Nach meinem Artikel über gute Passwörter habe ich einmal gedankenverloren durch den Wikipedia-Artikel gestöbert. Dort wird vorgeschlagen, die Generierung eines diensteindividuellen Passwortes einem Generator zur überlassen. Das ist keine schlechte Idee!
In der Linux-Konsole wäre das zum Beispiel so möglich:
$ printf 'Geheim123:twitter.com' | sha256sum 9ffbb90ddd53fd75fd3e885791e030047a21ee57b7a54f03ecca90f9b8eff34f -
Die ausgegebene Zeichenkette ist die hexadezimale Darstellung des 256 bit langen Hash. Dabei stellt in der Eingabe Geheim123 das konstante Passwort und twitter.com die Domain des Dienstes, in den man sich einloggen will, dar.
Vorteil: Ein Hash ist nicht umkehrbar. Das heißt, wenn das Passwort, zum Beispiel durch einen Datenbank-Hack, erbeutet wird, kann man von diesem Passwort nicht zu dem konstanten Passwort zurückkehren.
Diese Methode hat jedoch auch Nachteile: Zwar dürfte das Passwort durch seine reine Länge als sicher angesehen werden, bei den meisten Diensten im Internet wird es wohl aber nicht akzeptiert, da es die Passwortrichtlinien nicht erfüllt. Grund: Es enthält keine Sonderzeichen. Ein weiterer Nachteil ergibt sich, wenn man einmal ohne Linux-Konsole unterwegs ist, denn einen SHA-2-Hash auf Papier zu berechnen ist recht mühsam. 😉
Beiden Nachteilen begegnet der Hash Password Generator Mobile von Tim Anderson. Zum einen bist du damit nicht auf deine Konsole angewiesen und zum anderen implementiert er den PwdHash-Algorithmus von Collin Jackson. Er gibt Passwörter zurück, die auch ein Sonderzeichen enthalten, sofern das konstante Passwort ebenfalls eines enthält.
Leider ist weder die Website von Tim Anderson noch jene von Collin Jackson responsiv und sie lassen sich somit nur schlecht auf dem Smartphone nutzen. Daher habe ich das einmal selbst in die Hand genommen und den Generator von Tim Anderson nachgebaut. Er enthält ebenfalls den PwdHash-Algorithmus – ich habe allerdings den als gebrochen geltenden MD5-Algorithmus durch SHA512 ersetzt. Das wäre zwar nicht unbedingt nötig, aber es hinterlässt stets einen faden Beigeschmack, wenn man veraltete Krypto-Funktionen nutzt.
Mein Mobiler Hash-Passwort-Generator (MHPG) ist rein in HTML und JavaScript implementiert, du brauchst also keine Angst zu haben, dass ich deine Passwörter mitlesen kann, denn sie werden nicht zum Server übertragen. Wenn du mir nicht traust, darfst du dich im Code gerne selbst vergewissern und den Generator auch selbst hosten.
Ein Gedanke zu „Noch bessere Passwörter“