Kurze Passwörter sind unsicher, lange kann man sich nicht merken, es sei denn man ist ein Gedächtniskünstler. Und natürlich sollte überall ein anderes Passwort verwendet werden - zur Sicherheit. Allein das Eintippen langer, ggf. auch noch kryptischer Passwörter kann zur Last werden.
Nun kann man die Passwörter auf Papier aufschreiben und ggf. mit sich herumtragen - weder umfassend sicher noch besonders schön. Alternativ könnte eine Passwort-Safe-Software in Frage kommen. Ach ja, irgendwie sollte man die Passwörter dann auch noch zusätzlich irgendwo sicher aufbewahren. Sonst bekommt man schnell große Probleme wenn die Papierzettel verschollen sind oder der Computer mit der Passwort-Safe-Software den Geist aufgibt.
Nicht immer müssen wirksame Passwörter besonders lang sein. Insbesondere zwei Ausnahmen gibt es:
Bei in jedem Fall langsamen Schlüsselableitungen wie Argon2 ist die Risikoberechnung schwieriger. Das Problem ist das "in jedem Fall". Oft sind Festplattendaten eines normaler PC's zu schützen. Ein Angreifer hat jedoch Spezialhardware, die für die verwendete Schlüsselableitung z.B. um den Faktor 10.000 schneller ist. Diesen maximalen Faktor muss man kennen und dieser erhöht die nötige Passwortlänge für ein gewünschtes Restrisiko. Für Faktor 10.000 sind das ca. 13,3 Bits. Das sind ca. 2,8 echt zufällige Kleinbuchstaben von a bis z. Das Passwort muss zur Kompensation also 3 solche Zeichen länger sein. Das Restrisiko kann als Entschlüsselungswahrscheinlichkeit pro Zeitraum betrachtet werden, beispielsweise 1/1.000.000 für einen Berechnungszeitraum der angenommenen Entschlüsselungshardware von 10 Tagen.
Ein langes Passwort einzugeben wird schnell lästig. Daher ist es vorteilhafter, wenn ein Passwort möglichst viele verschiedene Zeichen enthalten kann, z.B. Ziffern, Klein- und Großbuchstaben. Damit hat man je Zeichen bereits 62 (10+2*26) Möglichkeiten (ohne Umlaute) und einen Informationsgehalt von ca. 5,95 Bits. Ein vierstelliges Passwort hat somit 14.776.336 Möglichkeiten. Gegenüber 10.000 für eine vierstellige Zahl ist das ein enormer Vorteil. Für viele Anwendungen sind 4 Stellen mit einem Informationsgehalt von zusammen knapp 24 Bits dennoch absolut ungenügend.
Nun ja, es gibt diesen Merktrick mit Sätzen. Man nehme von "Alle meine Entchen schwimmen auf dem See" jeweils den ersten Buchstaben. Das ergibt das 7-stellige Passwort "AmEsadS". Leider sind die 7 Stellen keine zufälligen Buchstaben. Das erhöht die Ratewahrscheinlichkeit maßgeblich. Hat ein zufälliges Zeichen, dass ein Groß- oder Kleinbuchstabe sein kann einen Informationsgehalt von ca. 5,7 Bits, so dürfte dies bei den Anfangsbuchstaben auf schnell geschätzt ca. 3-4 Bits sinken. Das Passwort muss zur Kompensation also bis zu doppelt so lang sein. Verwendet man dann noch allgemein bekannte Sätze wird es noch schlimmer. Diese werden ggf. einfach aus einer Liste beliebter allgemeiner Sätze zuerst durchprobiert.
Muss man sich mehrere sichere und absolut zufällige Passwörter merken, so wird das schnell ein sehr lästiges Auswendiglernen. Helfen können Merksysteme wie das Major-System, aber die muss man auch erst erlernt haben. Das lohnt wiederum nicht, nur um sich zwei oder drei Passwörter zu merken. Zudem ist das Major-System für Zahlen. Für Buchstaben und Zahlen und ggf. weitere Zeichen ist noch eine Zahl-Zeichen-Zuordnung erforderlich. Wer beispielsweise die ASCII-Codes kennt kann sich das Leben diesbezüglich vereinfachen.
So ein Passwort-Safe kann hilfreich sein. Man merkt sich nur ein einzelnes Passwort, um dann auf viele Passwörter für unterschiedliche Zwecke zuzugreifen. Die Passwort-Safe-Software muss ihrerseits jedoch sicher sein und auch eine sichere Software nützt nichts, wenn sie auf einem gehackten Computer läuft. Der Passwort-Safe sollte daher möglichst eine separate Hardwarelösung sein. Eine spezielle Hardware oder zumindest ein Offline-System.
Dumm, wenn einem die sicheren Passwörter verloren gehen. Z.B. durch einen technischen Defekt. Hier sollte immer ein sicher verschlüsseltes Backup vorliegen. Dies kann auch ein Papierausdruck sein. Die Verschlüsselung kann z.B. mit dem Passwort für die Passwort-Safe-Software erfolgt sein.
Stand 2022-11-15 - Copyright 2022 Raoul Naujoks, Braunschweig, Deutschland