Der Demonstrator „Knack das Passwort“, im September 2023 entwickelt, stellt Personen im Alter von sieben bis 60 Jahren vor die Herausforderung, auf einem Rudergerät die Rechenleistung eines angreifenden Computers durch die eigene Muskelkraft zu ersetzen.
Informationen für Demonstrator-Pilotinnen und -Piloten
Erklärung für Kinder?
Wie läuft die Demonstration ab?
Wie erstelle ich sichere Passwörter?
Was macht diesen Demonstrator besonders?
Weitere Informationen am CISPA?
Quellenauswahl
Obwohl Passwörter bereits in der Antike verwendet wurden und der US-amerikanische Informatiker Fernando Corbato sie bereits in den 50er-Jahren am Massachusetts Institute of Technology (MIT) weiterentwickelt hat, damit sie auch unsere digitalen Daten vor fremden Blicken schützen, verwenden viele Menschen in Deutschland Passwörter falsch.
Laut einer Umfrage von Web.de im Februar 2022 unter 1.000 Personen ab 18 Jahren verwenden 14 Prozent der Befragten Passwörter, die nicht länger als acht Zeichen sind. 35 Prozent bleiben bei ihren Passwörtern unter zehn Zeichen und 24 Prozent kommen nicht über eine Länge von zwölf Zeichen hinaus. Die Mehrheit missachtet damit die Grundregel der Passwortsicherheit: Je länger (und komplexer) ein Passwort ist, desto sicherer ist es!
Denn umso mehr Rechenleistung benötigt der Angreifer, um aus den möglichen Varianten das richtige Passwort herauszufinden.
Bei diesem Demonstrator legt sich die teilnehmende Person daher selbst in die Riemen. Die mit der eigenen Muskelkraft erruderte Leistung steht im Verhältnis zu der Rechenleistung, die für das Knacken des jeweiligen Passwortes notwendig wäre.
Ein Passwort erlaubt ganz bestimmten Personen Zugang zu geschützten Dingen, wie im Märchen „Ali Baba und die vierzig Räuber“.
Ali Baba verdient seinen Lebensunterhalt, indem er Holz im Wald sammelt und auf dem Markt verkauft. Eines Tages beobachtet er eine Gruppe von Räubern, die mit dem Satz „Sesam öffne dich“ einen Berg öffnen, um ihre gestohlenen Schätze zu verstecken. Als Ali Baba den Satz vor dem Berg ausspricht, öffnet er sich und Ali Baba kann Gold und die Schätze nehmen.
„Sesam, öffne dich“ ist eine Art Passwort. So wie es Ali Baba geholfen hat, den Schatz zu finden, hilft es dem Tablet und dem Computer deiner Eltern zu erkennen, dass du es bist und du Fotos anschauen oder Spiele ausprobieren darfst.
1. Die teilnehmende Person nimmt auf dem Rudergerät Platz.
2. Sobald sie zu rudern beginnt, setzt sich die Ruderfigur auf dem Bildschirm gegenüber in Bewegung.
3. Die Position der Ruderfigur zeigt an, welches Passwort gerade mittels Muskelkraft geknackt wird. Bereits herausgefundene Passwörter befinden sich links von der Ruderfigur und sind nicht mehr durch ●●●●● vor fremden Blicken geschützt.
4. Das Rudern endet nach einer Strecke von 436 Metern. Die meisten Teilnehmer:innen benötigen dafür um die zwei Minuten. Der Rekord liegt bei einer Minute und zehn Sekunden.
5. Die benötigte Zeit und die Platzierung sind unmittelbar nach dem Rudern auf einer neuen Bildschirmansicht in der „Bestenliste“ ablesbar.
6. Ein weiterer Bildschirm informiert darüber, wie lange es dauert, Passwörter der jeweiligen Zeichenlänge und Komplexität zu knacken, und welche Passwörter demnach als „sicher“, „halbwegs sicher“ und „unsicher“ gelten.
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt die folgenden zwei Varianten.
Die Sicherheit von Passwörtern und die Rechenleistung, die benötigt wird, um sie zu knacken, sind abstrakte Größen. Gleichzeitig sind sie von großer Bedeutung, da sie wertvolle Daten und private Geheimnisse schützen. Der Demonstrator will diesen Schutz erlebbar machen. Auf diese Weise verankert er in unserem (Muskel-)Gedächtnis: Bestimmte Arten von Passwörter sind so leicht knackbar, dass nicht nur minimale Rechen-, sondern auch ganz wenig Muskelkraft ausreicht. Wir müssen daher für unsere Daten bessere Passwörter verwenden.