ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz chleswig-Holstein
www.datenschutzzentrum.de/

Passphrase? Was soll das denn sein?

> Grundlegende Prinzipien bei der Wahl der Passphrase

Im Zusammenhang mit PGP hat sich die Formulierung "Passphrase" anstelle von "Passwort" eingebürgert. Damit soll betont werden, dass ein einzelnes Wort keine ausreichende Sicherheit bietet.
Die Sicherheit von PGP basiert zu einem wichtigen Teil auf der Geheimhaltung und sinnvollen Wahl eben dieser Passphrase, da diese den Zugang zum geheimen Schlüssel und damit zur verschlüsselten Kommunikation ermöglicht.

Wer sich Zugriff auf die Schlüsselbund-Datei [secring.pgp] verschafft, z.B. direkt an dem PC, auf dem die Daten gespeichert sind, oder über ein Trojanisches Pferd (z.B. mit Microsoft Word), kann durch Ausprobieren versuchen, die Passphrase zu erraten.
Das ist besonders einfach, wenn zur Sicherung nur ein Passwort gewählt wurde. Dann muss der Angreifer in der Regel einfach ein Wörterbuch nehmen und alle Einträge durchprobieren. Von Hand wäre das natürlich recht aufwendig, aber im Internet sind Programme im Umlauf, die genau diesem Zweck dienen: Man füttert das Programm mit einer Wörterbuchdatei und überlässt das Durchprobieren der Maschine. Daher sollte bei der Wahl der eigenen Passphrase wie bei allen anderen Paßworten auch auf eine ausreichende Komplexität derselben geachtet werden.

Grundsätzlich sollte Ihre Passphrase nicht zu kurz sein. Im Zweifel lieber etwas länger. (Oder auch ruhig noch länger. ;o)

Um sich eine Passphrase zu basteln, die NICHT in einem Wörterbuch steht und gleichzeitig gut zu merken ist, gibt es verschiedene Strategien.

Eine gute Idee ist es, sich ein Sprichwort oder ein Zitat zu nehmen, dessen erste Buchstaben ein Paßwort bilden:

"Schau mir in die Augen, Kleines!" ergibt dann "SmidAK" Behalten Sie ruhig die Groß- und Kleinschreibung bei!

Damit haben Sie schon ein Paßwort, das garantiert nicht im Wörterbuch steht. Um die Anzahl der möglichen Zeichen zu erhöhen, lassen wir einfach mal die Satzzeichen drin:
SmidA,K!

In einem weiteren Schritt kann man einige Buchstaben durch Zahlen ersetzen. Naheliegend ist die Null für ein O, die Eins für ein i oder, mit etwas Phantasie, die Drei statt eines E. In unserem Beispiel ergäbe sich also Sm1da,K!

Das Verfahren läßt sich natürlich beliebig variieren und weiterspinnen. Aber das Prinzip dürfte klar sein: Versuchen Sie immer, die Passphrase "merkbar" zu halten. Denn nur, wenn Sie sie auswendig wissen, kann sie wirklich sicher sein. Alles andere endet nämlich als Post-It Zettelchen an Ihrem Monitor...

Unsere Beispiel- Passphrase umfasst acht Zeichen. Die Verläßlichkeit eines Paßwortes hängt neben der Länge aber auch von der Zahl der möglichen Zeichen ab: Acht Zeichen, die nur aus Kleinbuchstaben bestehen, sind weniger sicher, als ein Gemisch aus Buchstaben, Zahlen und Zeichen.
Daher sollte die Länge von acht Zeichen als absolutes Minimum gelten, in Kombination mit Zahlen und Sonderzeichen, versteht sich. Denken Sie immer daran, dass die verfügbare Rechenleistung ständig wächst. Und je schneller der Computer des Angreifers ist, desto mehr Varianten kann er in derselben Zeit durchprobieren.

Eine übersichtliche Darstellung der Zusammenhänge zwischen Paßwortlänge und Zeichensatz findet man unter www.1pw.de/brute-force.html.