PWGen für Windows

Weitere Sprachen: English | Français

Inhalt

• Warum sollte ich PWGen benutzen?
• Wie funktioniert PWGen?
• Wie benutze ich PWGen?
• Konfiguration
• Tipps
• Quellcode
• Kontakt

WICHTIGER HINWEIS: Es wird DRINGEND empfohlen, den freien Speicherplatz Ihrer Festplatte REGELMÄSSIG sicher zu löschen, insbesondere nach der Erzeugung von Passwörtern mit hohem Sicherheits-Niveau. Eraser ist eine hervorragende Anwendung zum sicheren Löschen von Dateien und freiem Speicherplatz.

Wie ändere ich die Sprache des Programms? Sie müssen die Konfiguration ändern.

Warum sollte ich PWGen benutzen?

Es ist wohl hinlänglich bekannt, dass Menschen eine ausgeprägte Neigung dazu haben, schlechte Passwörter zu wählen; seien es persönliche Daten (der Klassiker -- besonders übel!), Namen und Charaktere aus beliebten Büchern, Filmen oder Spielen, oder seien es simple Zeichenfolgen, wie etwa das berühmte "qwertz" und dergleichen. Wenn Sie mir diesen einen Rat zumindest gestatten: Tun Sie es den Millionen von Leichtsinnigen, die dem Geburtsdatum ihrer Mutter mit einem Passwort ein (fragwürdiges) Denkmal setzen wollen, lieber nicht nach. Wenn Sie sich anschicken, Ihre privaten Daten wirklich geheim zu halten, sollten Sie ein Passwort wählen, das auch wirklich dem anvisierten Sicherheitsniveau entspricht. Nun, es ist sicherlich richtig, dass es im Laufe der Zeit immer schwieriger geworden ist, all die Passwörter für die verschiedensten Bereiche, insbesondere dem breiten Spektrum der Internet-Anwendungen, zu memorieren, und ich möchte auch gar nicht bestreiten, dass diese unselige Passworterei mir nicht minder schwerfällt. Wahre Gedächtniskünstler, die den angesprochenen Tücken des leidigen Passwort-Merkens zu trotzen vermöchten, dürfen sich meiner tiefsten Bewunderung teilhaftig wähnen. Andernfalls machen Sie sich bitte keine allzu großen Sorgen; es gibt Hilfsprogramme, sogenannte Passwort-Safes, in denen Sie sämtliche Passwörter verschlüsselt ablegen können. Für die Sicherheit des Safes und der darin gespeicherten Daten ist lediglich ein Master-Passwort erforderlich, das aber, wohlgemerkt, eine gewisse sicherheitstechnische Qualität bieten sollte. Bedauerlicherweise ist es gar nicht so einfach, wie man leichtfertig zu glauben versucht ist, echt zufällige Passwörter zu erzeugen, und Menschen, das dürfte wohl jetzt auch nichts Neues mehr sein, taugen dazu noch am allerwenigsten. PWGen nutzt daher eine natürliche Entropie-Quelle, die Tastaturverzögerung, kombiniert mit Entropie aus Ihrem Windows-System, zur Destillation des reinen Zufalls, aus dem Ihr Passwort letztlich besteht. Gut, ich gebe zu, dass goldeneye weitaus leichter zu memorieren ist als z. B. zio5FcV7J. Aber bedenken Sie bitte, dass Sie für einen Passwort-Safe unbedingt ein sicheres Master-Passwort verwenden sollten, wenn Sie Wert auf Ihre Privatsphäre legen; und glauben Sie mir, zufällige Passwörter, wie PWGen sie erzeugt, sind um Längen sicherer als banale Wörter oder Sätze. Streng zufällig gewählte Passwörter bieten die größte Sicherheit.

Hier finden Sie einen Artikel (in Englisch) über Probleme im Zusammenhang mit von Menschen gewählten Passwörtern.

Wie funktioniert PWGen?

