Bei der Wahl einer Passworts stellt der eigene Vorname keine gute Wahl dar, speziell wenn man Michael oder Jennifer heißt: Diese Namen zählen zu den 25 weltweit am häufigsten genutzten Credentials. Wesentlich bessere Passwörter erzeugen Sie mit einem Hilfsprogramm – und prüfen sie damit gleich auch noch auf ihre Qualität.

Der Sicherheitsfachmann Mark Burnett hat aus über 6 Millionen Passwörtern eine Rangliste der beliebtesten Exemplare erstellt [1]. Die kompletten ersten 25 Stück seiner Hitparade präsentiert der Kasten “Die 25 meistgenutzten Passwörter”. Demnach verwenden Benutzer besonders gerne die Passwörter password und 123456.

Genau wie ihre übrigen Kollegen von der Liste kann man sie recht einfach behalten – dummerweise sind sie aber auch alles andere als sicher, sogar in mehrfacher Hinsicht: Durchweg zu kurz, bestehen sie nur aus Kleinbuchstaben oder Zahlen und verwenden Begriffe, die in jedem (englischen) Wörterbuch stehen.

Da die 25 Passwörter extrem häufig zum Einsatz kommen, genügt es einem Angreifer schon, sie einfach auf gut Glück durchzuprobieren. Die Chancen stehen gut, auf diese Weise irgendwo Zugang zu erhalten – und das ganz ohne ausgefeilte Knackprogramme oder leistungsfähige Computer.

Folglich sollten Sie die 25 Passwörter tunlichst nicht benutzen. Es ist aber auch keine gute Idee, einfach längere Wörter aus einem Wörterbuch zu verwenden – oder gar den eigenen Namen. Spezielle Programme probieren in wenigen Sekunden alle Wörter aus sämtlichen Wörterbüchern der Welt durch. Diese Vorgehensweise bezeichnet man daher auch als Wörterbuchangriff.

Auch exotische Vornamen stellen da keine Hürde dar. Am Arbeitsplatz kennen zudem die Kollegen Ihren Namen, er steht vielleicht sogar auf dem Türschild. Warum nicht einfach mal in der Mittagspause diesen als Passwort ausprobieren? Ähnlich leicht kommen Angreifer an persönliche Daten, wie etwa die Namen der Kinder.

Ein besonders gutes Passwort stellt daher das genaue Gegenteil der 25 meistgenutzten dar. Die notwendigen Kriterien fasst der Kasten “Sicheres Passwort” zusammen. Das Ergebnis wäre dann Gebilde wie THw$viKiBM95K. Diese Zeichenkette kann man sich allerdings nur sehr schwer merken. Sie auf einen Zettel schreiben, ist auch keine Lösung – wenn den ein windiger Kollege in der Mittagspause in die Finger bekommt, hat er womöglich Zugriff auf alle persönlichen Daten. Glücklicherweise lassen sich gute Passwörter mit einer Eselsbrücke erzeugen.

Ein Pfund Gehacktes

Dazu wählen Sie zunächst einen möglichst langen Satz, den Sie sich trotzdem einfach merken können. Das kann ein Zitat aus einem Buch sein, ein Reim oder eine kuriose Tatsache. Der Satz sollte aus mindestens zehn Wörtern und einer Zahl oder einem Zahlenwort bestehen. Ein Beispiel wäre: “Tante Hedi wog vor ihrer Kur in Bad Münstereifel 95 Kilo.” Jetzt nehmen Sie die Anfangsbuchstaben der einzelnen Wörter sowie die Zahl: THwviKiBM95K.

Dieses Passwort ist 12 Zeichen lang, was derzeit ausreicht. Zudem fällt es kryptisch genug aus, um nicht einfach erraten zu werden. Sie selbst müssen sich hingegen nur den Satz merken, um auf das Passwort zu kommen. Das enthält allerdings noch keine Sonderzeichen. Hier genügt es aber, sich ein solches auszudenken und an einer festgelegten Stelle einzufügen – beispielsweise an der vierten Stelle ein Dollarzeichen, denn Tante Hedis Kur war kostspielig: THw$viKiBM95K. Daran beißen sich auch gute Knackprogramme die Zähne aus.

