Diceware: Warum fünf Würfel bessere Passwörter bauen als Sie

Veröffentlicht am von David Carrero

Denken Sie sich ein zufälliges Wort aus. Jetzt sofort, das erste, das Ihnen einfällt.

Was auch immer es war — zufällig war es nicht. Es war Ihr Wort: etwas, das Sie diese Woche gelesen haben, ein Gegenstand vor Ihrer Nase, der Buchstabe, mit dem Ihr Name anfängt. Wenn man einen Menschen um Zufall bittet, produziert er Autobiografie. Und Autobiografie lässt sich erraten.

Das ist das ganze Passwortproblem in einem Satz. Es liegt nicht daran, dass die Leute faul sind — auch, aber nicht nur —, sondern daran, dass wir unfähig sind, Zufall zu erzeugen. Wir mögen bestimmte Buchstaben, wir vermeiden Wiederholungen, weil sie „nicht zufällig aussehen“, wir wechseln unbewusst zwischen Vokalen und Konsonanten ab, und wenn eine Zahl verlangt wird, greifen wir zu dem, was herumliegt: Daten, Alter, Ziffern mit Bedeutung. Ein Angreifer muss nicht wissen, wer Sie sind, um das auszunutzen. Es reicht ihm zu wissen, dass Sie ein Mensch sind.

Ein Ingenieur, fünf Würfel und eine Liste

1995 veröffentlichte Arnold G. Reinhold auf seiner Webseite ein Verfahren, das er Diceware nannte. Die Idee ist so einfach, dass es fast ärgerlich ist, sie erklären zu müssen: Wenn das Problem darin besteht, dass der Mensch nicht zufällig wählen kann, dann nehmen Sie dem Menschen die Wahl weg.

Das komplette Verfahren passt in drei Zeilen:

  1. Sie werfen fünf Würfel und notieren die Ergebnisse der Reihe nach. Da steht dann etwa 4-2-6-1-3.
  2. Sie schlagen 42613 in einer Liste nach.
  3. Das ist Ihr Wort. Für das nächste wiederholen Sie das Ganze.

Die Liste hat 7.776 Einträge, und diese Zahl ist keine Laune: Sie ist 6⁵, also alle möglichen Ergebnisse von fünf Würfeln. Jede Kombination — von 11111 bis 66666 — zeigt auf genau einen Eintrag, keiner fällt heraus, keiner kommt doppelt vor. Die ursprüngliche Liste mischt kurze englische Wörter mit ein paar Silben, Ziffern und einzelnen Zeichen, und zwar genau deshalb, weil es schwieriger ist, als man denkt, 7.776 brauchbare Wörter zusammenzubekommen.

Wichtig ist nicht die Liste. Wichtig ist der Würfel.

Warum 12,9 Bit auch wirklich 12,9 Bit sind

Hier kommt der Teil, den fast niemand versteht, und es ist der einzige, auf den es ankommt.

Die Entropie eines Diceware-Worts beträgt log₂(7.776) = 12,9 Bit. Das ist Arithmetik, nicht Sicherheit: Es gibt 7.776 Ergebnisse, und alle haben exakt dieselbe Wahrscheinlichkeit.

Vergleichen Sie das mit dem, was passiert, wenn Sie selbst wählen. Wenn ich Sie um ein Wort aus einem Wörterbuch mit 7.776 Wörtern bitte, sieht die Rechnung gleich aus — es sind ja auch 7.776 Möglichkeiten —, aber sie ist es nicht, denn Sie wählen die nicht alle gleich wahrscheinlich. Sie werden häufige Wörter nehmen, Wörter, die Sie mögen, Wörter, die Ihnen heute begegnet sind. Dieses Wörterbuch hat 12,9 Bit auf dem Papier und deutlich weniger in Ihrem Kopf, und der Angreifer sortiert seine Liste nach Häufigkeit und probiert zuerst das, was Menschen eben wählen. Entropie ist nicht, wie viele Möglichkeiten es gibt: Es ist, wie viele Möglichkeiten übrig bleiben, nachdem man abgezogen hat, was der Angreifer über Ihren Geschmack weiß.

Würfel haben keinen Geschmack. Sie haben auch kein Gedächtnis: Der Würfel weiß nicht, dass beim letzten Wurf Wald herauskam, also vermeidet er keine Wiederholung, sucht keine Abwechslung, und es ist ihm nicht peinlich, wenn zwei Wörter mit demselben Buchstaben anfangen. Deshalb sind die 12,9 Bit von Diceware echte 12,9 Bit und keine optimistische Prospektzahl.

Und deshalb geht die Rechnung nach oben auf. Jedes Wort addiert:

  • Fünf Wörter: rund 64 Bit.
  • Sechs Wörter: rund 77 Bit.
  • Sieben Wörter: rund 90 Bit.

Das ist saubere Addition, keine magische Multiplikation, weil jeder Wurf unabhängig von den anderen ist. Reinhold empfiehlt, nicht unter fünf Wörter zu gehen, und sechs oder mehr für das, was wirklich zählt. Den Effekt können Sie im Generator sehen: Ein zusätzliches Wort bringt immer dasselbe, und dieses „immer“ ist die ganze Erfindung.

