Diceware - Passphrase-Generator für Android

Funktionalität: Diceware ist eine App, die sichere Passwörter durch die Diceware-Methode erstellt. Diese beschreibt, wie zufallsgenerierte Wortketten mit einer kryptographischen Stärke zu erstellen sind, die der von zufälligen Zeichenketten gleicht. So besitzt ein aus vier Wörtern zusammengesetztes Diceware-Passwort in der Theorie die gleiche Stärke wie eine vollständig zufällige Kette von acht der 95 druckbaren ASCII-Zeichen. Dies sind etwa 50 Bit Unsicherheit oder Entropie. In der Praxis ist die Diceware-Methode außerdem sicherer als in der Theorie. Denn erstens sind Menschen nicht befähigt, wirkliche Zufallsketten zu erzeugen und verwenden auch nicht den vollständigen ASCII-Raum. Die Entropie typischer "Zufalls"-Passwörter ist also deutlich niedriger als 50 Bit. Zweitens muss einem Angreifer die exakte verwendete Wortliste bekannt sein - andernfalls liegt die Entropie je Wort noch deutlich höher.

Praktisch wird ein solches Passwort wie folgt erstellt: Die Wörter, die theoretisch auftreten können, sind in einer Liste festgehalten und jeweils mit einer senären Zahl zwischen 11111 und 66666 markiert. Wie der Name erraten lässt, ermittelt man nun eine solche Zahl mit fünf Würfelwürfen und schlägt das entsprechende Wort nach. Dies kann beliebig oft wiederholt werden. Die einzelnen Wörter werden zu einem Satz zusammengestellt, mit dem man einen sinnlichen Eindruck verknüpft. Hier bieten sich etwa kurze Geschichten oder Szenenbeschreibungen an.

Da jedes Wort etwa 12,9bit Entropie hinzufügt, fällt es mit Diceware leicht, sich nahezu beliebig starke Passwörter zu merken. Diese Vorhersehbarkeit ist auch mathematisch gesehen der größte Vorteil der Methode. Denn anders als bei anderen Vorgehensweisen zur Passworterstellung kann man so die Zahl der bei einem Bruteforce-Angriff statistisch nötigen Versuche leicht errechnen.

Installation: Diceware zeigt sich ausgesprochen genügsam in allen Bereichen. Die App kann ab der Android-Version 2.1 installiert werden, ist gerade einmal gute hundert KByte groß und kostenlos. Der Quelltext ist frei von der Website des Autors klonbar. Um die Privatsphäre muss man ebenfalls nicht besorgt sein: Das Programm fordert lediglich die Erlaubnis, die Netzwerkverbindung zu nutzen.

Bedienung: Da der beschriebene Vorgang der Zufallsgenerierung recht mühsam ist, bietet sich die Diceware-App zur Erleichterung an. Das Interface ist minimal, und ein Menü existiert nicht. Es müssen lediglich die Würfelwürfe über eine von eins bis sechs reichende Zahlenleiste eingetragen werden. Alternativ kann man auch eine tatsächlich zufallsgenerierte Zahl per Knopfdruck aus dem Internet beziehen. Das korrespondierende Wort wird automatisch nachgeschlagen und mit dem restlichen Passwortsatz kombiniert. Dies wiederholt man, bis das gewünschte Kennwort erreicht ist.

Als Empfehlung für sichere Passwortsätze werden üblicherweise fünf Wörter oder über 64 Bit Entropie angegeben. Da die Computertechnik sich ständig weiterentwickelt, ist es schwer, dies in greifbare Zahlen umzusetzen. Ein außerordentlich bestimmter Angreifer könnte beispielsweise mit dem rund 60.000 Euro teuren Codebrecher RIVYERA ausgestattet sein. Dessen Vorgänger COPACABANA hält den Rekord für das Knacken des AES-Vorgängers DES. Selbst mit dieser Hardware würde ein Angriff auf das verbreitete AES-128 knapp fünf Jahre und 6.000 Euro Stromkosten einfordern. Für den Heimgebrauch sollte die Stärke also ausreichen - und andernfalls landet man mit einem sechsten Wort bei etwa 21.000 Jahren.

Alternativ erzeugt die App übrigens auch andere Zufallskennwörter, zum Beispiel zufällige Zeichen- oder Zahlenketten. Zwischen den einzelnen Möglichkeiten wechselt man per Dropdown-Liste. Das Endergebnis wandert schließlich per Knopfdruck ins Clipboard.

Fazit: Die App Diceware ist ausgesprochen leicht zu bedienen, anspruchslos und funktional. Sie tut genau das, was man von ihr erwartet, nämlich Diceware-Passwörter zu erzeugen, und wenig mehr. Lediglich die Option, eine andere Wortliste zu wählen, haben wir schmerzlich vermisst. Dafür bekommt man hier mit der offiziellen Liste des Diceware-Erfinders das Original.