Passwortsicherheit in der Praxis Sind Passphrasen sicherer als Passwörter?

Von David Warburton

Anbieter zum Thema

123456 – das weltweit nach wie vor beliebteste Passwort ist auch eines der unsichersten. Eine Alternative zu Passwörtern bieten sogenannte Passphrasen. Sie sind länger und trotzdem leicht zu merken. Doch bieten sie wirklich einen besseren Schutz?

Passphrasen sollten theoretisch einen besseren Schutz bieten, da sie länger und komplexer als herkömmliche Passwörter sind. Aber ist das wirklich so?
Passphrasen sollten theoretisch einen besseren Schutz bieten, da sie länger und komplexer als herkömmliche Passwörter sind. Aber ist das wirklich so?
(Bild: sasun Bughdaryan - stock.adobe.com)

Weniger als eine Sekunde brauchen Hacker, um einfache Passwörter zu knacken. Das Austauschen von Buchstaben gegen Zahlen oder Sonderzeichen bietet nicht unbedingt mehr Sicherheit. Denn mit sogenannten Brute-Force-Angriffen „erraten“ Angreifer über das automatische Ausprobieren von Zeichenkombinationen viele Passwörter. Dann können sie sich Zugang zu privaten Konten verschaffen. Je kürzer das Passwort und je geringer die Zeichenvielfalt, desto schneller wird es geknackt.

Eine vielversprechende Alternative bilden Passphrasen. Dabei handelt es sich um eine möglichst zufällige Kombination aus Wörtern, die zu einer Phrase zusammengesetzt werden, aber sich trotzdem merken lassen. Ein Beispiel: „Meine Oma feiert am 49. Frankreich ihren 6-ten Geburtstag!“. Lässt sich nur eine begrenzte Zeichenzahl nutzen, kann man sich auf Anfangsbuchstaben und Sonderzeichen beschränken: „MOfa49.Fi6-G“.

So werden Passwörter geknackt

Passphrasen sollten theoretisch einen besseren Schutz bieten, da sie länger und komplexer als herkömmliche Passwörter sind. Aber ist das wirklich so? Dazu sollte man sich ansehen, wie Unternehmen Passwörter schützen und Hacker diese knacken.

Unternehmen schützen ihre Kennwörter, indem sie diese als „Hash“ speichern. Dabei werden Daten beliebiger Länge in eine Zeichenfolge fester Länge umgewandelt. Hashes können theoretisch nicht zurückverfolgt werden. Wenn also ein Angreifer ein gehashtes Kennwort stiehlt, muss er viele verschiedene Wörter ausprobieren, um zu ermitteln, ob er denselben Hash erhält. Damit hat er praktisch keinen Vorteil gegenüber einer reinen Brute-Force-Attacke.

Allerdings gibt es Tools zum Knacken von Passwörtern wie Hashcat. Diese können Milliarden von Hashes pro Sekunde auf einem einzigen Computer berechnen. Durch die Anmietung von Cloud-Diensten lässt sich dies sogar auf Dutzende von Milliarden Hashes pro Sekunde steigern.

Alternativ können Hacker über das Mitlesen von Tastatureingaben oder Formulareinträgen auf Websites Passwörter stehlen. Raffinierte Social-Engineering-Techniken wie Phishing mit Imitierung bekannter Unternehmensnamen oder nahestehender Personen dienen ebenso dazu, an das Passwort eines Benutzers zu gelangen. Sogar eine gründliche Suche auf der PC-Festplatte kann Hackern den Zugang zum Konto des Opfers verschaffen.

Passphrasen vs. Passwörter

Während das Mitlesen von Eingaben oder Phishing genauso gut bei Passwörtern und Passphrasen funktioniert, könnte es nur einen Unterschied bei Brute-Force-Angriffen geben. Bei Passphrasen lassen sich im ersten Schritt drei bis fünf Wörter auswählen, die einen Satz bilden, der zwar keinen Sinn ergibt, aber leicht zu merken ist. Zum Beispiel: „Korrekte Pferde Batterie Klammer“. Durch die größere Länge werden erfolgreiche Brute-Force-Attacken deutlich erschwert. Oder doch nicht...?

