"Kein Computernutzer darf das gleiche oder ein ähnliches Passwort innerhalb eines Zeitraums von 18 Monaten verwenden."

/ Kevin Mitnick∗

Diese Seite beschäftigt sich mit der Möglichkeit jedes Buch als Passwortgenerator und Passwortsafe zu "mißbrauchen". Der Erfinder dieser Methode ist mir leider unbekannt. Fragen dazu beantworte ich gerne, wenn es meine Zeit erlaubt. Für Hinweise, auch auf eventuelle Denkfehler, bin ich dankbar.
/ Matthias Süß (suess@msuess.com)

Risikofaktor Mensch

Datenschutz ist inzwischen als unbedingte Notwendigkeit in den Köpfen der Verantwortlichen in Unternehmen, Behörden und Organisationen verankert. Auch die meisten Privatpersonen dürften inzwischen eingesehen haben, dass Vorkehrungen gegen unbefugte Zugriffe auf dem häuslichen Rechner getroffen werden müssen.

Die technischen Sicherheitslöcher sind in den Griff zu bekommen. Gefährlicher als alle Sicherheitslöcher in Soft- und Hardware zusammen ist der Mensch. Das größte Einfallstor sind dabei die Passwörter, mit denen die Nutzer leider viel zu leichtfertig umgehen. Ohne » Social Engineering hätten viele Hacker keine Chance

Dauerbrenner Passwort

Kevin Mitnick empfiehlt in regelmäßigen Abstand das Passwort zu ändern. Viele Systeme mit erhöhtem Sicherheitsbedarf haben dafür Features implementiert und verantwortungsbewusste Admins machen auch Gebrauch davon. Das kann bei sicherheitskritischen Systemen einen Wechseln im Wochenrythmus bedeuten.

Passwort ist nicht gleich Passwort. Dass diese nicht einfach zu erraten sein sollen, hat sich weitgehenst rumgesprochen. Der Name von Kind, Kegel und Ex-Freundin eignet sich also nicht besonders. Überhaupt sollten alle Zeichenkombinationen die in einem Wörterbuch zu finden sind ein absolutes Tabu sein.

Ein sichereres Passwort hat eine Länge (damit nicht reines Durchprobieren aller erdenklicher Möglichkeiten zum unerwünschten Ziel führt) von mindestens 7 Zeichen ! und besteht aus einer zufälligen Folge von Groß-/Kleinbuchstaben und Ziffern. Sonderzeichen in Passwörtern können viele Systeme nicht verarbeiten.

Jetzt stehen die Nutzer vor folgendem Problem: Sie haben im Idealfall also ein Passwort gewählt, das so zufällig zusammengesetzt ist, dass sich kein normaler Mensch die Kombination merken kann. Das ganze nun im wöchentlichen Wechsel und für mehrere Systeme - ein Ding der Unmöglichkeit.

Das Passwort einfach auf einen Zettel zu notieren macht wenig Sinn. Abhilfe versprechen Programme mit denen Login / Passwort-Kombinationen sicher gespeichert werden können. Für diese Programme braucht man allerdings wiederum ein Passwort und ausserdem laufen diese auf potentiell gefährdeteren PC als das geschützte System selbst.

Offline Passwortgenerator

Eine wenig bekannte, aber äußerst effektive Lösung sowohl für die Generierung sicherer Passwörter als auch für deren Aufbewahrung ist die Nutzung eines Buches. Dabei werden Seitenzahl und die Anfangsbuchstaben der Sätze genutzt, um das Passwort zu "generieren". Merken muss sich der Nutzer nur eine Ziffer.

Szenario: Ein durch Passwort gesichertes System verlangt im wöchtentlichen Rythmus nach einer Passwortänderung. Das Passwort soll mindestens 8 Zeichen lang sein sowie Groß-/Kleinbuchstaben und Ziffern enthalten.

Der erste Schritt: Wir wählen eine Ziffer zwischen 1 und 8. Diese Zahl ist ein Teildes "Schlüssels" zur Generierung des Passworts. Im Beispiel wird die 5 verwendet.

Der zweite Schritt: Wir wählen ein möglichst unverdächtiges, dickes Buch aus. Im Beispiel wird die Illias vom Homer verwendet.

