Hadmut Danisch

Ansichten eines Informatikers

IT-Sicherheit: Marie hat Körbchengröße 75B!

Hadmut
25.7.2009 20:23

Wie sich das Bundesministerium des Innern IT-Sicherheit vorstellt. Das schmerzt.

Eben war ich noch in der Wohnung irgendwas am einräumen, den Fernseher so nebenbei laufen, da sehe ich aus dem Augenwinkel (glaube es war ZDF) einen Werbespot, bei dem es mir wirklich die Socken ausgezogen hat.

Da sitzt ein Typ im Wohnzimmer mit dem Notebook und fragt seine Freundin, die so in ein Handtuch gewickelt im Badezimmer steht “Marie, welche Körbchengröße hast Du eigentlich?” (Diese Form der Unwissenheit wäre für die meisten Frauen ein Grund, den Typen zu verlassen…) Sie sagt ihm die Körbchengröße und er gibt in seinem Computer als Passwort MhKg75B! ein während der dazu murmelt Marie hat Körbchengröße 75B!.

Und dann die Einblendung des Auftraggebers: Deutschland sicher im Netz, im Auftrag des Bundesministeriums des Innern. Man solle doch sichere Passwörter wählen.

Wie kann man denn so einen Schwachsinn produzieren?

Von der chauvinistischen Tendenz auf Stammtisch-Niveau mal ganz abgesehen, das ist sicherheitstechnisch unvertretbar. Da stecken jede Menge Informationen drin, die nicht geheim sind. Den Vornamen der Freundin in ein Passwort zu verarbeiten gehört zu den schlechtesten Dingen, die man tun kann. Die Körbengröße ist auch ziemlich schlecht, denn da gibt es nicht so wahnsinnig viele, der Suchraum ist gering. Insbesondere dann, wenn man die Zielperson kennt (oder zumindest weiß wie sie aussieht) kann das geübte Auge des Mannes durchaus die Größe abschätzen. Und wenn nicht, sucht man halt die paar in Deutschland gängigen Körbchengrößen durch. Wieviel Prozent der Frauen haben eigentlich 75B ?

Und weil dieser Werbespot wahrscheinlich einen großen Teil der männlichen Zuschauer anspricht, dürften erstaunlich viele auf die Idee kommen, ihr Passwort nach Körbchengrößen auszurichten.

Also dürften in nächster Zeit erstaunlich viele Passworte nach diesem dümmlichen Schema gewählt werden.

  • Macht so ca. 26 Buchstaben auf der ersten Stelle des Passwortes als Anfangsbuchstabe des Namens. Mit Wahrscheinlichkeitsverteilung. Wer kennt Frauennamen, die mit Ü, Ö, Q, X, Y anfangen? Wieviele Leute sind mit einer Xanthippe verheiratet? (Eine böse Nebenbemerkung zu einem neuen einmaligen Frauennamen mit Z verkneife ich mir hier).
  • Dazu die Körbchengrößen nach DIN EN 13402, die übrigens auch nicht gleichverteilt sind.
  • Der Rest des Schemas _hKg___! ist konstant.

Nimmt man mal so die 5 häufigsten Anfangsbuchstaben von Frauennamen im Kreuzprodukt mit den fünf häufigsten Körbchengrößen, oder macht man mal überhaupt aus der Wahrscheinlichkeitsverteilung eine Wahrscheinlichkeitsliste für dieses Passwortschema und nimmt die Top 20, kann man bestimmt gut Passworte knacken.

Laut dieser Tabelle ist der häufigste Frauenname Maria. Googelt man danach, findet man mal 75B als häufigste europäische oder 80B nach Angaben eines BH-Herstellers als häufigste (deutsche?) Körbchengröße.

Damit hat das Beispiel aus der Fernsehwerbung (Marie hat 75B) ausgerechnet die Variante erwischt, die am häufigsten vorkommen dürfte (Marie ist zwar nicht Maria, aber es kommt ja nur auf den ersten Buchstaben an). Von denen, die diesem dusseligen Schema folgen, dürften in der Tat die meisten genau auf das Passwort aus der Werbung kommen: MhKg75B!

Und sowas nennen die Passwortsicherheit? Liebe Güte.

Kleine Anmerkung: Nur weil Maria der häufigste Frauenname ist, heißt das nicht auch, daß M der häufigste Anfangsbuchstabe ist, denn es könnten ja weniger häufige Namen mit einem anderen Buchstaben in der Summe häufiger als die mit M sein. Müßte man halt mal auswerten. Ändert aber am Prinzip nichts.

Nachtrag: Der Werbespot zeigt nur einen Mann, der ein Passwort eingibt und an der Körbchengröße seiner Frau/Freundin ausrichtet. Die Frage wäre wirklich, ob Frauen, die sich ein Passwort ausdenken sollen, das dann nach Auffassung des Innenministeriums an der Länge seines … festmachen sollen.


3 Kommentare (RSS-Feed)

nadar
26.7.2009 14:08
Kommentarlink

s/”. Laut dieser Tabelle”\n/”.”/
🙂


Stefan
27.7.2009 4:22
Kommentarlink

Wenn man das wirklich Wahrscheinlichkeitsmäßig angreifen wollte, dann könnte man noch vom Alter des Mannes ausgehend eine Schätzung auf das Alter der Frau/Freundin machen, und mit in die Namenslistenklassifikation einfließen lassen. Z.B. gab es nach dem Film ‘Titanic’ einen sprunghaften Popularitätsschub für den Namen Leonard, (wg. di Capriolet), und ein paar Jahre später geht so ein Trend dann wieder zurück. Aber ich schätze bei brute-force-Angriffen probiert man schneller durch, als dies zu bemühen, denn so ungleichgewichtig sind die Buchstaben dann wohl nicht verteilt.

Hier die Top-Ten der Vornamen, nicht auf Frauen begrenzt (sondern wahrscheinlich im Gegenteil vornehmlich Männer) einer Datei von Petitionsmitzeichner – ich wußte doch, daß sowas nochmal nützlich ist. 🙂

select substring (vorname, 1, 1), count (*) from mitzeichner group by 1 ORDER BY 2 desc;
substring | count
———–+——-
M | 15957
S | 11178
J | 8574
A | 8452
T | 7444
C | 6649
D | 5947
R | 5501
F | 5119
H | 4902
und die weniger populären Buchstaben:
V | 1001
I | 827
Y | 229
Z | 163
Q | 25
X | 21
Ö | 16
Ü | 2
Ç | 2
Ä | 1

(3 Unterschiedliche Arten Blank – eins womöglich NULL, und Sonderzeichen von Spaßmachern sind, aus kosmetischen Gründen, eliminiert.)

Ich weiß ja nicht, wie lang der Spot war, aber in 30 Sekunden wollte ich auch nicht erklären, wie man ein gutes Paßwort erzeugt.

Womöglich greift die Tagespresse die Idee kritisch auf, und es führt in Firmen zu Diskussionen, und so wird indirekt was für die Sicherheit getan. Ohne die Produktionsregel zu kennen sähe das Paßwort ja gar nicht so schlecht aus.

Ich benutze immer cA..c5Bb5 aber clever wie ich bin verrate ich die Produktionsregel nicht! 🙂