Weshalb calc.pw?

Sicherheitsexperten raten inzwischen dazu, für jeden verwendeten Dienst ein eigenes Passwort zu verwenden. Hintergrund ist, dass Dienste gehackt werden können. Gelangt der Angreifer dabei an die Passwörter dieses Dienstes, hat dieser die Möglichkeit, die gefunden Passwörter auch bei anderen Diensten auszuprobieren. Bei Verwendung eines Passwortes für alle Dienste bedeutet der Verlust dieses Passwortes die Kontrolle über sämtliche genutzte Dienste.

Um dies zu umgehen, wurden im Laufe der Zeit verschiedene Methoden entwickelt, um Passworte zu erzeugen. Google wirbt zum Beispiel für die Variante, aus einfach merkbaren Sätzen und durch das Tauschen von Buchstaben durch Zahlen und Sonderzeichen Passwörter zu erzeugen. So wird zum Beispiel aus dem Satz "I love sandwiches." das Passwort "1loves@nDwich3s". Das Problem hieran ist, dass man zum einen gute Sätze finden muss, sich merken muss, welche Zeichen man womit ersetzt hat und man muss eine Verknüpfung zwischen dem Dienst und dem Satz herstellen können. Bei 20 oder 30 verschiedenen Accounts, die man heutzutage besitzt, ist das einfach nicht handhabbar.

Eine andere, häufig verwendete Methode ist es, ein Hauptpasswort zu bestimmen und dieses um dienstabhängige Merkmale zu ergänzen. Angenommen, das Hauptpasswort sei "St@rk3sP4ssw0rt" und man benötigt ein Passwort für sein Online-Banking, dann wäre ein mögliches Passwort "St@rk3sP4ssw0rt_banking". Es gibt hier verschiedene Methoden, um zum dienstabhängigen Teil zu gelangen. Alle diese Methoden haben jedoch gemein, dass man gefährdet ist, sobald eines der Passworte bekannt wird, da die Möglichkeit besteht, das Hauptpasswort zu ermitteln und neue Dienstpassworte abzuleiten.

Die dritte Methode ist heutzutage, völlig zufällige Passwörter zu generieren und diese zu verwenden. Sie haben jedoch den großen Nachteil, dass sie nicht einprägsam sind, zumal die Zahl der benötigten Passworte mit jedem verwendeten Dienst steigt. Aus diesem Grund entstanden Passwortdatenbanken, die einem das Einprägen der Passworte ersparen. Diese setzen nur ein Masterpasswort für die Datenbank voraus und bieten anschließend Zugriff auf alle darin gespeicherten Passworte. Doch auch diese Methode hat ein Problem: Kommt die Datenbank abhanden, sind sämtliche Passworte verloren. Zudem muss die Passwortdatenbank überall verfügbar sein, was zu abstrusen Konzepten führt - zum Beispiel das Speichern sämtlicher Passwörter in der Cloud. Hier hat der amerikanische Betreiber Dropbox Zugriff auf die Passwortdatenbank und damit potentiell auch der CIA, die NSA und andere Organisationen.

Abschließend gibt es noch eine eher lustige Präsentation eines Passwort-Schemas bei XKCD. Dort wird empfohlen, einfach mehrere normale Worte aneinander zu fügen. Dies wäre - nach Ansicht des Comics - ausreichend sicher. Leider gibt es hier ein großes Problem. Viele Loginformulare setzen eine maximale Passwortlänge voraus. Ein Schema wie das dort gezeigte würde also - je nach maximaler Passwortlänge - zu sehr schwachen Passworten führen. Zudem gilt auch hier: Im Alltag ist es nicht nur notwendig, ein Passwort zu erzeugen, sondern meist hat man dutzende verschiedene Accounts, die ein Passwort benötigen. Auch hier müsste man sich also eine Zuordnung der Wortkombinationen zu den einzelnen Diensten einprägen.

calc.pw geht hier einen völlig anderen Weg. Es verwendet ein Masterpasswort und eine dienstabhängige Information, aus denen mit Hilfe kryptografischer Mittel (SHA-1 und Arc4) ein Dienstpasswort erzeugt wird. Dieses Dienstpasswort ist nicht zurückrechenbar. Aus dem Dienstpasswort kann also weder das Masterpasswort noch die dienstabhängige Information ermittelt werden. Sollte also eines der Dienstpassworte bei einem Angriff abhanden kommen, brauchen Sie nur dieses durch ein neues zu ersetzen. Alle anderen Passworte sind weiterhin sicher.

Inhalt:

  1. Weshalb calc.pw?
  2. Wie funktioniert calc.pw?
  3. Wie muss ich die Information eingeben?
  4. Wie funktioniert die Passwortgenerierung?
  5. Wie wurde calc.pw aufgebaut?
  6. Wie wurde calc.pw programmiert?
  7. Was hat es mit den Tastaturlayouts auf sich?
  8. Wer steckt hinter calc.pw?
  9. Downloads
© 2013-2017 Kenneth Newwood (@weizenspreu)
no-www.org extra-www.org IPv6 ready
Datenbank: 25 Abfragen | Generierung: 0,25373 Sekunden Top