Passwörter machen sicher mit Grammatik chaotischer
Forscher haben die Sicherheit von Passwörtern untersucht, die aus grammatikalisch korrekt gebildeten Sätzen abgeleitet wurden. Siehe da: Yoda-Sprech kann zu mehr Sicherheit führen.
Lange Passwörter müssen nicht unbedingt sicherer als kurze sein - denn wenn Sprüche oder Sätze zur Authentifizierung genutzt werden, können Passwortknacker entsprechende Regeln für die Entschlüsselung anwenden. Das belegt eine Studie (PDF) der in Pittsburgh, USA, gelegenen Carnegie Mellon Universität. Das Forscherteam untersuchte rund 1.430 Passwörter einer bereits publizierten Studie und konnte mit einem selbst erschaffenem Algorithmus, angelehnt an grammatikalische Regeln, rund 10 Prozent mehr Passwörter knacken als gängige Tools.
Die Forscher untersuchten in welcher Weise Passwörter generiert werden und kamen zu dem Ergebnis, dass an Sätze angelehnte Passwörter zumeist aus mehreren kurzen Wörtern oder einigen längeren bestehen. So werden etwa Zwei- und Dreiwort-Phrasen wie "compromisedemail" oder "thosedamnhackers" verwendet. Nutzer greifen zu diesen Sprüchen, um gut zu erinnernde Passwörter mit mindestens 16 Zeichen zu erhalten, da die Mindestzeichenzahl für mehr Passwortsicherheit kontinuierlich erhöht wird.
Auf der anderen Seite kombinieren Passwortknacker in ihren Algorithmen seit einiger Zeit schon mehrere Wörter aus Wörterbüchern miteinander, dabei probieren sie aber wahllos alle möglichen Kombinationen durch. Die Forscher haben nun für ihre Studie Grammatik-Regeln eingesetzt, an die sich eben auch die meisten Nutzer halten. Verwendete Phrasen werden etwa wie folgt gebildet: "Artikel, Adjektiv, Substantiv" oder "Personalpronomen, Verb, Adverb" – also beispielsweise "Die abdankende Königin" oder "Er läuft langsam." Würden bekannte Werkzeuge wie John the Ripper oder Hashcat diese Sprachregeln in ihre Algorithmen aufnehmen, könnte das Passwortknacken also effizienter gestaltet werden. Laut den Forschern ist das auch nur noch eine Frage der Zeit.
Die Studie legt deshalb nahe, dass nicht unbedingt die Länge entscheidet, ob ein Passwort sehr sicher ist. Im Rahmen des Titelthemas der c't 3 wurde unter anderem davon berichtet, dass Passwortknacker sogar Bibelzitate in ihre Bibliotheken übernommen haben, um mit solchen Sätzen Passwörter zu knacken. Im Praxisartikel zu sicherern Passwörtern empfiehlt der Autor sogar: Lügen, betrügen und verfälschen. "Wenn Sie eine Vorlage für Ihr Kennwort benutzen – einen dummen Spruch, die Zeile eines Lieds oder ein Zitat: Verfälschen Sie das Original grundsätzlich etwas." Denn erst wenn Passwörter auch chaotisch mit Nummern und Sonderzeichen und falscher Grammatik erstellt werden, könnten einige Cracking-Tools eher an ihre Grenzen gebracht werden. Yoda, er sich darüber freuen würde. (kbe)
