Universitaet Koblenz-Landau

Universitaet Koblenz-Landau Detlevs Logo

 

Hinweise zur Wahl eines Paßwortes

Das Paßwort einer Kennung hat entscheidenden Einfluß auf die Sicherheit der darin enthaltenen Daten. Mit einem schlecht gewählten Paßwort öffnet man beliebigen Manipulationen durch Dritte Tür und Tor. Es ist daher von großer Wichtigkeit, seine Kennung mit einem guten Paßwort zu schützen.

Unglaublich schlechte Paßworte

Ein Paßwort (Kennwort) sollte immer so gewählt sein, daß es nicht leicht von anderen erraten werden kann. Der Versuch, an die geschützten Daten einer Person zu gelangen erfolgt oft über das Erraten des Paßworts. Es verbieten sich daher von vorneherein alle "offensichtlichen" Kennworte wie der eigene Name oder Vorname, der Kennungsname selbst sowie allerlei Variationen davon. Angenommen, Erika Musterfrau hätte die Kennung muster. Dann würde ein versierter "Einbrecher" zunächst folgende Varianten ausprobieren:

erika Erika musterfrau Musterfrau erikam emusterfrau Emusterfrau
em EM erikaM ErikaM muster Muster ... usw.
Diese Liste ist bei weitem nicht erschöpfend. Insbesondere würden auch das Rückwärtsschreiben all dieser Versionen ausprobiert werden, das Verdoppeln ("erikaerika"), Spiegeln ("erikaakire"), Großschreiben ("ERIKA") und viele weitere Variationen. Mittlerweile gibt es Programme, die versuchen derartige Paßworte automatisch zu raten.

Kurz: jedes Paßwort, das auf einer Variation des eigenen Namens basiert, ist extrem unsicher.

Ziemlich schlechte Paßworte

Die Programme zum Raten von Paßworten sehen sich aber nicht nur den Namen der jeweiligen Kennung an, sondern verfügen auch über umfangreich Listen mit anderen Eigennamen, die dann als nächstes ausprobiert werden. In diesen Listen stehen aber nicht nur "echte" Eigennamen sondern auch beliebte fiktive Namen wie "James", "Bond", "Kirk", "Picard", "Enterprise", "NCC-1701", "Columbo", "Derrick", "R2D2", "Skywalker", "Babylon5" uvam.
Auch diese Listen werden in vielen Variationen durchprobiert, wie bereits oben angedeutet ("columbo", "COLUMBO", "obmuloc", ...).

Kurz: Auf Namen basierende Paßworte sind ganz allgemein sehr unsicher

Noch mehr schlechte Paßworte

Die Liste der Namen ist nicht die einzige Wortliste, mit der probiert wird, Paßworte zu knacken. Als nächstes werden ganze Wörterbücher, die auf den Computern z.B. zur Rechtschreibprüfung vorhanden sind, herangezogen. Auch diese Worte weden umfangreich variiert.

Kurz: Jedes Wort, das in einem Wörterbuch steht oder in einer anderen Sammlung von Worten vorkommt ist eine schlechte Basis für ein Passswort.

Weitere Variationen, die es nicht besser machen

Um sich das eigene Paßwort dennoch merken zu können gehen viele hin und nehmen ein schlechtes Paßwort, das sie dann vermeintlich unnachvollziehbar modifizieren. Aber auch diese Methoden sind den Rateprogrammen bekannt und werden entlarvt. Beispiele für unsichere Veränderungen:
  • Voranstellen oder Anhängen einer Ziffer oder eines Sonderzeichens (1erikaM, columbo9, ...)
  • Erstzen aller "o" durch "0", "i" durch "1", "s" durch "$", etc. (er1ka, co1umb0, ...)
  • Großschreiben einzelner Buchstaben mitten im Wort
  • Kombinationen aus diesen und den weiter oben erwähnten Modifikationen

Kurz: Auch vermeintlich raffinierte Veränderungen machen ein schlechtes Paßwort kaum besser.

Zahlen sind auch schlechte Paßworte

Geburtsdatum ? Hochzeitstag ? Projektname der Studienarbeit ? Telefonnummer der Freundin ? Schuhgröße des Freundes ?
Reden wir besser gar nicht erst davon...

