Passphrasen

Unter der Annahme, dass ein Angreifer 100 Milliarden Passwörter pro Sekunde testen kann, dauert ein Brute-Force-Angriff auf ein 8-stelliges Passwort über dem Alphabet aller 95 ASCII-Zeichen im Worst-Case gerade einmal

95⁸ / 10¹¹ s = 18,4 h.

Ein entsprechender Angriff auf ein 15-stelliges Passwort über dem Alphabet {a, …, z} würde

26¹⁵ / 10¹¹ s = 194 127 Tage ~ 531 Jahre

dauern.

Damit sind Passwörter, die aus

• mindestens 8 Zeichen bestehen,
• Groß- und Kleinbuchstaben, alle möglichen Sonderzeichen und Ziffern beinhalten
• und nach einem möglichst zufälligen Muster gebildet werden,

für einen Menschen schwer zu memorieren und für einen Angreifer leicht zu dechiffrieren.

Im Vergleich dazu sind etwas längere Passwörter, selbst wenn sie lediglich aus den Kleinbuchstaben {a, …, z} gebildet werden, für einen Menschen deutlich leichter zu memorieren, und für einen Angreifer sehr viel schwer zu dechiffrieren.

Relativ lange Passwörter, die aber dennoch gut für memorieren sind, werden oft als sogenannte Passphrasen bezeichnet.

Beim Erstellen solcher Passphrasen sind der Phantasie keine Grenzen gesetzt, so dass eine mögliche Passphrase zum Beispiel sein könnte:

nadaborder4fanta=hinreichend4heitERsicht

Wird gefordert, dass eine Passphrase unbedingt Sonderzeiten und Großbuchstaben enthalten muss, so lassen sich diese meist leicht in eine beabsichtigte Passphrase einbauen.

Noch besser ist natürlich, solche Passphrasen zufällig zu generieren, etwa mittels des sogenannten Diceware-Verfahrens.

Recherchiere im Internet, was man unter dem sogenannten Diceware-Verfahren versteht. Erzeuge mittels des Diceware-Verfahrens eine Passphrase, die aus mindestens 6 Diceware-Wörtern besteht. Verwende einen herkömmlichen Spielwürfel, um echte Zufallszahlen zu generieren.

Die folgende Passphrase wurde zufällig mit dem Diceware-Verfahren erzeugt:

tintenfleck-biergarten-hinauf-selber-backt-verarbeiten-parkbank-fragst-bringen-gerahmt

Beurteile die Sicherheit dieser Passphrase.

Wortliste-Deutsch