Gutes neues Passwort

Wie sicher ist mein Passwort? Wer im neuen Jahr bezüglich der Sicherheit seiner persönlichen Daten nochmal nachbessern möchte, muss meist bei der Verwendung besserer Passwörter ansetzen. Längst bekannt sind die Kriterien, wie gute Passwörter aufgebaut sind: möglichst lang sollen sie sein, sich nicht einfach nachschlagen lassen und für jeden Anwendungszweck verschieden lauten. Das leuchtet erstmal ein, lässt uns aber schnell an kognitive Grenzen stoßen.


Passwörter einfach erklärt von Alexander Lehmann, cc-by-sa-3.0-de

Wenn im Homeoffice der Passwortmanager nicht läuft, die Klebezettel verstreut sind, der Onlinespeicher dafür unheimlich erscheint oder sich die Passsätze nicht mehr in die richtige Reihenfolge bringen lassen, bietet sich eine weitere interessante Alternative zum Einheitspasswort an. Eike Kiltz, Professor für Kryptografie an der Ruhr-Universität Bochum, stellte Spiegel Online sein persönliches Passwortsystem vor. Es lässt sich unabhängig vom Betriebssystem nutzen, die Passwörter werden dabei nirgendwo gespeichert.

Das Grundgerüst bildet ein sicheres Master-Passwort. Es ist der Nährboden guter Passwörter, aber trotzdem darin nicht wörtlich enthalten. Für die Vielfalt der Passwörter sorgt ein Zusatzbegriff. Da das Erinnern des Master-Passworts bereits genug Konzentration abverlangt, sollte der Zusatzbegriff nur eins sein: leicht zu merken. Hierbei hilft ein leicht zu erinnerndes Schema: zum Beispiel der Webseitenname, der Firmenname oder die Internetdomain. Die (Re-) Konstruktion des entsprechenden Passworts übernimmt ein einfaches Skript.

Technisch lässt sich das vereinfacht so erklären: das Master-Passwort und der Zusatzbegriff bilden zusammen eine Zeichenkette. Aus dieser Zeichenkette wird mit einer kryptologischen Hashfunktion ein hexadezimaler Hashwert gebildet, der anschließend in eine praktisch nutzbare Zeichenfolge kodiert wird. Die ersten 10 Zeichen davon werden als Passwort verwendet. „Die Sicherheit, die dieses System bei einem guten Master-Passwort bietet, reicht für die meisten Anwendungen absolut aus“, sagt Kiltz.

Durch das sichere Master-Passwort ändert auch der leicht zu erratende Zusatzbegriff nichts an der Vertraulichkeit der Zeichenkette, woraus der Hashwert gebildet wird. Die ursprüngliche Zeichenkette mit dem geheimen Master-Passwort lässt sich auch nicht rückwärts aus dem Hashwert ableiten. Und: gleiche Zeichenketten führen stets zum identischen Hashwert, verschiedene Zeichenketten führen stets zu anderen Hashwerten. Eine kleine Änderung der Zeichenkette, hier durch den Zusatzbegriff herbeigeführt, resultiert nicht nur in einer kleinen Änderung des Passworts, sondern führt zu einem komplett anderen Passwort.

Ein Demoskript befindet sich unter http://media.llz.uni-halle.de/blog/gutes-neues-passwort/demo.html. Das Demoskript wird ausschließlich lokal im Browser ausgeführt, es werden keinerlei Daten übertragen oder gespeichert. Die Länge des Passworts wurde auf 15 Zeichen erhöht. Als Hashfunktion wird SHA-1 verwendet, die Kodierung erfolgt mit Base64. Die verwendete Bibliothek jsSHA wurde von Brian Turek bereitgestellt.

Schreibe einen Kommentar