World Password Day

  Ralf Hersel   Lesezeit: 6 Minuten  🗪 3 Kommentare

Sichere Passwörter erzeugen. Im Terminal, mit einer Anwendung und im Passwort-Manager.

world password day

Ja, ich weiss es; der World Password Day war gestern. Trotzdem möchte ich heute noch meinen Senf dazugeben. Wer gute Passwörter erzeugen möchte, hat dazu viele Möglichkeiten. Aber nur eine davon ist empfehlenswert. In diesem Artikel beleuchte ich drei Anwendungsfälle: den Passwort-Manager, das Terminal und eine dedizierte Passwort-Anwendung.

Es bringt überhaupt nichts, Regeln für gute Passwörter zu vermitteln. Das sollte man den dafür gedachten Anwendungen überlassen. Selbstverständlich gibt es gute Verfahren, um starke Passwörter zu ermitteln, wie die Diceware-Methode oder die Passphrase. Diese sind aber nur für ein Masterpasswort relevant, welches man im Kopf behalten muss. Alle anderen Passwörter lässt man generieren.

Wer kein Zusatzprogramm für die Passwort-Erzeugung installieren möchte, kann GPG verwenden, welches in den meisten Distributionen standardmässig vorhanden sein sollte. Um mit GPG ein Passwort zu erzeugen, gibt man im Terminal diesen Befehl ein:

gpg --gen-random --armor 1 20
1g4BfYVO4zywQOH2fM+ijufp7Z8=

Damit erhält man ein 20 Zeichen langes Passwort, welches nur aus ASCII-Zeichen (--armor) besteht. Das ist zwar ok, aber nicht optimal, weil man gerne Sonderzeichen im Passwort haben möchte und weil GPG keine Angaben zur Entropie (Mass für die Zufälligkeit eines Passworts) macht.

Wer eine dedizierte Anwendung zur Generierung von Passwörtern haben möchte, kann sich Key Clutter installieren. Die vormals unter dem Namen Secrets bekannte App, macht nichts anderes, als Passwörter zu generieren.

Das Werkzeug ist als Flatpak verfügbar und bietet die Länge, sowie die Varianz des verwendeten Zeichensatzes als Optionen an. Auch das ist nett, aber unnötig.

Der richtige Weg ist die Verwendung eines Passwort-Managers, der kein Internet-Service, sondern eine lokal installierte Anwendung sein sollte.

Du willst Deine Passwörter nicht in der Cloud (die Rechner anderer Leute) liegen haben!

In der Community hat sich KeePassXC als beliebte Lösung erwiesen. Damit hat man alle Passwort-bezogenen Bedürfnisse unter einer Haube, als da wären:

  • Sichere Passwörter generieren
  • Die Accounts mit den Zugangsdaten verwalten
  • Duplikate erkennen (verwende niemals dasselbe Passwort für verschiedene Anwendungen und Dienste)
  • Berechnung der Passwort-Stärke (Entropie)
  • Unterstützung für den zweiten Faktor (TOTP, Time-based One-time Password)

KeePassXC hat einen Passwort-Generator, der unabhängig von den einzelnen Konto-Einträgen verwendet werden kann. So sieht das aus:

Hier bleiben keine Wünsche offen. Die Passwort-Qualität wird wörtlich und als Entropie-Wert angegeben. Man kann zwischen Passwort und Passphrase umstellen. Der verwendete Zeichensatz ist einstellbar und kann über die Optionen für Fortgeschrittene weiter differenziert werden.

Sicherheitsexperten empfehlen, bei der Passwort-Länge und den verwendeten Zeichen, das Längste und Beste einzustellen, was von der Passwort-Eingabe der Dienste akzeptiert wird. Das halte ich für unrealistisch, weil man im Zweifel ein Passwort von Hand eintippen muss. Das passiert z. B. beim Einrichten eines neuen Rechners oder eines Smartphones. Ein 100-Zeichen langes Passwort mit erweitertem ASCII-Zeichensatz tippt niemand fehlerfrei ein.

Daher würde ich die Kirche im Dorf lassen. Ein Passwort, mit einer Entropie von knapp 200, kann noch eingetippt werden, ohne Wutpickel zu bekommen. Hier ist ein Beispiel, bewertet vom Datenschutzbeauftragten des Kantons Zürich:

Bei der Entropie-Berechnung scheint es Unterschiede zu geben. KeePassXC bewertet dieses Passwort mit 190 Bit, während der Passwort-Checker des Kantons 'nur' auf 187 Bit kommt. Das kann man vernachlässigen.

Damit sollte die Frage nach dem Passwort für alle möglichen Anwendungen und Internet-Diensten geklärt sein, bevor wir demnächst über FIDO2 schreiben. Bleibt nur noch die Frage nach dem Master-Passwort für den Passwort-Manager. Ich verwende dafür die Anfangsbuchstaben eines völlig unsinnigen Satzes, gespickt mit Sonderzeichen und Ersatzzeichen. Wichtig ist, dass man sich dieses Passwort merken kann. Es sollte eine Entropie von ca. 100 haben, was man mit einer Länge von 13 Zeichen erreichen kann. Als Alternative bietet sich eine Passphrase aus 6 Worten an. Dazu ein Beispiel, welches für beide Methoden taugt:

Günther springt zweimal, über moosige Weiden mit drei Ziegen! = Güs2x,ümoWm3Z! = Entropie: 93 Bit

Tags

Passwort, Sicherheit, Passwort Manager, Entropie

Community

MitredenMitschreibenSpenden

Mitreden, Mitschreiben, Spenden

Robert
Geschrieben von Robert am 5. Mai 2023 um 11:30

Was ist mit Passkeys - ist das nicht viel eher die Zukunft?

Siehe https://passkey.org/ und https://www.passkeys.com/

Antworten
Felix
Geschrieben von Felix am 6. Mai 2023 um 21:21

Ich benutze meist pwgen (https://wiki.ubuntuusers.de/pwgen/) zum generieren meiner Passwörter. Da lasse ich mir 50 vorschlagen und suche eins aus, was mir gefällt :-).

Antworten
Robert Riebisch
Geschrieben von Robert Riebisch am 24. Mai 2023 um 20:36

Beim Passwortgenerator von KeePassXC bleibt eben doch ein Wunsch offen: Man kann leider keine Profile anlegen. (KeePass für Windows kann das.) Gibt ja leider immer mal Webseiten, die seltsame Vorstellungen von "Sonderzeichen" haben, da war es nice, wenn man z. B. für die Sparkassen-Internet-PIN andere Zeichen und eine andere Länge als separates Profil im Generator hinterlegen und fix wieder aufrufen konnte, wenn man das Passwort mal erneuern wollte.

Antworten