Passwortschutz mit Spielcharakter: Ein sicheres Passwort würfeln

Im zweiten Teil der Themen-Serie Passwort-Management stellen wir einen einfachen und spielerischen Weg vor, über den sich jeder ein sicheres Passwort erstellen und vor allem auch merken kann – die sogenannte „Diceware“-Methode.

30. September 2019 von

Sicheres Spiel beim Passwort-Management mit der Diceware-Methode. © Shutterstock

Sichere Passwörter zu entwickeln fällt vielen Internetnutzern schwer: Die Zahl der Passwörter, die sich ein Onliner merken muss, wächst kontinuierlich – wie eine repräsentative Studie zeigt, ist schon jetzt jeder dritte deutsche Internetnutzer bei 16 oder mehr Online-Diensten registriert. Viele nutzen dabei das gleiche Passwort für mehrere oder sogar alle Dienste, oder verwenden ein sehr unsicheres Passwort wie „123456“. So haben Hacker leichtes Spiel. Doch die Erstellung eines sicheren und leicht zu merkenden Passworts ist gar nicht so schwer wie viele denken und kann mit einem einzigen Hilfsmittel gestaltet werden – einem Würfel.

So funktioniert die Würfelmethode

Die sogenannte „Diceware“-Methode wurde Mitte der 90er Jahre von dem Amerikaner Arnold G. Rheinhold erfunden. Der Grundgedanke besteht darin, mit einem einfachen, sechsseitigen Würfel eine zufällige Wortkombination zu erzeugen, und daraus ein Passwort zu erstellen. Alles was man dazu braucht, sind ein Würfel und eine spezielle online verfügbare Wortliste.

Diese Liste enthält rund 7800 verschiedene Worte, Ziffern, Zahlen und Sonderzeichen. Alle diese Elemente sind jeweils einem fünfstelligen Code aus den Ziffern 1 bis 6 zugeordnet. So verbirgt sich zum Beispiel hinter dem Code 65116 das Wort „winken“, hinter 42212 steckt der „lurch“ und hinter 11453 verbirgt sich die Zahl „1900“.

Um daraus ein neues Passwort zu erstellen, würfelt man fünf Mal hintereinander und notiert die Ergebnisse. Anschließend schaut man in der Liste nach, welches Wort dem Würfelergebnis zugeordnet ist. Diese Prozedur wird mindestens fünf Mal wiederholt. Das Endergebnis könnte dann beispielsweise so aussehen:

31536 – „hauch“

42454 – „mandel“

31664 – „held“

26155 – „genial“

52544 – „riecht“

Reiht man die erwürfelten Wörter nun mit Sonderzeichen aneinander, entsteht statt eines einzelnen Passwortes ein ganzer Satz, eine so genannte Passphrase: „Hauch-Mandel-Held-genial-riecht“. Das hat mehrere Vorteile: Zum einen enthält eine Passphrase üblicherweise mehr Zeichen als ein Passwort. Das macht es Hackern schwerer, durch reines „Ausprobieren“ die Passphrase zu erraten. Zum anderen sind die Worte in diesem Satz, der Passphrase, auf den ersten Blick sinnlos aneinandergereiht. Auch das tut der Sicherheit gut: Sinnvolle Sätze können einfacher geknackt werden als sinnlose Wortkombinationen.

Und nicht zuletzt ist es für das menschliche Gehirn einfacher, sich einen Satz zu merken, als eine vollkommen willkürliche Zeichenfolge. Im vorliegenden Beispiel klappt das mit einer simplen Eselsbrücke: „Ein Hauch von Mandel im Kuchen findet der Held genial, denn es riecht so gut“.

So wird aus der Passphrase ein individuelles Passwort für jeden Dienst

Wer nun noch einen Schritt weiter gehen möchte, kann ähnlich wie bei der Methode „Passwort-Manager im Kopf“ aus dem ersten Teil der Newsroom-Serie, die hier erstellte Passphrase als Passwort-Stamm für mehrere Online-Dienste verwenden. Dazu ergänzt man die gewürfelte Passphrase um ein individuelles Kürzel am Anfang oder Ende mit einem verklausulierten Hinweis auf den Online-Dienst, für den man die Passphrase verwenden möchte. Hier bietet es sich auch an, Zahlen und Sonderzeichen zu verwenden, um noch mehr Komplexität in die Passphrase zu bringen. Für WEB.DE könnte das Kürzel gespickt mit Zahlen und Sonderzeichen zum Beispiel „W3B.D3L0g!n“ heißen. Die fertige Passphrase für WEB.DE lautet dann „Hauch-Mandel-Held-genial-riecht_W3B.D3L0g!n“.

Kategorien: News, Sicherheit, Sonstiges
Schlagworte: Diceware, Passwort, Passwort-Sicherheit

Verwandte Themen

WEB.DE hebt Anforderungen für Passwort-Qualität an

Der E-Mail-Anbieter informiert Nutzerinnen und Nutzer im Laufe der kommenden Wochen per Mail über die Umsetzung einer neuen Passwortrichtlinie. Neue Passwörter werden künftig verstärkt mithilfe technischer Algorithmen auf Qualität, Länge und Komplexität hin überprüft. Die Überprüfung findet unter den gleichen strengen Sicherheitsbedingungen wie die Passworteingabe beim Login statt. mehr

Sicherer ist sicherer: Check-Liste für bessere Passwörter

E-Mail-Postfach, Onlineshopping oder Social Media: Für immer mehr Services im Netz brauchen wir inzwischen Benutzername und Passwort. Die wichtigste Regel dabei lautet: Passwörter niemals doppelt verwenden. mehr