Die Würfel sind gefallen: Passwörter mit dem Diceware-Verfahren erstellen

Im Beitrag „Schluss mit Passwort „123456“: Warum Du endlich sichere Passwörter nutzen solltest!“ haben wir gelernt, dass ein möglichst sicheres Passwort aus einer langen Zeichenfolge bestehen sollte und dasselbe Passwort nicht bei mehreren Diensten gleichzeitig verwendet werden darf. Aus der Sicht der Nutzer ist es aber mindestens genauso wichtig, dass das Passwort leicht zu merken ist und dennoch seine Sicherheitsfaktoren, u.a. Länge und Einmaligkeit einer zufälligen Zeichenfolge, beibehält.

Diceware-Verfahren: Passwort würfeln

Man könnte denken, dass die Sicherheit der Passwörter unter diesen Kriterien zwangsläufig leiden muss, wenn der Nutzer sich auf Passwörter festlegt, die leicht zu merken und einzugeben sind. Diesen Konflikt hat auch Arnold G. Reinhold erkannt und daher an einer Lösung gearbeitet, mit der sich Sicherheit und Bequemlichkeit kombinieren lassen. Enstanden ist die Idee des Diceware-Verfahrens, bei dem man seine Passwörter erwürfelt. Crazy, oder?

Was benötigen wir für die Passwort-Erstellung mittels Diceware?

Wir statten uns daher mit einem sechsseitigen Würfel und einer Diceware-Wortliste aus. Den Würfel wirst Du wahrscheinlich bereits zuhause haben (z.B. bei Brettspielen), die Wortliste findest Du – je nachdem, was dir passt – in deutscher oder englischer Fassung.

Vorgehensweise bei der Passwort-Erstellung

1. Zunächst würfelst Du fünf mal hintereinander und notierst Dir die Zahlenfolge.

Beispiel: Ich habe z.B. die Kombination: „5-1-3-3-4“ gewürfelt.

2. Als nächstes checkst Du in der Wortliste ab, welchem Wort diese fünfstellige Zahl zugeordnet ist und notierst Dir dieses.

Beispiel: Meine Kombination „5-1-3-3-4“ ist dem Wort „puzzle“ zugeordnet.

3. Diese beiden Schritte wiederholst Du mindestens sechs mal.

Hast Du dies getan, wirst Du eine Kombination von Wörtern vor dir haben.

Beispiel: In meinem Fall haben sich diese Wörter ergeben:

5-1-3-3-4 puzzle
4-1-1-4-6 leeren
5-5-2-2-2 sirup
6-3-6-1-2 vorige
4-6-5-3-1 plumps
3-4-1-2-6 jumper

Mein Passwort lautet: puzzle-leeren-sirup-vorige-plumps-jumper

Die Bindestriche habe ich zusätzlich als Seperator hinzugefügt.

Memorisierung des Passwortes:

Im nächsten Schritt versuchen wir uns, dass Passwort besser zu merken, indem wir Taktiken zur Memorisierung verwenden. Ich z.B. bilde gerne kleine Geschichten. In meinem Falle daher folgende Erinnerungshilfe: „Bevor ich das Puzzle leere, mache ich mir vorher Sirup. Dabei falle ich mit einem Plumps zu Boden, aber recke mich mit einem Jumper voller Vorfreude wieder auf.

Wie sicher ist ein Diceware-Passwort?

Bevor wir aber Freuden-Sprünge machen sollten, sollten wir uns die Frage stellen, wie sicher ein Diceware-Passwort überhaupt ist.

Wenn ein potentieller Angreifer weiß, dass man für die Passwort-Erstellung das Diceware-Verfahren genutzt hat und welche Wortliste man dabei verwendet hat, muss der Angreifer bei nur einem Wort 7776 Kombinationen durchprobieren. Diese Zahl ergibt sich daraus, dass man für ein Wort fünf mal einen sechsstelligen Würfel geworfen hat. Mathematisch: 6^5 = 7776. Mit jedem zusätzlichen Wort erhöht sich die Anzahl der möglichen Kombinationen um den Faktor 7776. Ein Passwort aus sechs Worten hat also 7776^6 mögliche Kombinationen. Dies sollte aber nicht darüber hinwegtäuschen, dass sich die technischen Möglichkeiten, um Passwörter zu knacken, stetig verbessern, sodass langfristig mehr Wörter hier mehr helfen könnten.

Aufmerksame Leser werden sich sicher die Frage stellen, wie sich das Diceware-Verfahren mit dem Hinweis „Keine Wörter aus dem Wörterbuch“ verhält. Insofern liegt der Unterschied darin, dass das Passwort beim Diceware-Verfahren aus mehreren zufälligen Wörtern besteht, die man durch mehrmaliges Würfeln erstellt hat.

Zur Erhöhung der Sicherheit bzw. der Passwort-Stärke kann man im Passwort ein Fremdwort verwenden, welches nicht auf der verwendeten Diceware-Liste steht und nicht einfach zu erraten ist.

Dadurch hat man ein langes Passwort generiert, das einfacher zu merken ist. Das karikiert ebenfalls ein bekannter xkcd-Comic.

Diceware-Passwörter in der Praxis:

In der Praxis scheint diese Methode noch nicht bei den Programmen und Diensten angekommen zu sein bzw. wird von diesen als unsicher eingestuft. Viele Webseiten lassen die mit dem Diceware-Verfahren erstellten langen Passwörter nicht zu und fordern als Kritierium die Verwendung von Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen. Bezüglich ersterem sollte man den Dienste-Anbieter anschreiben und auf die Wichtigkeit langer Passwörter pochen, bezüglich letzterem kann man das erstellte Passwort ausgehend der Kriterien leicht modifizieren (Beispiel: „puzzle1leeren#Sirup-vorige-plumps-jumper“). Ich weiß selbst, dass der „Passwort-Rahmen“ einen teilweise zur Weißglut führen kann.

Fazit:

Das Diceware-Verfahren ist es eine solide und verständliche Methode, die eine Brücke zwischen Passwortsicherheit und Nutzerfreundlichkeit schlägt. Allerdings ist Sie aufgrund oben genannter Einschränkungen in der Praxis nicht das Allzweckmittel, wenn es um die Erstellung sicherer Passwörter geht. Ich generiere und manage meine Passwörter u.a. mit einem Passwortmanager.


Danke, dass Du auf meinem Blog vorbeigeschaut hast. Ich hoffe, Dir hat dieser Beitrag gefallen. Mit einem Kommentar kannst Du mir konstruktives Feedback mitgeben und mit einer Spende meinen Einsatz für Datenschutz und Freiheit finanziell unterstützen.

Bildquelle: Pixabay

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.