Einige Dienste kommen allerdings mit Sonderzeichen nicht gut zurecht. Probleme bereiten insbesondere Leerzeichen, die in den Augen einiger Programme zwei Wörter trennen. Internetdienste verschlucken sich auch gerne mal am Kaufmannsund &. Relativ problemlos verdauen Authentifizierungsroutinen dagegen die ASCII-Sonderzeichen [2] zwischen den Einträgen 33 (dem Ausrufezeichen) und 47 (dem Schrägstrich).

Theoretisch müssten Sie sich jetzt für jeden Dienst, den Sie nutzen, einen eigenen Satz ausdenken. Das können Sie umgehen, indem Sie den Anfangsbuchstaben des Dienstes irgendwo in das Passwort einbauen, etwa nach dem Sonderzeichen. Ihr Passwort für den Computer Marvin könnte dann etwa so lauten: THw$<MviKiBM95K, das für den Twitter-Zugang THw$TviKiBM95K. Die hier genannten Beispielpasswörter kennen übrigens jetzt neben Ihnen noch weitere Leser, folglich sollten Sie sie nicht einfach aus Bequemlichkeit übernehmen.

Würfelspieler

Wenn Ihnen der Weg über den Satz zu mühsam erscheint, dann lassen Sie sich doch einfach bei der Passwortsuche helfen: Fast alle Distributionen bieten in ihren Repositories das kleine Programm pwgen an, das Sie über den Paketmanager einspielen. In einem Terminalfenster aufgerufen, stellt es gleich eine ganze Batterie möglicher Passwörter zur Auswahl. Suchen Sie sich aus der Liste einfach das aus, das Ihnen am ehesten zusagt oder Sie an ein anderes Wort erinnert. Pwgen achtet dabei darauf, dass sich alle Vorschläge relativ einfach merken lassen.

Auch wenn das nach einem ersten Blick auf Abbildung 1 nicht so aussehen mag: In der Praxis hat man die von Pwgen ausgespuckten Passwörter erstaunlich schnell verinnerlicht. Standardmäßig liefert Pwgen Passwörter, die aus acht Zeichen bestehen. Um längere Varianten zu generieren, übergeben Sie einfach die gewünschte Zeichenzahl als Parameter und integrieren gleich noch mit -y Sonderzeichen. Der Aufruf pwgen -y 12 erzeugt also Passwörter mit jeweils 12 Zeichen, die mindestens ein Sonderzeichen enthalten.

Abbildung 1: Ein paar von Pwgen vorgeschlagene Passwörter – die hier angegebenen sollten Sie nicht nutzen.

Eine Alternative zu Pwgen stellt der Automated Password Generator APG dar. Nach dem Aufruf von apg auf der Kommandozeile müssen Sie irgendeine (zufällige) Zeichenfolge eingeben. Das kann, wie APG es vorschlägt, Ihr altes Passwort sein. Diese sogenannte Saat (englisch “seed”) fließt in die Berechnungen ein und erhöht so die Sicherheit der erzeugten Passwörter. In geschweiften Klammern liefert APG gleich noch eine Lautschrift, über die man sich das jeweilige Passwort besser merken kann. Standardmäßig erzeugt das Tool meist nur acht Zeichen lange Passwörter. Längere Vertreter erhalten Sie mittels eines Aufrufs wie:

$ apg -m 12 -s -t -M SNCL

Hier sorgt -m 12 für eine Länge von mindestens 12 Zeichen. Mit -s fragt APG gleich noch eine Seed ab, -t zeigt die Aussprache der Wörter an. Der Parameter -M SNCL sorgt dafür, dass jedes Passwort Sonderzeichen (S), Zahlen (N) sowie Groß- (C) und Kleinbuchstaben (L) enthält (Abbildung 2).

Abbildung 2: APG liefert sogar Hinweise auf die Aussprache der erzeugten Passwörter.

Wenn Sie eine grafische Oberfläche bevorzugen, greifen Sie am besten zum Java Password Generator [3]. Da er in Java geschrieben ist, müssen Sie zunächst via Paketmanager das Java Runtime Environment installieren. Anschließend laden Sie die aktuelle Version des Java Password Generators herunter, entpacken das Archiv und starten das Skript javaPwordGen.sh.