Und wer glaubt, daß "..,-" ein gutes Paßwort ist, der/die lebt hinter dem Mond :-)

Gute Paßworte ?

Was ist denn nun ein gutes Paßwort ? Die besten Paßworte sind völlig zufällige Folgen von Buchstaben, Ziffern und Sonderzeichen. Leider können viele sich solche Paßworte schlecht merken und schreiben sie auf einen Merkzettel. Aber sobald ein Paßwort aufgeschrieben wird ist es sofort ein schlechtes Paßwort, denn der Zettel könnte ja dem Falschen in die Hände fallen. (Noch schlimmer ist, die Paßworte auf dem eigenen Computer zu speichern, denn sollte der mal durch ein "Trojanisches Programm" unter fremde Kontrolle geraten, dann sind durch so gespeicherte Paßworte möglicherweise auch noch Online-Banking und anderes in Gefahr.)

Bleibt also nur noch, daß man sich eine für andere kaum nachvollziehbare Eselsbrücke baut, mit der man sich das Paßwort merken kann.
1. Beispiel: Man nehme das Wort "Kalender", ersetzt die darin enthaltene "Lende" durch "Filet" und schreibt hinter dem 3. Buchstaben ein Sonderzeichen, z.B. "/". Das Paßwort heißt dann "kaf/iletr" und sollte einigermaßen sicher sein.
Solche Ersetzungen sollten aber nicht allzu offensichtlich sein, "ver2felt" ist kein gutes Paßwort.

Mit derartigen Konstruktionen lassen sich recht brauchbare Paßworte konstruieren, die man sich dennoch merken kann. Das Paßwort sollte aber auch lang genug sein, mindestens 7-8 Zeichen.

2. Beispiel: Mittlere Buchstabengruppe des Autokennzeichens vom Nachbarn (nicht des eigenen !!), ergänzt um die Vorwahl oder Telefonnummer der Tante in Hintertupfingen, dahinter die Initialen des Cousins. Da kommen dann Paßworte wie "bk3195WM" heraus, die auch recht gut sind.

Eine andere Methode, die mitunter auch als "Pass-Phrase" bezeichnet wird, funktioniert folgendermaßen:

3. Beispiel: Man denke sich einen Satz aus, z.B. Die Katze sitzt zusammengerollt auf dem ersten Dach. Nun nimmt man den Anfangsbuchstaben jedes Wortes (inklusive seiner Groß-/Kleinschreibung):
  DKszadeD.
und ersetzt einzelne Worte bzw. Anfangsbuchstaben mit visuell vergleichbaren Zeichen
 zusammengerollt => @
 Dach => ^
 ersten => 1
Als neues Paßwort ergibt sich
  DKs@ad1^.
und das ist ein ziemlich gutes Paßwort, das man sich auch recht gut merken bzw. rekonstruieren kann.

Alle Paßworte lassen sich durch das willkürliche Einstreuen von Buchstaben, Ziffern oder Zeichen weiter "verbessern". Nach Möglichkeit sollte jedes Paßwort mindestens eine Ziffer, ein Sonderzeichen, einen großen und einen kleinen Buchstaben beinhalten, insgesamt min. 7-8 Zeichen. Wichtig ist aber immer, daß die Grundlage für das Paßwort für andere nicht nachvollziehbar oder durch triviales herumprobieren zu Erraten sein darf. Und man sollte sich immer auch überlegen, ob das mit einer solchen Methode konstruierte Paßwort nicht eventuell zufällig ein Wort aus einer gängigen Fremdsprache ist. Dann ist alles wieder für die Katz', denn die Wortlisten sind international.


Frohes Grübeln über das neue Paßwort
Detlev

PS: Dank an Rolf Kissel, der mich auf das Fehlen der "Pass-Phrase" Variante auf dieser Seite aufmerksam machte.


Editor: Detlev Droege
Letzte Änderung: 19.06.98

Detlevs Homepage

Ansprechpartner (Email, Telefon)
Dokumentenbestand dieses Servers durchsuchen
Informationen und Hilfe zu diesem Server