Die primäre Aufgabe dieses Programmes besteht darin, gute Passwörter zu generieren, wobei "gut" hier im Sinne von "zufällig", d. h. kryptographisch stark, zu verstehen ist. Nun ist es aber leider kein leichtes Unterfangen, echt zufällige Daten mit dem Computer erzeugen zu lassen. Die gewöhnlichen Zufallszahlengeneratoren sind vollkommen ungeeignet für unsere Zwecke, da sie auf keinen Fall als kryptographisch stark angesehen werden können. Sie berechnen lediglich (pseudo-)zufällige Sequenzen mit Hilfe eines bestimmten Startwertes, weshalb man auch von deterministischen Operationen spricht. Um aber wirklich zufällige Bitfolgen zu gewinnen, misst PWGen den Zeitabstand d zwischen einzelnen Tastaturanschlägen mit einem High-Performance-Zähler. Die so gesammelten Bits werden -- inkl. des vom Benutzer eingegebenen Textes -- in ein sog. random pool eingespeist, das höchste Informationsdichte gewährleistet, indem es den Inhalt des Pools kryptographisch effektiv vermischt. Die Ausgabe des random pool wird, zwecks besserer Les- und Memorierbarkeit, in Hexadezimal-, Base64-Zeichen oder eine Passphrase (d. h. ein Pass"wort" bestehend aus mehreren Wörtern) umgewandelt.

Dem Programm gereichen zwei Entropie-Quellen zum Nutzen: Die Tastaturverzögerung (wie oben angesprochen, die natürliche Quelle des Benutzers) und Entropie aus system-eigenen Parametern (z. B. aktuelle Zeit, Positions des Mauszeigers, Speicherauslastung etc.). Aus Sicherheitsgründen ist es allerdings etwas naiv zu glauben, dass diese Quellen allesamt wirklich zufällig sind. Tatsächlich müssen wir annehmen, dass sie "biased" oder "skewed", d. h. in eine bestimmte Richtung beeinflusst sind, was sich entweder darin äußert, dass Nullen und Einsen nicht gleichmäßig verteilt sind, oder darin, dass bestimmte Bit-Muster (beispielsweise in 8- oder 16-Bit-Dimensionen) gehäuft auftreten. Daher habe ich den sogenannten "BIPB-Wert" (= Bits an Information pro Bit aus der Entropie-Quelle) eingeführt, der über den kryptographischen Wert der Entropie-Quelle Auskunft gibt. Wir können z. B. eine "Exzentrizität" (außerordentliches, ungünstiges Verhalten) e der Quelle annehmen. Ist e, sagen wir exemplarisch 0,2, so ist die Quelle wahrscheinlich zu 70% (0,5 + 0,2) in Richtung von 0 oder 1 beeinflusst. Bei einer echt zufälligen Quelle sind alle möglichen Werte (0 oder 1) gleich verteilt, d. h. 0 und 1 treten jeweils mit der Wahrscheinlichkeit p = 0,5 auf. Ist die Exzentrizität nun aber größer als 0, enthält ein Bit aus dieser Zufallsquelle weniger Informationen als jenes aus einer "echten" Zufallsquelle mit einem konstanten Informationsgehalt, nämlich 1. Zur Berechnung der "Bits an Informationen" behelfe man sich folgender Formel:

bits_of_info = -p₀ * lb(p₀) - p₁ * lb(p₁)

wobei lb der Logarithmus zur Basis 2 ist. Unter Berücksichtigung von e kann p₀ als 0,5 + e und p₁ als 0,5 - e dargestellt werden. Als Konsequenz aus der informationstheoretischen Erkenntnis, wie sie aus der obigen Formel ersichtlich wird, enthalten n Bits unserer "Zufalls"quelle nur bits_of_info * n Bits an Information. PWGen erlaubt es Ihnen, den BIPB-Wert willkürlich zu verändern, sofern Sie argwöhnen, dass die Quelle schlechter sein könnte, als durch den e-Wert angedeutet wird (mehr dazu im Abschnitt Konfiguration).