Im neuen Fenster wählen Sie unter Character Set den Punkt Alpha-Numeric Easy to Read, tippen in das Feld Include Characters ein paar Sonderzeichen, stellen Length of Password auf 12 ein und klicken auf Generate. Rechts im weißen Feld erscheinen nun einige Vorschläge (Abbildung 3).

Abbildung 3: Der Java Password Generator bietet als einer der wenigen Passwortgeneratoren eine grafische Oberfläche.

Neben den drei hier vorgestellten Passwort-Generatoren gibt es noch einige weitere, die alle nach dem gleichen Prinzip arbeiten, wie etwa Makepasswd oder Jpwgen [4]. Vom in vielen Debian-basierten Distributionen ebenfalls anzutreffenden Gpw sollten Sie hingegen Abstand nehmen: Es stammt aus dem Jahr 1994 und nutzt in seinen Ausgaben nur Kleinbuchstaben.

Kontrolleure

Wie sicher das gewählte Passwort ausfällt, prüft das Kommandozeilenprogramm cracklib-check. Es gehört unter Ubuntu zum Paket cracklib-runtime, bei OpenSuse versteckt es sich im Paket cracklib. Nach dem Start von Cracklib-check scheint erst einmal nichts weiter zu passieren. Tippen Sie jetzt einfach das zu prüfende Passwort ein und drücken Sie die Eingabetaste. Cracklib-check gibt dann seine Meinung dazu aus (Abbildung 4). Anschließend prüfen Sie auf die gleiche Weise weitere Passworte. Sie beenden Cracklib-check mit [Strg+C].

Abbildung 4: Cracklib-check nimmt die Qualität der Passwörter unter die Lupe.

Wenn Sie Ihr eigenes Passwort ändern und das neue vorher einer Prüfung unterziehen möchten, dann sollten Sie einen Blick auf das Programm pwqcheck werfen. Meist steckt es in einem Paket namens passwdqc. Nach dem Aufruf in einem Terminalfenster zeigt es wie Cracklib-check erst einmal nichts an. Jetzt tippen Sie Ihr bisheriges Passwort ein, drücken die Eingabetaste, geben das neue Passwort ein, drücken wieder die Eingabetaste und nennen Ihren Benutzernamen. Nach einem erneuten Druck auf die Eingabetaste liefert Ihnen Pwqcheck eine detaillierte Einschätzung (Abbildung 5).

Abbildung 5: Pwqcheck prüft ein Passwort und gibt zusätzlich auch noch einen Hinweis darauf, was es an diesem zu bemäkeln hat.

Eine etwas schickere Prüfung ermöglichen viele Distributionen direkt in der Benutzerverwaltung. Allerdings müssen Sie dazu durchweg die Änderung des eigenen Passworts anstoßen – auch wenn Sie dies dann letztendlich nicht vornehmen. Unter Ubuntu rufen Sie die Systemeinstellungen auf (beispielsweise über das Dash), aktivieren die Einstellung Benutzer, klicken auf die Punkte neben Passwort und tragen dann unter Neues Passwort das zu prüfende Passwort ein. Direkt unter dem Feld zeigt der Balken an, für wie sicher Ubuntu das Passwort hält (Abbildung 6).

Abbildung 6: Die Passwortprüfung in Ubuntu ist zwar schick, gibt aber nur wenig Hinweise darauf, was mit dem Passwort nicht stimmt.

Im Idealfall erscheinen vier grüne Balken und die Angabe Stark. Übrigens können Sie hier auch über die Schaltfläche mit dem Zahnrad weitere Passwörter generieren lassen, die dann aber witzigerweise häufig die Prüfung nur mit Ausreichend bestehen. Schließen Sie das Fenster unbedingt mit Abbrechen – andernfalls könnten Sie versehentlich Ihr Passwort ändern.