Das Geheimnis ist nicht die Liste

Der Einwand kommt von allein: Wenn die Liste öffentlich ist, lässt sich das Ganze doch leichter knacken?

Nein, und das sollte man langsam sagen. Die 12,9 Bit setzen bereits voraus, dass der Angreifer die Liste hat. Sie setzen außerdem voraus, dass er weiß, dass Sie Diceware benutzen, dass er weiß, wie viele Wörter Ihre Passphrase hat, und dass er die Reihenfolge kennt, in der Sie sie tippen. Das ist alles schon abgezogen. Das Einzige, was er nicht weiß, ist, was Ihre Würfel gezeigt haben — und genau das ist es, was Sie zählen, wenn Sie „77 Bit“ sagen.

Das ist das genaue Gegenteil von dem, was wir mit P@ssw0rd machen, wo die ganze Hoffnung darauf ruht, dass niemand auf die Idee kommt, das a durch @ zu ersetzen. Man kommt darauf. Das gehört zu den ersten Regeln, die jedes Wörterbuch-Angriffswerkzeug anwendet. Wenn Sie in Versuchung geraten, probieren Sie es im Checker aus und schauen Sie, wie lange es hält.

Die EFF und die alternativen Listen

2016 veröffentlichte die Electronic Frontier Foundation eigene Wortlisten für Würfel-Passphrasen. Die lange Liste behält die 7.776 Einträge — dieselben fünf Würfel, dieselben 12,9 Bit —, tauscht aber den Inhalt aus: raus mit seltsamen Silben und Zeichen, rein mit gewöhnlichen Wörtern, leicht zu tippen und untereinander gut zu unterscheiden. Sie veröffentlichten außerdem kurze Listen mit 1.296 Wörtern (6⁴, vier Würfel, 10,3 Bit pro Wort): eine mit kürzeren, einprägsameren Wörtern und eine, bei der sich jedes Wort schon an den ersten Buchstaben von allen anderen unterscheidet und sich autovervollständigen lässt. Dafür bringt jeder Wurf weniger, und man muss öfter würfeln.

Das Elegante daran ist, dass die Arithmetik sich vom Geschmack keines Menschen beeindrucken lässt. Die Zahl der Einträge bestimmt alles. Sie können Ihre eigene Liste auf Bairisch, auf Plattdeutsch oder auf Klingonisch bauen: Solange sie 7.776 verschiedene Einträge hat und Sie mit Würfeln wählen, ist jedes Wort 12,9 Bit wert. Das Einzige, worüber Sie beim Listenwechsel entscheiden, ist, wie angenehm Ihnen das Ergebnis ist — nicht, wie sicher es ist.

Die drei Arten, es zu ruinieren

Diceware scheitert auf drei Arten, und alle drei sind derselbe Fehler: Der Mensch greift wieder ein.

  • Neu würfeln, weil „das gefällt mir nicht“. Wenn Sie Ergebnisse verwerfen, benutzen Sie keine Würfel mehr: Sie benutzen Ihr Urteil, und der Würfel ist Deko. Was fällt, das fällt.
  • Die Wörter umsortieren, damit es nach einem Satz klingt. Die Reihenfolge gehört zum Wurf dazu.
  • Sie „verbessern“ mit einem ! am Ende und einem Großbuchstaben am Anfang. Das bringt nichts gegen einen Angreifer, der weiß, dass Leute ein ! ans Ende und einen Großbuchstaben an den Anfang setzen. Wenn Sie eine dumme Richtlinie erfüllen müssen, tun Sie es, aber glauben Sie nicht, Sie hätten Sicherheit gewonnen: Die haben Sie gewonnen, als Sie noch einmal gewürfelt haben.

Und eine Warnung, die schon Reinhold gab: Gewöhnliche Würfel reichen völlig aus — Casinowürfel sind präziser, aber nicht nötig —, man sollte auf einer glatten Fläche würfeln, und das Ergebnis wird so notiert, wie es fällt.

Das Fazit

Eine Passphrase aus sechs erwürfelten Wörtern ist länger zu tippen als P@ssw0rd, leichter zu merken als Tr0ub4dor&3 und um viele Größenordnungen teurer zu knacken als beide. Nicht weil sie ausgefallener wäre — ist sie nicht, es sind sechs normale Wörter —, sondern weil sie das Einzige an Ihrem Passwort ist, das nicht Sie entschieden haben.

Das ist die ganze Pointe von Diceware: Das beste Passwort, das Sie haben können, ist das, bei dem Ihre Meinung nicht mitredet.


Quellen: Arnold G. Reinhold, „The Diceware Passphrase Home Page“ und seine Liste mit 7.776 Wörtern (1995) · Electronic Frontier Foundation, Wortlisten für Würfel-Passphrasen (2016) · die Arithmetik ist nachprüfbar: 6⁵ = 7.776 und log₂(7.776) ≈ 12,92 Bit pro Wort.

← Zurück zum Blog