Der High-Performance-Zähler liefert ca. 8 Bits an Zufall -- dies ist ein von PGP 2.6.3 angenommener Wert (siehe random.c im PGP-Quellcode). Meiner Ansicht nach sind 8 Bits eine recht großzügige Annahme, weshalb ich einen BIPB-Wert von 0,5 (NEU seit Version 1.30/1.40) festgelegt habe. Folglich verwendet das Programm tatsächlich nur 8 * 0,25 = 2 Bits an echtem Zufall aus der Entropie-Quelle, statt 8 Bits (wie PGP). Wenn Sie den BIPB-Wert auf 1,0 setzen, erhalten Sie pgp-ähnliche Sicherheit (beachten Sie, dass diese Einstellung weniger sicher wäre als der PWGen-Standard!). Für die System-Entropie-Quelle ist als Voreinstellung ein (ziemlich niedriger) bits_of_info-Wert von 34 (früher 32) Bits gewählt. Nachdem nun genug Bits gesammelt wurden, wird die Sequenz mit Hilfe eines sicheren Zufallsgenerators (d. h. ANSI X9.17, basierend auf der PGP-Implementation) in ein Passwort umgewandelt, das dem tatsächlichen Informationsgehalt der Entropie-Quellen entspricht.

Beispiel: Sie möchten ein (sehr sicheres) 120-Bit-Passwort erzeugen lassen. Wir haben 32 Bits an System-Entropie und benötigen nun immer noch 120 - 34 = 86 Bits aus unserer wichtigsten Zufallsquelle; aufgrund des BIPB-Wertes von 0,5 bräuchten wir allerdings 172 Bits aus dieser Quelle (wir vermuten ja, dass 172 Bits ungefähr 86 Bits an Information bzw. echt zufälligen Daten enthalten. Da wir aus jedem Tastendruck aber [ca.] 8 Bits gewinnen, brauchen Sie nur 22-mal (172 / 8) zu tippen.) Insgesamt liegen also 34 + 172 = 206 Bits vor, die sukzessive dem random pool übergeben werden. Ein sicherer Zufallsgenerator konvertiert diese Bitfolge in ein 120-Bit-Passwort.

NEU seit Version 1.40: PWGen sammelt nun stets Entropie mit Hilfe von Tastatureingaben und Mausklicks. Jeder Tastendruck und Mausklick wird vom Programm registriert und dem random pool übergeben. Drücken Sie F12, um Informationen über die Anzahl echt zufälliger Bits im Pool zu erhalten.

Wie benutze ich PWGen?

Willkommen. Hier erhalten Sie allgemeine Informationen über das Programm. Verwenden Sie die Schalter "Next" (Nächstes) und "Back" (Zurück) zur Navigation durch den Prozess.

Schritt I. Sie werden gebeten, die gewünschte Länge (in Bits) Ihres Passwortes in das dafür vorgesehene Feld einzugeben. Dieser Wert muss zwischen 32 und 2048 liegen und sollte (muss aber nicht zwingend!) weiterhin ein Vielfaches von 4, 6 oder 13 sein (wegen der drei möglichen Darstellungsarten des Passwortes [Hexadezimal, Base64 oder Passphrase]). Zur Orientierung hier ein paar Informationen über Passwort-Längen: Für "normale" Privatpersonen reichen 64- bis 90-Bit-Passwörter aus. 128-Bit-Passwörter sind zwar äußerst sicher, aber dafür recht schwer zu memorieren. 256-Bit-Passwörter sind höchst wahrscheinlich für alle Zeiten unknackbar. Wenn Sie die Option Rasche Erzeugung wählen, verwendet PWGen zur Erzeugung des Passworts nur System-Entropie und keine weitere Entropie aus der natürlichen Quelle (Tastaturverzögerung). Beachten Sie, dass dies eine starke Verringerung des Sicherheits-Levels nach sich ziehen kann (die Sicherheit des generierten Passworts wird in Schritt III angezeigt). Der frühzeitige Abbruch des Prozesses kann dem Sicherheits-Niveau u. U. ebenfalls abträglich sein.

Schritt II. Nun benötigt PWGen etwas Entropie, d. h. zufällige Daten. Für diesen Zweck eignet sich vornehmlich die Messung der Tastaturverzögerung, d. h. die Zeit zwischen Tastenanschlägen; die daraus gewonnenen Zufallsbits sind zufällig genug und können recht schnell gesammelt werden. Geben Sie also einen beliebigen Text ein (Sie können z. B. die zufällig gewählte Zeichenkette im obigen Feld abschreiben [empfohlen!]), und zwar auf ihre ganz persönliche, individuelle Art und Weise. (Tippen Sie nicht zu schnell!) Die Prozedur ist dann beendet, sobald Sie ein akustisches Signal hören. Sie sollten nicht versuchen, den Vorgang zu verkürzen, indem Sie beispielsweise fortwährend die gleiche Taste drücken. Andernfalls wird PWGen Sie durch ein "BAD" im Eingabefeld dezent darauf hinweisen und eine Fortführung der Messung unterbinden. (Wenn Sie nicht möchten, dass PWGen Ihnen zufällige Zeichenketten anzeigt, müssen Sie die Konfiguration des Programms ändern.)

