Sichere Passwörter
Ein praktischer Einblick in ein informatisches Problem, ganz ohne Programmieren.
MATERIALIEN
Sicher haben Sie sich bereits mit Regeln für sichere Passwörter auseinandergesetzt. Verstehen Sie auch, wieso diese Regeln nötig sind?
Welche Eigenschaften hat ein sicheres Passwort?
- Es ist lang (mind. 8 Zeichen)
- Es beinhaltet kleine und grosse Buchstaben, Zahlen und Sonderzeichen
- Es ist nicht im Wörterbuch zu finden
- Es ist kein «übliches» Passwort
- Es ist nicht einfach mit Ihrer Person in Verbindung zu bringen (z.B. Geburtstag, Name des Haustiers, Wohnort)
Warum sollte ein sicheres Passwort diese Eigenschaften haben?
- Um gegen brute-force Attacken abgesichert zu sein
- Um gegen geschicktes Raten abgesichert zu sein
Versetzen wir uns doch mal in die Position eines Hackers, der ein Passwort knacken will.
1. Ein dummer, aber sehr schneller Hacker …
… würde eine sogenannte «brute-force-Attacke» versuchen: Einfach alle Möglichkeiten systematisch ausprobieren.
Aber wie viele Möglichkeiten sind das?
Kombinationen
Nicht nur am Computer ergibt sich immer wieder die Frage, wie viele verschiedene Kombinationsmöglichkeiten von Zeichen oder Ziffern sich für eine bestimmte Anzahl Stellen ergeben. Die Antwort ist immer dieselbe:
Möglichkeiten pro Stelle hoch Anzahl Stellen
Beispiele:
- Wenn ein Passwort aus 4 Kleinbuchstaben besteht, dann gibt es insgesamt 264 = 456976 verschiedene Passwörter (ein Hacker könnte diese Kombinationen mithilfe einer brute-force Attacke sehr schnell alle durchprobieren)
- Wenn die Farbe eines Pixels mit 3 Byte, also 24 Bit codiert ist, dann kann dieses Pixel 224 = ca. 16.7 Mio unterschiedliche Farben haben
- Wenn eine Dezimalzahl 3 Stellen lang ist, dann gibt es 103 = 1000 verschiedene Möglichkeiten. Weil die Null auch eine dieser Möglichkeiten ist, können wir mit drei Stellen von 0 bis 999 zählen
Achtung! Die Frage nach der höchsten Zahl, die in eine bestimmte Anzahl Stellen passt, ist nur fast dasselbe wie die Frage nach der Anzahl der Kombinationen. Wie in Beispiel 3 ersichtlich wird, muss man für die höchste Zahl noch 1 abziehen – weil man ja bei Null angefangen hat. Geht es beispielsweise um die höchste Dezimalzahl, die sich mit einem Byte speichern lässt, dann ist die Antwort: 28-1 = 255.
Analogie
Die DNA einer einzelnen menschlichen Zelle enthält etwa 3.27 Milliarden Basenpaare. Für jedes Basenpaar gibt es 4 Möglichkeiten (A/T/G/C).
Insgesamt gibt es also ca. 43270000000 = 26540000000 Zustände, welche ein solcher DNA-Strang annehmen könnte.
Dieser Speicher entspricht somit rund 6.54 Milliarden Bit, also 817.5 Millionen Byte oder 817.5 Megabyte resp. ca. 779 MiB.
Wieviel fasst Ihre Festplatte zuhause?
Aufgabe
Wie genau würde man alle Kombinationen systematisch erzeugen?
Wenn Sie verstanden haben, wie die Kombinationen erzeugt werden, können Sie es auch programmieren: Versuchen Sie, im visuellen Codelab von code.org ein Programm zu erstellen, das alle dreistelligen Dezimalzahlen ausdruckt (Benötigt werden dafür Blöcke aus „Schleifen“, „Variablen“ und „Text“ – z.B. print, zur Ausgabe der Zahlen).
Alternativ kann man das Programm auch gleich in der Programmiersprache Python schreiben. In diesem Editor finden Sie eine Vorlage, die schon alle benötigten Befehle enthält.
2. Ein schlauerer Hacker …
… würde versuchen, geschickt (und damit weniger oft) zu raten.
Aufgabe
Eine Strategie gegen (schnelle und/oder schlaue) Hacker:
Sie verstehen jetzt, warum ein Passwort mit den geforderten Eigenschaften das Problem des Hackers – nämlich das Passwort zu knacken – möglichst schwierig macht. Auf der anderen Seite machen sie auch das Problem des Benutzers – nämlich sich das Passwort zu merken – sehr schwer. Das führt dann häufig dazu, dass man dasselbe Passwort für viele Accounts verwendet, oder Passwörter irgendwo aufschreibt, was natürlich potentiell fatal sein kann.
Für dieses Problem gibt es eine Lösung:
Aufgabe
Eine Anleitung für ein narrensicheres Passwortsystem: SicherePasswörter.pdf. Weitere Empfehlungen finden Sie auf der Websiten des Nationalen Zentrums für Cybersicherheit oder des deutschen Bundesamtes für Informationssicherheit. Halten Sie sich an diese Empfehlungen, dann haben Sie nie wieder Probleme mit Passwörtern.