In die Riemen!

Wieviel Muskelkraft das Knacken von Passwörtern erfordert
ART
Live Demo
thema
Passwortsicherheit
jAHR
2023
SOFTWARE
JetBrains, Java, Figma, Adobe Photoshop, Adobe Illustration, Adobe InDesign, Scrivener, Statista
hARDWARE
Standard PC, Big Screen / TV, Waterrower
Skills
Softwareentwicklung Java, Webentwicklung, Software Design, UI/UX Design, Kommunikation Design, Storytelling

Der Demonstrator „Knack das Passwort“, im September 2023 entwickelt, stellt Personen im Alter von sieben bis 60 Jahren vor die Herausforderung, auf einem Rudergerät die Rechenleistung eines angreifenden Computers durch die eigene Muskelkraft zu ersetzen.  

Inhaltsverzeichnis

Informationen für Demonstrator-Pilotinnen und -Piloten

Yushun Zhao, Designerin für User Interface und User Experience in der Abteilung „Scientific Engineering“, feuert ein Kind auf dem Rudergerät an. Anlass dafür ist die Veranstaltung „Cispa♥️IGB“,  die im September 2023 auf dem Gelände der „Alten Schmelz" in St. Ingbert stattfand.
© CISPA/ Felix Koltermann

Obwohl Passwörter bereits in der Antike verwendet wurden und der US-amerikanische Informatiker Fernando Corbato sie bereits in den 50er-Jahren am Massachusetts Institute of Technology (MIT) weiterentwickelt hat, damit sie auch unsere digitalen Daten vor fremden Blicken schützen, verwenden viele Menschen in Deutschland Passwörter falsch.

Laut einer Umfrage von Web.de im Februar 2022 unter 1.000 Personen ab 18 Jahren verwenden 14 Prozent der Befragten Passwörter, die nicht länger als acht Zeichen sind. 35 Prozent bleiben bei ihren Passwörtern unter zehn Zeichen und 24 Prozent kommen nicht über eine Länge von zwölf Zeichen hinaus. Die Mehrheit missachtet damit die Grundregel der Passwortsicherheit: Je länger (und komplexer) ein Passwort ist, desto sicherer ist es!

Denn umso mehr Rechenleistung benötigt der Angreifer, um aus den möglichen Varianten das richtige Passwort herauszufinden.

Bei diesem Demonstrator legt sich die teilnehmende Person daher selbst in die Riemen. Die mit der eigenen Muskelkraft erruderte Leistung steht im Verhältnis zu der Rechenleistung, die für das Knacken des jeweiligen Passwortes notwendig wäre.

Erklärung für Kinder?

Ein Passwort erlaubt ganz bestimmten Personen Zugang zu geschützten Dingen, wie im Märchen „Ali Baba und die vierzig Räuber“.

Ali Baba verdient seinen Lebensunterhalt, indem er Holz im Wald sammelt und auf dem Markt verkauft. Eines Tages beobachtet er eine Gruppe von Räubern, die mit dem Satz „Sesam öffne dich“ einen Berg öffnen, um ihre gestohlenen Schätze zu verstecken. Als Ali Baba den Satz vor dem Berg ausspricht, öffnet er sich und Ali Baba kann Gold und die Schätze nehmen.

„Sesam, öffne dich“ ist eine Art Passwort. So wie es Ali Baba geholfen hat, den Schatz zu finden, hilft es dem Tablet und dem Computer deiner Eltern zu erkennen, dass du es bist und du Fotos anschauen oder Spiele ausprobieren darfst.

Wie läuft die Demonstration ab?

1. Die teilnehmende Person nimmt auf dem Rudergerät Platz.

2. Sobald sie zu rudern beginnt, setzt sich die Ruderfigur auf dem Bildschirm gegenüber in Bewegung.

3. Die Position der Ruderfigur zeigt an, welches Passwort gerade mittels Muskelkraft geknackt wird. Bereits herausgefundene Passwörter befinden sich links von der Ruderfigur und sind nicht mehr durch ●●●●● vor fremden Blicken geschützt.

Eine Animation der Bildschirmanzeige der Demonstration: die Ruderfigur wird immer langsamer je länger das Passwort ist, um zu verdeutlichen dass es schwieriger wird dieses Passwort zu knacken.

4. Das Rudern endet nach einer Strecke von 436 Metern. Die meisten Teilnehmer:innen benötigen dafür um die zwei Minuten. Der Rekord liegt bei einer Minute und zehn Sekunden.

5. Die benötigte Zeit und die Platzierung sind unmittelbar nach dem Rudern auf einer neuen Bildschirmansicht in der „Bestenliste“ ablesbar.

6. Ein weiterer Bildschirm informiert darüber, wie lange es dauert, Passwörter der jeweiligen Zeichenlänge und Komplexität zu knacken, und welche Passwörter demnach als „sicher“, „halbwegs sicher“ und „unsicher“ gelten.

Wie erstelle ich sichere Passwörter?

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die folgenden zwei Varianten.

Empfehlung des BSI für Passwörter: (a) Lang und weniger komplex, mindestens 25 Zeichen, etwa "tisch_himmel_kenia_blau_pfannkuchenteig_lachen", oder (b) Kürzer und Komplexer, mindestens acht zeichen und vier Zeichenarten, etwa "q7yPv8!x§B"

Was macht diesen Demonstrator besonders?

Die Sicherheit von Passwörtern und die Rechenleistung, die benötigt wird, um sie zu knacken, sind abstrakte Größen. Gleichzeitig sind sie von großer Bedeutung, da sie wertvolle Daten und private Geheimnisse schützen. Der Demonstrator will diesen Schutz erlebbar machen. Auf diese Weise verankert er in unserem (Muskel-)Gedächtnis: Bestimmte Arten von Passwörter sind so leicht knackbar, dass nicht nur minimale Rechen-, sondern auch ganz wenig Muskelkraft ausreicht. Wir müssen daher für unsere Daten bessere Passwörter verwenden.

Weitere Informationen am CISPA?

Quellenauswahl