NEU seit Version 1.40: Sie können auch mit der Maus klicken, um dem random pool Entropie hinzuzufügen.

Schritt III. Herzlichen Glückwunsch, das ist Ihr persönliches Passwort! Wie bereits oben erwähnt, können Sie nun zwischen drei verschiedenen Codierungsarten wählen: Hexadezimal (4-Bit-System, d. h. 2⁴ = 16 mögliche Zeichen, 0..9 und A..F), Base64 (6-Bit-System, d. h. 2⁶ = 64 mögliche Zeichen, A..Z, a..z, 0..9, +, /) und Passphrase (bestehend aus Wörtern der Diceware8k-Wortliste; diese Liste enthält 8192 [2¹³] englische [!] Wörter, daher benötigen wir ein 13-Bit-System, um die Passphrase zusammenzusetzen; ändern Sie die Konfiguration, um Ihre eigene Wortlist verwenden zu können), wobei ich Ihnen die beiden letzteren Möglichkeiten empfehlen würde, da die so entstehenden Passwörter kürzer und/oder leichter zu memorieren sind als ihre hexadezimalen Pendants.

OK, hier ein Beispiel (gewünschte Länge des Passwortes: 64 Bits):

JRJ2bgAD44s (Base64; Sicherheit: 64 Bits; Länge: 11 Zeichen)
2512766E0003E38B (Hexadezimal; Sicherheit: 64 Bits; Länge: 16 Zeichen)
lab waehle chili leihen dhaka (Passphrase; Sicherheit: 64 bits; Länge: 24 Zeichen / 5 Wörter)

Da im ersten Fall jedes Zeichen eine Entropie von 6 Bits besitzt, muss die Passwortlänge dem nächst größeren Vielfachen von 6, d. h. 66 (11 * 6), angeglichen werden. Entsprechend müssen auch die hexadezimalen Passwörter nach dem nächst größeren Vielfachen von 4 ausgerichtet werden, sofern die gewünschte Länge für eine korrekte Darstellung nicht ausreicht. Die Passphrase ist 5 Wörter lang, enthält jedoch nur 64 Bits an Entropie. Da die Länge der Passphrase (in Wörtern) gleichfalls nach einem Vielfachen von 13 ausgerichtet werden muss, wäre es zweckmäßiger, statt eines 64-Bit-Passwortes eine Passphrase der Länge 65 (5 * 13) zu erzeugen. Beachten Sie, dass sich die Sicherheit des Passwortes nicht reziprok zur angepassten Länge verhält; die Sicherheit wird von etwaigen Passwortverlängerungen nicht berührt! Wenn Sie also ein 64-Bit-Passwort generieren und als Base64 codieren lassen, so hat die daraus resultierende Zeichenkette (11 Zeichen lang) immer noch eine Sicherheit von 64 Bits, und nicht etwa 66 (11 * 6) Bits! Ich würde Ihnen daher empfehlen, die Passwortlänge vorher schon der bevorzugten Codierungsart (Base64 oder Passphrase, wie ich annehme?) anzupassen.

Seit Version 1.15 bietet Ihnen PWGen die Möglichkeit, eine ganze Folge von Passwörtern gleicher Länge zu generieren. Betätigen Sie hierzu den Schalter Nächstes Passwort (Pfeil-Symbol). Das Programm generiert nun ein neues Passwort mit Hilfe des Zufallsgenerators. Von der Entropie im Passwort geht nichts verloren. Beachten Sie jedoch, dass, aufgrund eines Entropie-Verlustes im random pool, die Passwort-Sicherheit möglicherweise beeinträchtigt werden könnte. Allerdings können Sie immer Entropie hinzufügen, indem Sie tippen oder klicken.

