11-Jährige verkauft sichere Passwörter

Es gibt viele verschiedene Systeme, um sichere Passwörter zu erstellen, die sich relativ leicht merken lassen. So kann man sich zum Beispiel einen Satz aus einem Buch aussuchen oder selbst ausdenken und diesen dann als Basis für ein sicheres Passwort verwenden. Dieses System lässt sich auch leicht erweitern, um daraus für unterschiedliche Websites individuelle Kennwörter zu erstellen. Ein in Deutschland relativ unbekanntes System nennt sich dagegen «Diceware». Es basiert auf einer umfangreichen durchnummerierten Wortliste. Ein Anwender benötigt dann nur noch einen sechsseitigen Würfel, den er fünfmal hintereinander wirft. Daraus ergibt sich eine Zahl, die er in der Liste nachschlägt. Das Wort dahinter wird notiert und der Vorgang noch mehrere Male wiederholt. Dadurch erhält man eine garantiert zufällige Reihenfolge der Wörter. Ein Beispiel: Die Würfe ergeben die Ziffern 5,5,3,6,3. Bei Verwendung einer deutschsprachigen Wortliste aus dem Internet ergibt sich daraus das Wort «sollst». Weitere Würfe ergeben etwa die Wörter «robust», «78», «braten» und «doch». Das zufällig generierte Diceware-Passwort lautet dann «sollst robust 78 braten doch». Wer will, kann es zum Beispiel noch mit Sonderzeichen und Großbuchstaben garnieren. Das Ergebnis lässt sich relativ leicht merken und ist nur schwer zu entschlüsseln.

Eine 11-Jährige New Yorkerin hat daraus nun ein eigenes Business entwickelt: Wie Ars Technica beschreibt, bietet Mira Modi für 2 Dollar an, ihre Würfel zu werfen und die daraus erstellte Passphrase dann per Post an ihren Auftraggeber zu schicken. Modi ist die Tochter der Journalistin und Autorin Julia Angwin, die sich beruflich viel mit den Themen Privatsphäre und Datenschutz beschäftigt. Für 2 Dollar erstellt Modi Passphrasen, die aus sechs zufälligen Wörtern bestehen. Auf ihrer Webseite hat sie auch einen Link zu der von ihr verwendeten Wortliste veröffentlicht. Wer will und einen eigenen Würfel hat, kann sich natürlich auch selbst problemlos ein sicheres Passwort erstellen. Modi rät ihren Kunden auf jeden Fall, die von ihr erstellten Passphrasen etwas zu verändern. Sie habe ja nicht vor, die Passwörter zu stehlen.

Diese Methode dürfte in Zukunft auf noch mehr Interesse stossen als bisher. Forscher von Symantec und Eurecom haben herausgefunden, dass althergebrachte Passwort-Ratschläge nicht mehr wirklich sicher sind. Sonderzeichen und Gross- Kleinschreibung alleine reicht nicht mehr wirklich, da Hacker ihre Methoden geändert haben. Da es mittlerweile sehr gute Abwehrmethoden gegen Bruteforce-Angriffe gibt, werden nun Passwörter von Servern gestohlen und anschliessend andere Dienste derselben Person mit gleichen oder ähnlichen Passwörtern zu hacken versucht. Mit solch verschlüsselten Zufallswörtern dürfte dies erheblich schwieriger werden.