Für Kommentare und Anregungen nutzen Sie bitte das Kontaktformular.


Behörden und dieses Internet

Durch einen mittlerweile gelöschten Tweet der IHK Schwaben bin ich auf einen faszinierenden Service des bayerischen Staatsministeriums für Digitales (STMD) gestoßen.

Da ja mittlerweile ständig der ganze Planet gehackt wird und schwache Passwörter, die die Leute überall eingeben, ein riesiges Problem sind, hat das STMD sich einen genialen Service ausgedacht:

Einen Passwort-Check!

Da solche Angebote grundsätzlich eine gewisse Faszination haben, habe ich es mir mal angeschaut. Zunächst einmal sei gesagt, dass die Sicherheit eines Passworts davon lebt, dass man niemandem es verrät oder es auf irgendwelchen Webseiten eingibt.

Also probiert man halt ein paar Passwörter (nicht die eigenen) aus und stellt fest, dass die Erkennung grundsätzlich funktioniert. Aber so wirklich gut ist die Erkennung einer Gefahr bei dictonary attacks nun auch nicht, wie folgendes Beispiel zeigt.

Dieses Passwort wirkt erstmal recht sicher, aber es ist 4.762 der beliebtesten Passwörter und wird sich daher auf wahrscheinlich so ziemlich jeder Liste finden, die für solche Angriffe genutzt wird.

Die Seite verspricht zwar, dass die Daten nicht übermittelt oder gespeichert werden, dieses ist aber von außen quasi nicht nachprüfbar.

Aber neben der Tatsache, dass die ganze Idee schon arg deppert ist, wirkt auch die Umsetzung eher nach Computer-AG der Gesamtschule Oberpfaffenhausen und nicht nach einem professionell initiierten Projekt.

Da dieses Online-Tool ja auch ohne Netzwerk-Verbindung funktionieren soll, müssen sämtliche Datenlisten übermittelt werden. Warum sollte man sich diese Listen nicht einfach mal anschauen?

Ich sprach ja oben bereits von dictonary attacks, also dem Abgleich des genutzten Passwortes mit einer Liste besonders beliebter Passwörter. Diese Liste umfasst üblicherweise einen Umfang von mindestens einigen Hunderttausend Passwörtern. Also werfen wir mal einen Blick auf die entsprechende Datei des STMD passwordlist.txt. Wir stellen fest, dass dort nur 69 (sic!) Passwörter gelistet sind. Diese Passwörter sind allesamt …äähm… komisch.

Das erste Passwort kommt dem geneigten Postillon-Leser vielleicht bekannt vor. Aber manch andere Passwörter wirken echt fiktiv. Wer nutzt bitteschön "MeinenKaffeeimBürotrinkeichimmerum9Uhr+7Minuten." als Passwort? Selbst HaveIBeenPwned kennt es nicht. Insgesamt wirkt die Liste eher nach einer Demonstration.

Wo wir schon bei merkwürdigen Strings sind, es gibt ja auch noch die Datei surnames.txt. Hier hat das Staatsministerium alle möglichen (insgesamt 10.382) Nachnamen aufgelistet. Wobei… Meiner fehlt. Insgesamt wirken vielen Nachnamen eher wie das Mitgliederregister der CSU, als wie häufig vorkommende Nachnamen.

Die Datei swiss.txt macht vom Dateinamen den Eindruck, als wären dort insbesondere Schweizer Begrifflichkeiten genutzt. Es enthält insgesamt 351.562 Einträge, die durchaus südlich konnotiert sind. "Moin" beispielsweise kommt nicht vor.

Um auch beliebte Sequenzen abprüfen zu können, dient die Datei sequences.txt. Diese enthält auf 1.064 Zeilen beliebte Sequenzen, wobei man Zeichenwiederholungen von je 3 bis 10 Zeichen nicht wie normale Menschen algorithmisch verhindert, sondern diese explizit in diese Datei schreibt.

Nun gelten wohl nach STMD-Definition Tastaturfolgen nicht als Sequenz, sodass man hierfür eine weitere Datei, die keyboard.txt benötigt. Aber auch hier hat man nicht eine kurze Darstellung der Tastaturbelegung gemacht und den Rest algorithmisch abgeprüft (z.B. durch Entfernungen zwischen aufeinanderfolgenden Zeichen auf der Tastatur), sondern alle möglichen Kombinationen (insgesamt 8.852) mit je maximal fünf Zeichen in dieser Datei explizit abgespeichert.

Aber man denkt auch international. Es gibt dafür natürlich auch eine Datei, die den Namen english.txt trägt. Ja, es sind nur englische Wörter hinterlegt, andere nicht-deutsche Sprachen sind ja für Bayern nicht vorgesehen. Auch in dieser Datei ist – gefühlt – das gesamte englische Wörterbuch explizit auf 97.531 Zeilen dargestellt. wobei auch Variationen explizit angegeben sind (z.B. "midyear" und "midyears").

Es gibt noch eine absurde Datei, die dates.txt, welche alle möglichen Kalenderdaten beinhaltet (aber auch nur von 1990 bis 2020…). Die Anlage von Kalenderdaten ginge theoretisch ohne irgendwelche Daten (was übrigens auch bis immer ginge…). In dieser Datei wird jedes Datum in zwei Schreibweisen (dd.mm.yyyy und dd/mm/yyyy) geschrieben. Dass man das Datum auch gerne in der Form dd.mm.yy schreibt, wird ignoriert. Die Variante mit dd/mm/yyyy wird übrigens quasi nicht genutzt (die amerikanische Schreibweise ist nämlich mit mm/dd…). Die Idee dieser Liste ist, dass man keine Geburtsdaten angeben kann. Aber ältere Personen, die vor 1990 geboren wurden, werden ignoriert. Wenn man das Geburtsdatum seiner Kinder angeben will, wird dieses nur bis 2020 erkannt.

Aber ich möchte gerne mit einem Verbrauchertipp schließen. Woran erkennt man nun ein sicheres Passwort?

edit: So wie es aussieht, haben die mittlerweile das einzig richtige gemacht und das Angebot gelöscht. Schade, es hat uns doch so gut als schlechtes Beispiel gedient.

(05.03.2022)

zur Übersichtsseite