeben? Und wie sieht es dann noch mit Ihrer Motivation aus, Ihr Passwort regelmäßig zu ändern, wie es immer empfohlen wird?

Auch Tipps, seine Passwörter aus den Anfangsbuchstaben leicht zu merkender Sätze zuzusammenzusetzen (z.B. „Meine Katze springt gerne auf meinen Möbeln herum“ -> „MKsgamMh“), nützen hier nicht viel – denn statistische Häufungen einzelner Buchstaben verringern die Zufälligkeit des Passwortes, und damit auch seine Sicherheit. Solche Passwörter dienen nur noch der Beruhigung des eigenen Gewissens, mehr aber auch nicht.

Sehen wir den Tatsachen ins Auge: Die Rechenleistung heutiger Entschlüsselungssysteme hat das menschliche Erinnerungsvermögen überholt. Und solange es keine biologisch verträgliche Gedächtniserweiterungen für Menschen gibt, bleiben zum Ablegen eines sicheren Passwortes nur noch USB-Tokens und andere Datenträger – mit dem Risiko, dass diese gleich zusammen mit den verschlüsselten Daten gestohlen werden.

Traurig, aber wahr: Die Ära des Passworts ist vorbei, zumindest wenn es um Verschlüsselung geht.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.