Das Thema dieses LTW-Beitrages sind sichere Passwörter. Das mag im ersten Moment wenig aufregend klingen. Wenn man sich aber einen Moment Zeit nimmt und das Thema «chüschtiget», dann könnte sich dieser erste Eindruck rasch in eine andere Richtung wenden. Denn unsichere Passwörter sorgen regelmässig für Schlagzeilen. Nämlich dann, wenn es jemandem gelingt, mit Hilfe von entschlüsselten Passwörtern Zugriff auf fremde Daten zu erhalten. Freilich, meistens ist es nicht das schwache Passwort, das dafür sorgt, dass ungebetene Gäste auf eine Mailbox oder auf ein Twitter Konto zugreifen. Auch eine Schwachstelle im System oder ein simples Postit am Arbeitsplatz können den Zugriff auf die persönlichen Informationen freigeben.
Dennoch muss die Forderung nach sicheren Passwörtern aufrecht erhalten werden. Selbst dann, wenn es um Informationen geht, die als unwichtig erachtet oder nur für eine kurze Zeit benötigt werden.
Ein «Feind» von sicheren Passwörtern ist – wie so oft – die Bequemlichkeit. Einfach Passwörter wie eine Automarke oder der Name der Hauskatze lassen sich leicht merken. Ebenso können sie aber auch erraten werden. Als sicher gilt ein Passwort dann, wenn es mindestens 8 Zeichen enthält und sich aus einer zufälligen Reihe von Zahlen, Buchstaben und Sonderzeichen zusammensetzt. So ist es nicht mehr möglich, ein Passwort ganz oder teilweise mit einer Wörterbuchsuche zu entschlüsseln. Hier ist so ein Passwort: xhvY1,fp6D1.
Dieses Passwort ist sicher. Aber es schwierig, es auswendig zu lernen. Es geht also darum, Passwörter zu finden, die den zuvor aufgestellten Kriterien entsprechen und dennoch gut memorisierbar sind. Diese Aufgabe über nimmt das Linux Tool dieser Woche: apg – Automated Password Generator. apg ist in vielen Linux Distributionen enthalten, wer es im Paketverwaltung nicht findet, kann es auf der Homepage von Adel I. Mirzazhanov herunterladen.
Obwohl apg eine Vielzahl an Optionen bietet, ist es in der Anwendung denkbar einfach. Es genügt, apg auf der Kommandozeile aufzurufen, um mehrere Passwortvorschläge zu erhalten. apg-Passwörter setzen sich stets aus englischen Silben und Silbenkombinationen zusammen, so dass sie aussprechbar und somit leichter auswendig gelernt werden können:
# apg
JejubMepuf
marcecOjin
sorcopciHa
ryHunnEsk
Wer Hilfe bei der Aussprache benötigt, verwendet die Option -t. Nun zeigt apg die Passwörter an und gibt zusätzlich Hinweise, wie die Wörter ausgesprochen werden können:
# apg -t
vacsakjo (vacs-ak-jo)
OnEvEwnusp (On-Ev-Ewn-usp)
vukewtim (vu-kewt-im)
Liejfowgog (Liej-fowg-og)
apg kennt wie bereits erwähnt viele Optionen, mit denen nebst anderen Einstellungen die Stärke der Passwörter verändert werden kann. Wer beispielsweise der Meinung ist, acht Zeichen seien zu kurz, kann mit der Option -s die Mindestlänge festlegen. Und um wirklich sicher zu sein, dass die Passwörter zufällig sind, kann die Option -m mitgegeben werden. apg fragt nun nach einer zufälligen Zeichenfolge, die zur Initialisierung des Generators verwendet wird.