Passphrasendrescher

Im Nachhinein ist das Passwort eine recht dumme Idee. Obwohl es inzwischen bessere Alternativen gibt, wird das Passwort sicher nicht so schnell totzukriegen sein. Dabei nervt vor allem die Password Policy. Dabei hatte Randall Munroe bereits nachgerechnet, dass ein Passwort aus vier Wörtern mit jeweils fünf Buchstaben eine Stärke von $10^{20}$ hat, was viel sicherer ist als ein Passwort mit 12 Zeichen und zudem noch einfacher zu merken ist, da es aus Wörtern besteht, die wir leichter visualisieren können.

Tools wie Bitwarden bieten die Generierung von solchen Passphrasen an. Ein CLI-Tool für Linux ist xkcdpass. Es generiert Passphrasen aus Wörtern aus einem Wörterbuch, in einer auswählbaren Sprache. Die Wortliste kann über den Parameter -l angegeben werden, mit -Ǹ 5 erzeugt man sich eine Handvoll Passphrasen, aus denen man dann auswählen kann:

1
2
3
4
5
6

❯ goxkcdpwgen -N 5 -l de
alarm zoomen mitunter lustspiel
fernverkehr beobachten ersparen endpreis
listen tausend anbringen deutlich
kleckern geklingelt nachkam ziehung
klima instinkt clever exekutive

Das einzige Problem, was wir vermutlich weiterhin haben, ist die Vorgabe, ob das Passwort auch weiterhin stark genug ist. Das Password Game bringt diese nervigen Sicherheitschecker sarkastisch und unterhaltsam auf den Punkt.

Mit Passkeys, Client-Zertifikaten, Hardwareschlüsseln wie Yubikey oder Token2 existieren bereits Alternativen, die das Passwort als schwache Alternative erscheinen lassen und dabei noch bequemer sind. Passphrasen im XKCD-Stil wären zwar eine Verbesserung zum Passwort, aber in der Regel kommen wir damit nicht am Checker vorbei. Im schlimmsten Fall heißt es dann: “Das Passwort ist zu lang. Verwenden Sie maximal 12 Zeichen.” Und nach den Berechnungen von Randall Munroe heißt das: Wir dürfen es alle drei Tage ändern. Na dann: Viel Spaß!