© Le Moal Olivier, 123RF

Oft sind Passwörter per se unsicher. Aber gar keine Authentifizierung wäre es natürlich erst recht. Gibt es einen Ausweg aus diesem Dilemma?

Passwörter haben eine Reihe Probleme. Ihr größtes: Sind sie leicht zu merken, sind sie meist auch leicht zu knacken. Sind sie dagegen lang und kompliziert, kann der Nutzer sie sich nicht merken. Entweder schreibt er sie sich dann auf (was ungünstig ist) oder er verwendet ein Passwort für alle Accounts (was ebenfalls gefährlich ist) oder er vergisst das Passwort und ist ausgesperrt.

Ein paar grundlegende Zusammenhänge des Passwort-Dilemmas kann man sich sehr leicht mathematisch deutlich machen. Wie sicher ein Passwort ist, hängt davon ab, wie viele Kombinationen sich aus derselben Anzahl Zeichen bilden lassen. Mathematisch spricht man von Variationen mit Wiederholung, die einfache Formel für ihre Anzahl ist nk, wobei n der Umfang des Zeichenvorrats ist und k die Länge des Passworts.

Wer also nur zwei Buchstaben zur Verfügung hat, um ein Passwort mit nur zwei Stellen zu bilden, der hat nur 22=4 Möglichkeiten, nämlich aa, ab, ba und bb. Erlaubt man alle 26 Kleinbuchstaben und fordert ein mindestens vierstelliges Passwort ergeben sich 264=456976 Möglichkeiten.

Es ist leicht einzusehen, was besser ist: den Zeichenvorrat vergrößern oder die Länge des Passworts erhöhen. Ist neben den Kleinbuchstaben noch der Punkt erlaubt, sind 274=531441 Passwörter möglich, nicht sehr viel mehr. Ist dagegen ein um einen Buchstaben längeres Passwort gefordert, ergeben sich 265=11881376 Möglichkeiten, sehr viel mehr. Die Länge des Passworts ist also ausschlaggebend.

Kurzlebige Geheimnisse

Auf dieser Grundlage kann jeder Admin übrigens auch leicht die Lebensdauer eines Passworts ermitteln. Dazu ist nur die schon berechnete Anzahl der Möglichkeiten durch die maximale Zahl der Rateversuche zu teilen, die ein Angreifer bewältigen müsste. Könnte er zum Beispiel rund eine halbe Million Versuche pro Sekunde abarbeiten, hätte er das obige vierstellige Kleinbuchstaben-Passwort in längstens einer Sekunde geknackt. Eventuell geht das aber noch sehr viel schneller, denn zufälligerweise könnte ja auch schon der erste, zweite oder dritte Versuch ein Treffer gewesen sein.

Nun gibt es aber einen Trick, um sich lange Passwörter mit großem Zeichenvorrat dennoch zu merken: Man verwendet die Anfangsbuchstaben eines einprägsamen Satzes: »Hd7B,bd7Z« beispielsweise lässt sich ableiten aus “Hinter den sieben Bergen, bei den sieben Zwergen”. Dank Groß- und Kleinschreibung, Interpunktion sowie Sonderzeichen kommt man damit schon auf etliche Billiarden Möglichkeiten. Ein solches Passwort wäre verhältnismäßig sicher – doch sich für jeden Account einen eigenen Spruch merken ist auch nicht einfach.

Deshalb ist es am sichersten, zum Beispiel beim Remote Login, ganz auf Passwörter zu verzichten und stattdessen auf die Schlüssel einer PKI zu setzen. Bei einem SSH-Login kann sich damit nicht nur der Client gegenüber dem Server ausweisen, der dessen Public Key in der Datei »~/.ssh/authorized_keys« hinterlegt hat, sondern der Client stellt zusätzlich sicher, dass er mit dem richtigen Server spricht. Dazu vergleicht er die vom Server gesendeten Public Keys mit den Einträgen in seiner »~/.ssh/known_hosts« . Dabei ist keine Interaktion des Benutzers erforderlich und die Schlüssel lassen sich auch nicht erraten.

Allerdings kennt SSH auch die Authentifizierung via Passwort. Aber mit

PasswordAuthentication no

in der Datei »/etc/ssh/ssh_config« lässt sich sicherstellen, dass sie nicht mehr verwendbar ist.