Wenn Sie Ihr Passwort in die Zwischenablage kopieren möchten, betätigen Sie den Schalter Kopieren (dargestellt als kleines Symbol); nehmen Sie bitte zur Kenntnis, dass die Zwischenablage beim Beenden unwiderruflich gelöscht wird! Sie haben auch die Möglichkeit, Ihr Passwort als binäre Datei zu speichern: benutzen Sie hierfür den Schalter Speichern als (ebenfalls ein kleines Icon neben Kopieren). Da das Passwort in Byte-Form (8 Bits) gespeichert wird, muss es dementsprechend einem Vielfachen von 8 angeglichen werden (diese notwendige Praxis kennen Sie ja bereits). Die so erzeugte Datei kann als Schlüsseldatei für Verschlüsselungs-Programme o Ä. verwendet werden.

PWGen also provides the possibility of formatting your passwords as "entries" for use in a password safe, for example. Select Format as Entry... (Strg+E) in the context menu of the password field and enter the title/name of the entry; it looks as follows (example):

PWGen bietet Ihnen nun auch die Möglichkeit, Ihre Passwörter als "Einträge" zu formatieren, die Sie z. B. als Eintrag in einem Passwort-Safe verwenden können. Wählen Sie Als Eintrag formatieren (Strg+E) im Kontext-Menü des Passwort-Feldes und geben Sie den Namen/Titel des zu erstellenden Eintrages an; er hat folgende Form (Beispiel):

Sourceforge.net
    >>> yf sap jon 49th for haze beryl austin sachs 5 <<<
    Benutzername: h.mustermann

Natürlich empfiehlt es sich unbedingt, diese Datei mit einem ausreichend sicheren (... von PWGen generierten ...) Passwort zu verschlüsseln. Eines der mächtigsten Verschlüsselungs-Werkzeuge ist Blowfish Advanced CS.

Nun fehlt nur noch die Erklärung des Weitere Funktionen (Mehr)-Menüs:

• Zwischenablage löschen (F2): Löscht sicher den Inhalt der Zwischenablage durch mehrmaliges Überschreiben, so dass alle Spuren im Speicherbereich zerstört werden.
• Konfiguration (F3): Zeigt einen Windows-Dialog, in dem Sie die Programm-Einstellungen Ihren Wünschen anpassen können (NEU seit Version 1.35).
• Zufallsdatei erzeugen (F4): Erzeugt eine Datei beliebiger Größe, die aus pseudozufälligen Daten besteht. Verwendet wird ein starker (Pseudo-)Zufallsgenerator (ISAAC), der mit 2048 Bits aus dem random pool initialisiert wird. Die generierten Daten können für jedweden Zweck genutzt werden; beispielsweise lassen sie sich als kryptographischer Schlüsselstrom interpretieren.
• Passwort-Liste erzeugen (F5-F8): Liefert eine Liste mit 100 zufälligen Werten aus dem random pool, die entweder Dezimal (F5; Sicherheit: 32 Bits pro Listeneintrag), Hexadezimal (F6; Sicherheit: 32 Bits), Base64 (F7; Sicherheit: 30 bits), als Wörter (F8; Sicherheit: 13 Bits) aus der Wortliste oder als aussprechbare (Phonetisch, Strg+F5; Sicherheit ist schwierig zu berechnen; nicht mehr als 4-4,5 Bits pro Zeichen, nehme ich an) Passwörter codiert werden können. Die Passwörter sollten nur für Dienste, die keine hohe Sicherheit erfordern, verwendet werden. Sie können die Qualität der Liste verbessern, indem Sie etwas natürliche Entropie bereitstellen (einfach auf der Benutzeroberfläche tippen oder klicken). Beachten Sie jedoch, dass die Passwort-Liste aufgrund der beschränkten Größe des random pools eine maximale Sicherheit von 3200 Bits hat. Die Funktion Als ein Password kopieren (Strg+P) im Popup-Menü (rechter Mausklick) entfernt die Zeilenumbrüche zwischen den Passwörtern und übergibt diese Zeichenkette der Zwischenablage.
• Zwischenablage verschlüsseln: Verschlüsselt (Shift+Strg+C) oder entschlüsselt (Shift+Strg+D) den Text in der Zwischenablage mit AES (Advanced Encryption Standard) im CFB-Modus. Verschlüsseln Sie NICHT große Datenmengen (nicht mehr als, sagen wir, 16 bis 64 kB); große Speicherblöcke, die von PWGen alloziert werden, könnten Windows veranlassen, sensible Daten auf der Festplatte auszulagern.
• Permutation/Lotterie (F9): Erzeugt eine zufällige Permutation; nützlich, wenn Sie Lotterie-Zahlen benötigen.
• Neustart (F10): Beendet die aktuelle Instanz der Anwendung und erzeugt eine neue. Nützlich, um Änderungen in der Konfiguration wirksam zu machen.
• Über: Zeigt einen Copyright-Hinweis.

