Gute Passwörter #

Was genau zeichnet ein gutes Passwort aus? Weiss jemand Links dazu, die vielleicht auch fundiert begründen, was man warum nicht machen sollte? Reicht es zum Beispiel, an ein Lexikonwort eine Zahl anzuhängen, um die gängigen Attacken zu verwirren?

Generatoren #

Um sich das Denken zu sparen, kann man einen fertigen Passwort-Generator benutzen. Zwar beschleicht mich ein wenig der Verdacht, daß ein solches Programm genauso systematisch Fehler machen kann wie ein Mensch, wenn man nicht genau den Algorithmus prüft, aber da die meisten einfach schlichte Zufallszahlen benutzen, kommt's da wohl nicht so drauf an. Ein anderes Problem ist es jedoch, ein Passwort so zu generieren, daß ein menschlicher Benutzer es sich dann auch wirklich merken kann.

Ich habe (mindestens) drei interessante Debian-Pakete zum Thema gefunden: gpw, apg und makepasswd. Dabei zeichnet sich gpw dadurch aus, daß es "aussprechliche" Passwörter generiert, also z.B. sowas:

  ncizersi
  lodgirym
  tefaline
  amputers
  ingshali
  nialeons

Diese Passwörter sind für Menschen etwas besser zu merken, so daß man eine Chance hat, daß der Mensch sie nicht direkt per Post-It an den Monitor pappt. Leider gibt es keine Beschreibung dazu, wie sicher diese Passwörter gegenüber gängigen crack-Versuchen nun wirklich sind. Außerdem könnte ich mir vorstellen, daß man trotzdem noch ab und an einen einzelnen Großbuchstaben und eine oder zwei Zahlen einfügen könnte.

makepasswd macht z.B. sowas:

  6Jhzd6
  yb9My54J
  m0W0hRwF
  rbJqUy
  LaeJg5B
  7JSPtDn

Diese Passwörter eignen sich aber nur für den Maschineneinsatz, also z.B. als Mailpasswort,das ich einmal in meinen Mailclient eingebe.