Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka „Knittelvers“), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark „verknittelt“: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

Gute Passworte sind knapp, weil sie die Lösung eines fast unlösbaren Problems bedeuten. Normalerweise ist ein Passwort entweder sicher, dann kann man es sich nicht merken. Oder es ist leicht zu erinnern, dann ist es nicht sicher.

Die beiden Forscher haben nun versucht, diese Passwort-Nuss zu knacken. Es scheint ihnen gelungen zu sein.

Ihr Trick: Reime kann man sich recht gut merken, Knittelverse zumal. Sie dürfen nur nicht schon „in der Welt“ sein, nicht schon irgendwie bekannt. Shakespeare, Schiller & Co scheiden also gleich mal aus, ebenso aber auch Moses, Bob Dylan und Coca Cola.

Am besten wäre es, sich selbst irgendeinen nahezu sinnfreien Vers auszudenken, doch das ist nicht jedermanns Ding. Also musste ein Generator gebaut werden, der hinreichend komplexe (Ziel: 60 Bit), völlig neue und trotzdem irgendwie erinnerbare Reime erzeugt.

Das einfache Reimschema des Jambus lässt sich gut digitalisieren wie man oben sieht, die englische Sprache ist zudem „Jambus-freundlich“, und jedes Kind kann sich dieses Trivialspruch-Schema mit den zwei mal vier Betonungen einprägen. Also wurde der Generator auf den Knittelvers programmiert. Er generiert so lustige Reime wie „Afghanistan, Afghanistan – Afghanistan and Pakistan“. Voll blöd, aber einfach.

Wie viele? Die Anzahl der möglichen Ergebnisse ist durchaus eine weitere Hürde. Der Generator durfte nicht mit einer Handvoll Lösungen kommen. (In Zeiten von Big Data bedeutet eine Handvoll einige wenige Milliönchen.) Irgendjemand hätte einfach in einer langen Sitzung alle erzeugt und so das nächste Wörterbuch für einen Brute-Force-Angriff geschaffen.

Doch hier schöpfen die beiden Forscher mit ihrer Methode aus dem Vollen. Nach eigenen Angaben erzeugen sie 2^79 Reime, so dass sie sich den Luxus leisten können, nur einen „Teil“, nur die schönsten, auch als Lösungen vorzuschlagen. Die selbstgesetzte Ziel-Zahl 2^60 „Gedichte“ erreichen sie so allemal.

Falls Ihnen hier die Orientierung verloren geht: 2^79 ist nicht mehr weit von der Anzahl der Atome im Universum entfernt und 2^60 ist mehr als die Zahl der Atome in unserem Sonnensystem. Oder anders gesagt: mit derzeitiger Technik ist das nicht knackbar.

Dass all diese Ideen und Lösungswege nicht an einem Nachmittag erdacht wurden, dass statt dessen da hard-core Mathe dahinter steckt, zeigt ein Blick in die oben zitierte Arbeit. Aber Vorsicht, macht keinen Spaß zu lesen, wenn sie nicht bereits gut im Thema sind.

Die Autoren bieten neben der Theorie darum auch handfeste Praxis, einen eigenen Generator, der bei jedem Aufruf einen neuen englischen Knittelvers erzeugt. Bei mir kam eben im Demo-Modus raus:

A battered luggage watershed
Mohamad recommend instead

Doch das ist nur der Demo-Modus mit einigen 10.000 Reimen, eine sehr kleine Hand voll. t3n, bei denen ich auf dieses Verfahren überhaupt erst gestoßen bin, weist zu Recht darauf hin, dass Sie keines dieser Demo-Gedichte und keins der hier zitierten verwenden sollten. Diese Reimchen sind alle „in der Welt“.

Ihr wirklich eigenes, sicheres Passwort aus dem großen Topf der 2^60 Möglichkeiten erhalten Sie hier. Aber das kann wegen des großen Andrangs dauern, die Wartezeit beträgt aktuell knapp 10 Tage. Doch wer das eine zentrale, super geheime und super sichere Passwort für seinen Passwort-Safe sucht, wird wohl diese 10 Tage warten können.

Eine Einführung in sichere Passworte und Passwort-Safes finden Sie übrigens auch in meinem neuen Buch „Mein Recht im Netz„. Ich stellen darin unter anderem verschiedene Verfahren wie Produkte zum Thema digitale Sicherheit vor und vergleiche Vor- und Nachteile. Es ist gebunden und als E-Book erhältlich.

Schreibe einen Kommentar