Ein überaus nützliches Feature von PWGen ist seine Fähigkeit, im System-Tray (die Leiste rechts neben der Taskbar) zu laufen. Wenn Sie das Fenster der Anwendung minimieren, verschwindet es und wird nunmehr als Symbol im System-Tray angezeigt. Sie können das Symbol mit der rechten Maustaste anklicken, um ein Popup-Menü aufzurufen, mit dessen Hilfe sie einige hilfreiche Operationen ausführen können. Die Tray-Funktion lässt sich durch Modifikation der Konfiguration abstellen.

Konfiguration

Seit Version 1.10 haben Sie die Möglichkeit, einige Einstellungen von PWGen zu verändern; z. B. lässt sich festlegen, welche Wortliste zu Beginn geladen werden soll, welche Art von zufälligen Zeichenketten die Anwendung anzeigt oder ob PWGen im System-Tray läuft, sobald Sie das Fenster minimieren.

Drücken Sie F3, um den Konfigurations-Dialog anzuzeigen. Wortliste: Geben Sie hier den Namen der Datei an, in dem sich die Wortliste befindet (beachten Sie, dass diese Liste einigen Kriterien genügen muss, siehe unten). Sprache: Mehrsprachige Unterstützung. Sie können ganz einfach eine Übersetzung hinzufügen, indem Sie die Datei language.txt verändern, die sämtliche Nachrichten und deren Übersetzungen enthält. Art der Zufallskette: Wählen Sie hier, welche Art von zufälligen Zeichen PWGen während der Password-Erzeugung (in Schritt II) anzeigen soll. Bevorzugte Kodierung: Ihre bevorzugte Kodierung, wird von PWGen beim Starten des Programms eingestellt. Bevorzugte Passwort-Größe: Ihre bevorzugte Passwort-Größe, wird von PWGen beim Starten des Programms gesetzt. PWGen als Symbol in der System-Tray zeigen: Wenn Sie die Anwendung minimieren, wird PWGen als Symbol in der sog. System-Tray (rechts neben der Taskleiste) als kleines Symbol gezeigt. Fortgeschritten: Weitere Optionen, die nur von fortgeschrittenen Benutzern verändert werden sollten.

ReL. lädt die Einstellungen aus der INI-Datei neu und Std. lädt die Standard-Einstellungen. Sie müssen das Programm neu starten, um alle Änderungen wirksam zu machen! Klicken Sie auf das "Schlüssel"-Symbol, um das Sicherheits-Niveau des Programms zu ändern (niedrig, normal oder hoch/Paranoia; beachten Sie, dass selbst Niedrig ausreichende Sicherheit bietet); dies wirkt sich nur auf die sicherheits-relevanten Einstellungen von PWGen aus (z. B. BIPB der natürlichen Entropie-Quelle).

Konsultieren Sie config.ini (F1) für eine detailliertere Beschreibung aller Einstellungen. Selbstverständlich können Sie diese Datei auch direkt modifizieren.

Wenn Sie möchten, dass PWGen eine andere Wortliste verwendet, bedenken Sie bitte, dass Wortlisten gewissen Kriterien (aufgeführt in config.ini) genügen müssen. Zusätzliche Wortlisten finden Sie in den Dateien wordlist_beale.txt (englisch, Quelle: Diceware) und wordlist_de.txt (deutsch, ursprünglich erstellt von Benjamin Tenne).

