en

Sicherheit des Kennworts

(Herzlichen Dank an Detlev Droege, der diese informative Seite ursprünglich zusammengestellt hat!)

 

Das Kennwort (oder auch engl. Password) einer Kennung hat entscheidenden Einfluss auf die Sicherheit der darin enthaltenen Daten. Mit einem schlecht gewählten Kennwort öffnet man beliebigen Manipulationen durch Dritte Tür und Tor. Es ist daher von großer Wichtigkeit, seine Kennung mit einem guten Kennwort zu schützen, schon um - wenn schon nicht die Sicherheit der eigenen Daten - so doch, um die Sicherheit der Daten aller anderen Nutzer zu gewährleisten.

 

Schlechte Kennworte

Unglaublich schlechte Kennworte

Ein Kennwort sollte immer so gewählt sein, dass es nicht leicht von anderen erraten werden kann. Der Versuch, an die geschützten Daten einer Person zu gelangen erfolgt oft über das Erraten des Kennworts. Es verbieten sich daher von vorne herein alle "offensichtlichen" Kennworte wie der eigene Name oder Vorname, der Kennungsname selbst sowie allerlei Variationen davon. Angenommen, Erika Musterfrau hätte die Kennung muster. Dann würde ein versierter "Einbrecher" zunächst folgende Varianten ausprobieren:

erika Erika musterfrau Musterfrau erikam emusterfrau Emusterfrau
em EM erikaM ErikaM muster Muster ... usw.

 

Diese Liste ist bei weitem nicht erschöpfend. Insbesondere würden auch das Rückwärtsschreiben all dieser Versionen ausprobiert werden, das Verdoppeln ("erikaerika"), Spiegeln ("erikaakire"), Großschreiben ("ERIKA") und viele weitere Variationen. Mittlerweile gibt es Programme, die versuchen derartige Kennworte automatisch zu raten.

Kurz: jedes Kennwort, das auf einer Variation des eigenen Namens basiert, ist extrem unsicher.

 

Ziemlich schlechte Kennworte

Die Programme zum Raten von Kennworten sehen sich aber nicht nur den Namen der jeweiligen Kennung an, sondern verfügen auch über umfangreich Listen mit anderen Eigennamen, die dann als nächstes ausprobiert werden. In diesen Listen stehen aber nicht nur "echte" Eigennamen sondern auch beliebte fiktive Namen wie "James", "Bond", "Kirk", "Picard", "Enterprise", "NCC-1701", "Columbo", "Derrick", "R2D2", "Skywalker", "Babylon5" uvam. Auch diese Listen werden in vielen Variationen durchprobiert, wie bereits oben angedeutet ("columbo", "COLUMBO", "obmuloc", ...).

Kurz: Auf Namen basierende Kennworte sind ganz allgemein sehr unsicher

 

Noch mehr schlechte Kennworte

Die Liste der Namen ist nicht die einzige Wortliste, mit der probiert wird, Kennworte zu knacken. Als nächstes werden ganze Wörterbücher, die auf den Computern z.B. zur Rechtschreibprüfung vorhanden sind, herangezogen. Auch diese Worte werden umfangreich variiert.

Kurz: Jedes Wort, das in einem Wörterbuch steht oder in einer anderen Sammlung von Worten vorkommt ist eine schlechte Basis für ein Passswort.

 

Weitere Variationen, die es nicht besser machen

Um sich das eigene Kennwort dennoch merken zu können gehen viele hin und nehmen ein schlechtes Kennwort, das sie dann vermeintlich unnachvollziehbar modifizieren. Aber auch diese Methoden sind den Rateprogrammen bekannt und werden entlarvt. Beispiele für unsichere Veränderungen:

  • Voranstellen oder Anhängen einer Ziffer oder eines Sonderzeichens (1erikaM, columbo9, ...)
  • Ersetzen aller "o" durch "0", "i" durch "1", "s" durch "$", etc. (er1ka, co1umb0, ...)
  • Großschreiben einzelner Buchstaben mitten im Wort
  • Kombinationen aus diesen und den weiter oben erwähnten Modifikationen

Kurz: Auch vermeintlich raffinierte Veränderungen machen ein schlechtes Kennwort kaum besser.