Während Passwortangriffe weitaus häufiger sind, gibt es auch eine Reihe von Tools, die Passphrasen ermitteln können. Die einfachste Möglichkeit besteht darin, dem Passwort-Knacker „Hashcat“ eine Liste mit vordefinierten Passphrasen zur Verfügung zu stellen. Eine solche Liste, die fast 22 Millionen bekannte Phrasen enthält, ist in englischer Sprache etwa auf Github verfügbar.

Die Passphrase „besser zu spät als nie“ besteht aus 22 Zeichen. Das entspricht laut herkömmlichen Empfehlungen aufgrund der Länge einem starken Passwort. Allerdings ist „better late than never“ eine der häufigsten Redewendungen in der englischen Sprache und steht in Zeile 18.636.796 der Passphrasenliste. Das aus dem Online-Comic XKCD bekannte „correct horse battery staple“ steht sogar in Zeile 1.976.239.

Natürlich lassen sich Reihenfolge und Anzahl der Wörter ändern. Doch nach dem Zipfschen Gesetz folgen alle menschlichen Sprachen in etwa der „80/20-Regel“. Das bedeutet, rund 80 Prozent aller Texte bestehen aus etwa 20 Prozent der möglichen Wörter. Die häufigsten 100 Wörter machen sogar oft die Hälfte der Texte aus. Wenn also die 1.000 wichtigsten Wörter einer Sprache in ein Tool zum Knacken von Passwörtern eingegeben werden, kann es neben jeder möglichen Zeichenkombination auch alle Kombinationen der drei bis fünf Top-1000-Wörter ausprobieren. Damit ist die Verwendung von Passphrasen nicht wirklich besser als komplexe Passwörter, zum Teil sogar schlechter.

Praktische Tipps

Die Stärke eines bestimmten Passworts oder einer Passphrase ist damit nicht nur proportional zu seiner Länge, sondern auch zu seiner Zufälligkeit. Daher sind folgende allgemeine Richtlinien zu beachten, die bei der Wahl eines sicheren Passworts unterstützen:

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Das Passwort nicht selbst wählen

Der Einsatz eines Passwort-Managers dient dazu, wirklich zufällige Zeichenketten für Passwörter zu erstellen. Für Passphrasen gibt es auch Websites, die völlig zufällige Wörter vorschlagen.

Passwörter nicht wiederverwenden

Der Diebstahl von Zugangsdaten bei einem Anbieter sollte nicht die Sicherheit weiterer Online-Konten gefährden. Daher ist für jede Website und jeden Dienst ein eigenes Passwort zu nutzen. Passwort-Manager sind die einzige realistische Möglichkeit, diese zu behalten.

Lange und zufällige Passwörter oder Passphrasen erstellen

Passwörter sollten aus mehr als 16 Zeichen bestehen, die nach dem Zufallsprinzip ausgewählt werden (idealerweise mit einem Passwort-Manager), Passphrasen aus vier bis fünf Wörtern. In jedem Fall sind einige Buchstaben durch Ziffern und Zeichen zu tauschen (Ko88ekte P1erde Ba??erie Kla%&er) oder Leerzeichen an ungewöhnlichen Stellen zu setzen, z. B. bes serz usp äta lsnie

Multi-Faktor-Authentifizierung (MFA) verwenden

Selbst die komplexesten Passwörter und Passphrasen können gestohlen oder per Brute-Force erraten werden. Dann hilft nur ein zweiter Authentifizierungsfaktor, etwa ein zeitbasierter Code in einer Handy-App, damit Angreifer keinen Zugang zum Konto erhalten.

Über den Autor: David Warburton ist Threat Research Lead bei F5 Labs.

(ID:48547939)