Tipps

Hier sind einige Tipps zum Umgang mit PWGen:

Passwortlängen. Für Privatpersonen sollten schon 64- oder besser 72-Bit-Passwort hinreichende Sicherheit bieten. Gesetzt den Fall, die Chiffrierung DES (56-Bit-Schlüssel) wäre innerhalb eines einzigen Tages (durchschnittlich) knackbar, bräuchte man ca. 256 Tage, um einen 64-Bit-Schlüssel zu brechen. Für einen 72-Bit-Schlüssel wären schon 179,6 Jahre nötig, ein Angriff auf einen 78-Bit-Schlüssel dauerte schätzungsweise 11.491,2 Jahre, ... auf einen 90-Bit-Schlüssel 47.068.134,8 Jahre, und auf einen 128-Bit-Schlüssel 1,3 * 10¹⁹ Jahre. In der nachfolgenden Tabelle sind exemplarisch einige Berechnungen aufgeführt:

Verständnis-Hilfe: Wenn DES innerhalb 1 Tages gebrochen werden könnte, würde es 256 Tage dauern, einen 64-Bit-Schlüssel zu brechen, usw.

Nicht alle dieser Berechnungen sind realistisch. Heutzutage ist es durchaus möglich, DES innerhalb eines Tages oder sogar einer Stunde zu knacken. Um einen 56-Bit-Schlüssel in einer Sekunde zu brechen, bräuchte ein Angreifer beispielsweise 72.058 Computer, die jeweils 10¹² Schlüssel pro Sekunde testen können. Ein Angriff, der DES in einer Millisekunde knackt, erforderte dagegen 72.057.594 Computer dieses Typs.

Vergessen Sie nicht, dass es mindestens 1.000 Wege für einen Angreifer gibt, sich Ihres Passwortes zu bemächtigen; sei es nun durch Spionage oder durch Natrium-Pentothal® (eine Wahrheitsdroge). Und wenn ihr Passwort erst einmal kompromittiert (= von einem Unbefugten gefunden/entdeckt), haben Sie im Endeffekt weder durch die Länge noch durch die Zufälligkeit in sicherheitstechnischer Hinsicht etwas erreicht. Aus diesem Grund ist der sorgsame Umgang mit Ihrem Passwort von größter Wichtigkeit.

Umgang mit Passwörtern. Eines sollten Sie tunlichst vermeiden: Ihre Passwörter aufzuschreiben. Wohlgemerkt, Sie können dies vorübergehend tun, mit dem Ziel, Ihr Passwort gründlichst zu memorieren; danach allerdings sollten Sie das Trägermaterial des Passworts irreversibel zerstören. Ansonsten könnten Leute in Ihrem Umfeld möglicherweise den Aufbewahrungsort des Geheimwortes herausfinden (und das ist meist einfacher, als das Passwort zu erraten) oder vielleicht sogar zufällig darauf stoßen (falls Ihr Versteck sehr unglücklich gewählt ist). Im Übrigen ist es recht schwer, ein sicheres Versteck ausfindig zu machen -- glauben Sie, ich weiß, wovon ich spreche. Seien Sie also besonders vorsichtig mit aufgeschriebenen Passwörtern! Wenn Sie Probleme damit haben, all Ihre Passwörter zu memorieren, rate ich Ihnen zum Anlegen eines Passwort-Safes (siehe unten). Und, bevor ich's vergesse, geben Sie Ihr Passwort niemals einer anderen Person preis, weder einem Familienangehörigen noch einem guten Freund. Bei Nichtbeachtung dieser "goldenen Regel" gefährden Sie u. U. die Sicherheit Ihrer sensiblen Daten!

