Gute Grammatik ist zwar eine Tugend, aber nicht, wenn es um das Erstellen sicherer Passwörter geht. Denn wenn ein langes Passwort grammatikalischen Regeln folgt, ist es für Angreifer leichter zu knacken. Das hat ein Team um Ashwini Rao von der Carnegie Mellon University mit einem eigens entwickelten Grammatik-sensitiven Crack-Algorithmus gezeigt.
"Wir sollten uns nicht blind auf die Zahl der Wörter oder Zeichen als Mass für die Stärke eines Passworts verlassen", betont die Informatik-Doktorandin. Denn lange Passwörter sind oft praktisch kurze Sätze, da sich User das leichter merken können als willkürliche Zeichenketten. Das Team hat seinen Knack-Algorithmus an 1.434 Passwörtern mit 16 oder mehr Zeichen getestet und konnte zeigen, dass er bei Passwörtern mit grammatikalischen Strukturen besser abschneidet als andere modernste Knack-Lösungen. Bei zehn Prozent des Datensatzes habe nur der neue Algorithmus mit dem Knacken Erfolg gehabt. Das liegt daran, dass er sich Regeln der Grammatik zunutze gemacht hat und satzähnliche Passwörter praktisch in ihre Teile zerlegt, wenn sie gängigen Strukturen wie "Fürwort-Verb-Adjektiv-Hauptwort" folgen. Dann spielt die Zahl der Worte und Zeichen für die Sicherheit eines Passworts eigentlich keine Rolle, so das Team.
Ein Beispiel dafür ist, dass die auf den ersten Blick dank Zeichensubstitutionen und der Verwendung von Sonderzeichen eigentlich gut wirkende Phrase "Th3r3 can only b3 #1!" sich als extrem leicht zu erraten erwiesen hat. Sogar der leichter als solcher zu erkennende Satz "Superman is $uper str0ng!" ist den Berechnungen des Teams zufolge als Passwort 10.000 Mal stärker. Zudem warnt Rao, dass Phrasen mit vielen Fürwörtern sehr leicht zu erraten sind. Es gibt nämlich nur wenige Pronomen, sie sind mit einem passenden Wörterbuch schnell gefunden. Mehr Details wird die Informatikerin im Februar auf der Conference on Data and Application Security and Privacy präsentieren.
Die Praxis ist noch schlimmer
Auf den Online-Alltag dürfte die neue Erkenntnis kaum Auswirkungen haben, da sich User auf lange Passwörter ohnehin kaum einlassen. "Realweltliche Statistiken aus Breaches zeigen, dass Passwörter meistens maximal acht Zeichen lang sind und oftmals bei mehreren Diensten benutzt werden", betont Marco Preuss, Head of Global Research and Analysis Team, DACH, bei Kaspersky. Grammatik spielt also bei echten Passwörtern meist gar keine Rolle, da es sich nur um ein Wort oder eine triviale Zeichenkette handelt.
So waren dem Passwort-Management-Spezialisten Splashdata zufolge 2012 die beiden gängigsten Passwörter "password" und "123456". Zwar enthalten die Splashdate-Top-25 auch einige Kurzsätze wie "letmein", die aber ohnehin mit acht oder weniger Zeichen zu kurz sind. "Derartige Kombinationen sind aufgrund aktueller GPU-Leistung mit entsprechenden Tools schnell zu knacken", erklärt Preuss. User müssen also erst einmal anfangen, überhaupt in nennenswertem Ausmass lange (16 Zeichen oder mehr) und komplexe Passwörter nutzen, ehe die Frage der Grammtik wirklich breitenrelevant wird.
Der Online-Stellenmarkt für ICT Professionals