Der dritte Schritt: Wir schlagen das Buch auf der Seitennummer auf, die wir uns im Schritt zwei ausgesucht haben und lesen die ersten sieben Wörter ("Lasst einen Priester uns oder Opferbeschauer befragen"). Wir nehmen nun von jedem Wort den ersten Buchstaben und erhalten "LePuoOb". Nun setzen wir nach der Stelle 5 (wieder Ziffer aus Schritt 2) die Seitenzahl und erhalten "LePuo5Ob". Dieses Passwort besteht nun wie gefordert aus Groß-/Kleinbuchstaben und Ziffern. Sieben Wörter sind es im konkreten Beispiel, da das Passwort eine Mindestlänge von 8 Zeichen aufweisen muss.

Der vierte Schritt: In der Woche 2 generieren wir das Passwort, in dem wir die Seite 2 * 5 (Woche mal Ziffer aus dem zweiten Schritt) aufschlagen und die Anfangsbuchstaben ("TDmdBeH") ersten sieben Worte ("Trunkenbold Du, mit dem Blick eines Hundes"), fügen nach der Stelle fünf (Ziffer aus dem zweiten Schritt) die Seitenzahl ein und erhalten das Passwort ("TDmdB10eH").

Der fünfte Schritt: In der Woche 3 generieren wir das Passwort, in dem wir ...

Das Passwort selbst müssen wir uns auf diese Weise nicht merken, aufschreiben oder abspeichern, vor allem wenn man die Kalenderwochen mit einbezieht. Nehmen wir an, wir sind in der Kalenderwoche 23 und wenden ab sofort diese Methode an, dann starten wir nicht auf Seite 5 (wie in Schritt 3), sondern auf Seite 23 * 5 (Kalenderwoche * Ziffer aus Schritt 2). In der KW 35 stünde unser Passwort also auf Seite 175. So einfach ist das.

Diese Methode lässt sich so modifizieren, daß diese sich auf beinahe jede Problemstellung anwenden lässt. Beispielsweise könnte man ein Buch für alle Passwörter, die nicht regelmäßig geändert werden müssen, verwenden.

Bei der Wahl des Buches hat dich die Ausgaben der Reclam Universalbibliothek sehr bewährt, da die Bücher beispielsweise problemlos im Reisegepäck zu verstauen sind und bei Verlust leicht wieder zu beschaffen sind.

∗ Kevin Mitnick

Kevin Mitnick war Mitglieder der legendären Hacker-Gruppe "Roscoe Gang". Bereits als Schüler manipulierte er die Telefonanlagen (um Gebühren zu sparen). Berühmt wurde er unter dem Alias "Condor", als sich mehrere hundert mal in die Rechner von US-Regierungsorganisationen (darunter das Verteidigungsministerium und die NSA) hackte.

Mitnick bediente sich dabei der Methodik des » Social Engineerings. Er wurde zweimal verhaftet und verurteilt (zuletzt 1995). Inzwischen halt er die Seiten gewechselt und führt seit Jahren sehr erfolgreich ein Beratungsunternehmen zur IT-Sicherheit. Ausserdem hat er zwei viel beachtete Bücher veröffentlicht und ist ein gefragter Speaker.

» Social Engineering

"Social Engineering benutzt Techniken der Beeinflussung und überredungskunst zur Manipulation oder zur Vorttäuschung falscher tatsachen, über die sich der Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen." (aus: Die Kunst der Täuschung von Kevin Mitnick)

"Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking" (Wikipedia: Social Engineering)

× Empfehlung

Neben den Büchern von Kevin Mitnick, "Die Kunst der Täuschung" und "Die Kunst der Einbruchs", ist das enlischsprachige Buch "No Tech Hacking" von Jonny Long eine unbedingte Empfehlung zum Thema "Risikofaktor Mensch".

Der Klassiker zum Thema technische Sicherheit ist der "hackers guide" aus dem Hause Markt und Technik. Wahrscheinlich ist es nur noch im modernen Antiquariat erhältlich und von der besprochenen Technologie nicht auf der höhe der Zeit, aber die Prinzipien haben sich nicht geändert.

! Passwortlänge

Theoretisch ist ein Passwort um so sicherer, je länger es ist. In der Praxis haben sich jedoch 8 bis 11 Stellen als völlig ausreichend herausgestellt, vor allem wenn das Passwort in regelmäßigen Abständen gewechselt wird und Vorkehrungen gegen automatisiertes Durchprobieren aller erdenklichen Kombinationen (Brutforce) getroffen wurden.

@ Hyperlinks

Einige Verweise auf interessante Seiten zum Thema Passwort-Generator in der Netzwelt:

Artikel Kennwort auf Wikipedia

"Gut gemerkt? Sicher?" von Charly Kühnast, erschienen im Linux-Magazin 2008/03

Das darin beschriebene Programm PWGen für UNIX und Windows als Download.

Das FAQ Passwörter des CCC