Passwörter memorieren. Für die meisten Anwender (zu denen ich mich auch zähle) ist dies in der Tat ein großes Problem -- das wohl anfälligste Glied der Sicherheits-Kette. Verzagen Sie aber nicht, denn es gibt da einige gute Tricks, den Merkprozess zu vereinfachen und/oder zu beschleunigen. Nehmen wir an, Sie haben das 72-Bit-Passwort (Base64-Darstellung) P8qu6tCVk0Zf erstellt. Sie können diese Folge z. B. einfach in 2 bis 4 Zeichen lange "Einheiten" einteilen, etwa P8q-u6t-CVk-0Zf. Versuchen Sie nun, diese 4 Einheiten auswendig zu lernen; Sie dürfen das Passwort für eine kurze (!) Zeit aufschreiben, sollten es aber sofort zerstören (z. B. durch Verbrennen des Papiers oder durch Vernichten der Datei auf Ihrem Computer, ...), sobald Sie es sich wirklich eingeprägt haben. Ferner könnte es hilfreich sein, eine Art "Geschichte" aus den Buchstaben des Passwortes zu ersinnen. Beispiel mit obigem Passwort: "Peter (8 Jahre alt) quälte uns 6 tolle Clowns ..." usw. Achten Sie unbedingt auf korrekte Groß- und Kleinschreibung! Ihrer Vorstellungskraft sind hier keine Grenzen gesetzt, also probieren Sie ruhig alle erdenklichen Möglichkeiten aus -- je leichter zu memorieren, desto besser. Gleichwohl gilt: Das Passwort selbst darf nicht manipuliert werden, denn das könnte u. U. eine Herabsetzung des Sicherheitsniveaus nach sich ziehen. Bedenken Sie, dass die Zeichenkette streng zufällig gewählt wurde.

Schauen Sie nur mich an -- mir ist es, Sie werden es kaum für möglich halten, doch tatsächlich gelungen, mir ein 90-Bit-Passwort einzuprägen! Ja, ES FUNKTIONIERT!

Passwort-Safes. Wie oben erwähnt, würde ich Ihnen den Gebrauch von Passwort-Safes empfehlen, da sie Ihnen einen erheblichen Teil der Memorier-Arbeit abnehmen. Es handelt sich dabei um Programme, die Ihre Passwörter mit einem sogenannten "Master-Passwort" verschlüsselt speichern. Gute Freeware-Programme finden Sie z. B. auf SourceForge: Password Safe und KeePass. Für ein normales Sicherheitsniveau reicht in der Regel ein 64- bis 90-Bit-Passwort, das sich mit einigem Aufwand memorieren lässt. Glauben Sie mir, es ist möglich!

Freien Speicherplatz vernichten. Aufgrund der Konzeption und Arbeitsweise von MS-Windows kann es des öfteren passieren, dass das Passwort oder Teile davon auf der Festplatte zurückbleiben. Sollte ein Angreifer in der Lage sein, sich Zugriff auf Ihren Computer zu verschaffen, könnte er die Festplatte gezielt nach Speicherrückständen von Passwörtern durchsuchen, die Sie irgendwann einmal eingegeben haben. Dieses Szenario ist äußerst unangenehm und gefährlich. Aus diesem Grund ist es in vielen Fällen ratsam, ein Sicherheits-Programm zum Vernichten von freiem Speicherplatz, in dem sensible Daten unbemerkt und unbeabsichtigt gespeichert sein könnten, zu bemühen. Einige hervorragende Programme zum Verrichten dieser Aufgabe sind Eraser (erste Wahl) und Blowfish Advanced CS.

Quellcode

Der Quellcode von PWGen ist öffentlich verfügbar. Sie können ihn von der Projekt-Homepage herunterladen (mehr Informationen dazu siehe unten).

Kontakt

PWGen Copyright © 2002-04 by Christian Thöing. Dieses Programm ist freie Software und unterliegt den Bedingungen der GNU General Public License. Sie finden eine Kopie dieser Lizenz (englisch) in der Datei license.txt. Bitte kontaktieren Sie mich, wenn Sie Bugs (Programmfehler) gefunden oder einfach eine Frage haben.

Projekt-Homepage: http://pwgen-win.sourceforge.net; Downloads finden Sie auf der Seite http://sourceforge.net/projects/pwgen-win/. Vielleicht möchten Sie auch meine persönliche Homepage (auf Deutsch) besuchen: http://cryptolounge.de.vu.

Wenn Sie fähig und willens sind, dieses Dokument in eine andere Sprache zu übersetzen, lassen Sie es mich bitte wissen und/oder schicken Sie mir die übersetzte HTML-Datei.

Ach ja ... Bevor ich's vergesse: Das Programm enthält ein verstecktes Easter egg. Können Sie es finden? (Sie dürfen auch einen Blick in den Quellcode werfen! :-)) Es ist ein Gedicht des österreichischen Dichters Georg Trakl.