Was soll das bedeuten fragen sie sich? Das ist ein Kennwort, was durch ein XKCD Comic bekannt wurde. In diesem Comic hat sich der Autor auf anschauliche Weise mit dem Thema der Passwortstärke auseinandergesetzt, indem er die Informationstheorie genutzt hat, um zu zeigen, dass auch sehr komplexe Passwörter sehr einfach zu erraten sind, wenn ihre Länge nicht stimmt. Stattdessen sollen vier zufällig ausgesuchte Wörter zum einen besser zu merken und zum anderen sicherer sein.

Das Problem hierbei ist allerdings, dass nicht alle ausgesuchten Wort- und Zeichenfolgen gleich wahrscheinlich sind. Nutzt man also nur eine Hand voll Wörter und reiht diese in unterschiedlichen Kombinationen aneinander, so eröffnet man im Prinzip einen perfekten Angriffspunkt für Hacker. Diese nutzen solche statistischen Regelmäßigkeiten nämlich aus.

John Clemens von der California Polytechnic State University in San Luis Obispo hat nun in einer auf dem arXiv Server veröffentlichten Studie ein Verfahren vorgestellt, wie man sichere Passwörter erstellen kann, die dennoch gut zu merken sind. Als Ergebnis seines Verfahrens erhält der Anwender ein Passwort der Art „The cusay is wither?“, welches genauso sicher ist, wie eine zufällig generiertes kurzes aber komplexes Kennwort, wie z.B. tQ$%Xc4Ef (56-Bit-Zeichenkette).

In seiner Studie erklärt Clemens, dass er hierfür einen Roman nimmt und für jede Kombination zweier Buchstaben analysiert, wie wahrscheinlich es ist, dass ein beliebiger dritter Buchstabe folgt. So folgt in dem Roman „A Tale of Two Cities“ von Charles Dickens auf ein „ca“ sehr häufig ein „r“ oder „n“ aber sehr selten ein „v“ oder „g“. Dieser errechnete Verteilung nutz der Autor dann, um die Huffman-Kodierung auf den Kopf zu stellen: Denn normalerweise wird dieses Datenkompressionsverfahren dazu genutzt, um eine Zeichenkette in eine Bitfolge zu übersetzen. Clemens hingegen erzeugt eine zufällige 56-Bit-Zeichenkette und dekodiert diese dann in die entsprechende Zeichenkette. So sorgt der Algorithmus dafür, dass ein Passwort immer länger wird, wenn man eine häufig auftretende Buchstabenkombination auswählt oder aber immer kürzer, wenn man nur sehr seltene Kombinationen nutzt. Auf jeden Fall ist aber sichergestellt, dass nur Buchstabenfolgen genutzt werden, die auch in dem zugrundeliegenden Text vorkommen.

Natürlich ist die Sicherheit des Algorithmus unabhängig vom zugrundeliegenden Text. Der Autor empfiehlt sogar, die gesamte gesammelte E-Mail Kommunikation eines Anwenders als Grundlage zu nutzen, damit die entstehenden Passwörter noch stärker den eigenen Sprachgewohnheiten entsprechen. Wir können also gespannt sein, wann dieses Verfahren Einzug in die gängigen Passwortgeneratoren nimmt und ob es in der Praxis tatsächlich so einfach ist, sich Passwörter der Form „The cusay is wither?„ zu merken.