Ungleiche Behandlung

In KDE öffnen Sie die Systemeinstellungen, wechseln dort zu den Benutzerkontodetails und klicken auf Passwort ändern. Jetzt müssen Sie einmal Ihr aktuelles Passwort preisgeben. Im nächsten Fenster tippen Sie dann das zu prüfende Passwort ein, der Balken zeigt umgehend dessen Qualität an (Abbildung 7). Denken Sie auch hier wieder daran, auf Abbrechen zu klicken, um nicht versehentlich Ihr Passwort zu ändern.

Abbildung 7: Unter KDE zeigt der Passwortstärkeanzeiger, wie sicher das eingegebene Passwort ist.

Erstaunlicherweise bieten Passwort-Verwaltungsprogramme nur selten eine Prüfung an. Eine der wenigen Ausnahmen stellt Keepass [5] dar. Unter Ubuntu finden Sie das Mono-Programm in den Repositories, für andere Distributionen richten sie es aus aus dem Quelltext-Archiv ein. Nach dem Start mittels mono KeePass.exe wählen Sie File | New … und erstellen eine beliebige neue Datenbank, egal welchen Namens.

Im nun erscheinenden Fenster tippen Sie das zu prüfende Passwort in das Feld Master password ein. Keepass zeigt das Ergebnis seiner Tests neben Estimated Quality an (Abbildung 8). Dabei legt es wesentlich härtere Maßstäbe an als etwa die Ubuntu-Benutzerverwaltung. Um hier in den grünen Bereich zu kommen, muss das Passwort unter anderem wesentlich länger sein.

Abbildung 8: Keepass prüft alle Passwörter. Das hier eingetippte bietet einen unzureichenden Schutz.

Dies zeigt gleichzeitig, dass es keine allgemeingültige, objektive Prüfung gibt. Das Ergebnis hängt immer von den Kriterien ab, die der Autor des jeweiligen Prüfprogramms für zwingend oder sinnvoll erachtet. Mitunter bewerten die Tests sogar einfache Passwörter wie 123456abcdef als stark und wiegen Sie so in falscher Sicherheit.

Und es gibt noch ein Problem: Linux muss Ihr Passwort kennen, um es bei der Anmeldung am System überprüfen zu können. Ihre Distribution speichert das Passwort dazu verschlüsselt auf der Festplatte (in der Regel in der Datei /etc/shadow). Mit der gleichen Methode arbeiten auch alle Dienste im Internet, sei es nun Facebook, Twitter oder Google.

Die Sicherheit Ihres Passworts hängt somit aber auch maßgeblich davon ab, welches Verschlüsselungsverfahren dabei zum Einsatz kommt. Ein Qualitätstest für Ihr Passwort müsste folglich zunächst Ihr Passwort mit dem jeweiligen Verfahren verschlüsseln und dieses dann versuchen zu knacken. Alle hier vorgestellten Qualitätsprüfungen können daher nur eine erste Einschätzung liefern.

Abbildung 9: Der Internetdienst Passwort Meter zeigt zwar sehr schön an, was es an dem eingegebenen Passwort auszusetzen hat, kommuniziert aber nur über eine unsichere Verbindung.

Fazit

Ein gut gewähltes Passwort ist nur die halbe Miete. Es lässt sich leicht abfangen, wenn es wie bei einer FTP-Übertragung im Klartext durch das Internet wandert oder es der Betreiber des Dienstes sogar lesbar auf seinem Server speichert – das ist durchaus schon vorgekommen. Aber auch große und eigentlich gut abgesicherte Dienste sind nicht gegen Einbrüche gefeit – zuletzt traf es in diesem Jahr Yahoo und GMX. Um sicherzugehen, dass kein Angreifer an Ihre Passwörter gelangt, sollten Sie sie möglichst alle drei Monate ändern.

Gar kein Passwort brauchen heimtückische Arbeitskollegen, wenn Sie die Passwortabfrage des Bildschirmschoners abschalten oder die automatische Anmeldung ans System aktivieren. Liegen die Dokumente unverschlüsselt auf der Festplatte, muss ein Angreifer vor Ort das System nur von einem Live-System starten. Sie sollten daher bei allem Brüten über einem guten Passwort nicht die noch offenen (Hinter-)Türen vergessen.