 

Zahlen sind auch schlechte Kennworte

Geburtsdatum ? Hochzeitstag ? Projektname der Studienarbeit ? Telefonnummer der Freundin ? Schuhgröße des Freundes ? Reden wir besser gar nicht erst davon...

Und wer glaubt, dass "..,-" ein gutes Kennwort ist, der/die lebt hinter dem Mond :-)

 

Gute Kennworte ?

Was ist denn nun ein gutes Kennwort ? Die besten Kennworte sind völlig zufällige Folgen von Buchstaben, Ziffern und Sonderzeichen. Leider können viele sich solche Kennworte schlecht merken und schreiben sie auf einen Merkzettel. Aber sobald ein Kennwort aufgeschrieben wird ist es sofort ein schlechtes Kennwort, denn der Zettel könnte ja dem Falschen in die Hände fallen. (Noch schlimmer ist, die Kennworte auf dem eigenen Computer zu speichern, denn sollte der mal durch ein "Trojanisches Programm" unter fremde Kontrolle geraten, dann sind durch so gespeicherte Kennworte möglicherweise auch noch Online-Banking und anderes in Gefahr.)

Bleibt also nur noch, dass man sich eine für andere kaum nachvollziehbare Eselsbrücke baut, mit der man sich das Kennwort merken kann.

  1. Beispiel: Man nehme das Wort "Kalender", ersetzt die darin enthaltene "Lende" durch "Filet" und schreibt hinter dem 3. Buchstaben ein Sonderzeichen, z.B. "/". Das Kennwort heißt dann "kaf/iletr" und sollte einigermaßen sicher sein. Solche Ersetzungen sollten aber nicht allzu offensichtlich sein, "ver2felt" ist kein gutes Kennwort.

    Mit derartigen Konstruktionen lassen sich recht brauchbare Kennworte konstruieren, die man sich dennoch merken kann. Das Kennwort sollte aber auch lang genug sein, mindestens 8 Zeichen.

  2. Beispiel: Mittlere Buchstabengruppe des Autokennzeichens vom Nachbarn (nicht des eigenen !!), ergänzt um die Vorwahl oder Telefonnummer der Tante in Hintertupfingen, dahinter die Initialen des Cousins. Da kommen dann Kennworte wie "bk3195WM" heraus, die auch recht gut sind.

    Eine andere Methode, die mitunter auch als "Pass-Phrase" bezeichnet wird, funktioniert folgendermaßen:

  3. Beispiel: Man denke sich einen Satz aus, z.B. "die Katze sitzt zusammenregollt auf dem ersten Dach". Nun nimmt man den Anfangsbuchstaben jedes Wortes (inklusive seiner Groß-/Kleinschreibung): DKszadeD. und ersetzt einzelne Worte bzw. Anfangsbuchstaben mit visuell vergleichbaren Zeichen: 
    zusammengerollt => @ 
    Dach            => ^ 
    ersten          => 1

 

Als neues Kennwort ergibt sich DKs@ad1^. und das ist ein ziemlich gutes Kennwort, das man sich auch recht gut merken bzw. rekonstruieren kann.

Alle Kennworte lassen sich durch das willkürliche Einstreuen von Buchstaben, Ziffern oder Zeichen weiter "verbessern". Nach Möglichkeit sollte jedes Kennwort mindestens eine Ziffer, ein Sonderzeichen, einen großen und einen kleinen Buchstaben beinhalten, insgesamt min. 8 Zeichen. Wichtig ist aber immer, dass die Grundlage für das Kennwort für andere nicht nachvollziehbar oder durch triviales herumprobieren zu Erraten sein darf. Und man sollte sich immer auch überlegen, ob das mit einer solchen Methode konstruierte Kennwort nicht eventuell zufällig ein Wort aus einer gängigen Fremdsprache ist. Dann ist alles wieder für die Katz', denn die Wortlisten sind international.