Effektiver Passwörter raten mit Wikipedia und Co.
Aus Online-Enzyklopädien generierte Wortlisten eignen sich offenbar erstaunlich gut zum Knacken von Passwörtern. Sie enthalten auch viele ungewöhnliche Begriffe der Alltagssprache, die Anwendern für Kennwörter in den Sinn kommen.
- Christiane Rütten
Aus freien Online-Enzyklopädien generierte Wortlisten eignen sich besonders gut zum Knacken von Passwörtern mit sogenannten Wörterbuchangriffen. Ein französischer Berater für Informationelle Kriegsführung weist in seinem Blog darauf hin, dass herkömmliche Wortlisten aus klassischen Wörterbüchern und Rechtschreibkorrekturprogrammen viele Alltagswörter nicht enthalten, die Menschen bei der Wahl von Kennwörtern in den Sinn kommen.
Anwender zeigten die Tendenz, Wörter aus der unmittelbaren Umgebung zu wählen, etwa den Hersteller des Monitors oder der Name des Geschäfts vor dem Fenster, so der Experte. Allein in der Wikipedia stehe hingegen nahezu jedes erdenkliche Wort, so der Experte. Einige "eben schnell" aus Wikipedia extrahierte Wortlisten in diversen Sprachen haben nach seinen Angaben bereits ausgereicht, um "unzählige Passwörter in Windeseile zu knacken, die mit Brute-Forcing nicht zu erreichen gewesen wären".
Der gängige Tipp, keine Wörter zu verwenden, die etwa im Duden oder in Lexika auftauchen, sollte also deutlich strikter gefasst werden. Schon die Wikipedia enthält Umgangssprache, Verballhornungen, Fachterminologie, Produkt- und Firmennamen samt absichtlicher und unabsichtlicher Schreibfehler in Hülle und Fülle. Sich für Passwörter allein auf natürliche Sprache zu verlassen, ist ohnehin eine schlechte Idee. Gute Kennwörter enthalten eine ausreichend lange Zufallskomponente mit einem guten Schuss Sonderzeichen.
Siehe dazu auch:
- Cracking passwords with Wikipedia, Wiktionary, Wikibooks etc, Blog-Beitrag von Sébastien Raveau
- Schön kompliziert, Passwörter mit Köpfchen, Artikel in c't 2/09 auf Seite 86
(cr)
