Starke Passwörter mit Diceware (dkolf.de)

Übersicht

Mit diesem Artikel möchte ich die "Diceware"-Methode vorstellen, mit der starke Passwörter mit Hilfe von Würfeln erzeugt werden können.

Autor: David Heiko Kolf, 22.11.2025. (Englische Fassung vom 26.01.2025)

Einführung

Für die Sicherheit von Computer-Systemen brauchen wir häufig Passwörter. In vielen Anwendungsfällen, wie Webseiten, können wir Passwort-Manager wie KeePass verwenden. Solche Programme erstellen und speichern sichere Passwörter. Es gibt aber viele Situationen, in denen wir uns Passwörter merken und von Hand eingeben müssen: zum Beispiel wenn wir uns am Computer anmelden oder auf den Passwort-Manager selber zugreifen wollen.

Die klassische Art, um Passwörter zu erzeugen, besteht darin, sich ein Wort auszusuchen und dieses dann zu verfremden, in dem beispielsweise Sonderzeichen, Zahlen und Großbuchstaben eingefügt werden. Diese Vorgehensweise wird immer noch von vielen Sicherheitsrichtlinien erzwungen, führt aber leider zu Passwörtern, die leicht von Computern durchprobiert werden können und gleichzeitig schwer merkbar für Menschen sind (dies wird in einem XKCD-Comic erläutert).

Im Jahr 1995 hat Arnold Reinhold eine Methode vorgeschlagen, um Passwörter mit Hilfe von Würfeln zu erzeugen. Bei dieser Methode verweisen Würfelergebnisse auf Wörter aus einer Liste, die leichter zu merken sind, als die zugrunde liegenden Zahlen.

Im Jahr 2016 hat die Electronic Frontier Foundation einen eigenen Artikel zu erwürfelten Passwörtern veröffentlicht, in dem sie überarbeitete (englische) Wörterlisten anbieten.

Beispiel

Ich empfehle die zweite "Short List" der EFF, in der jedes (englische) Wort mit drei eindeutigen Buchstaben anfängt, so dass wir nur diese Buchstaben eingeben brauchen, wenn wir unsere Passphrase eingeben (dazu braucht es auch keine Autovervollständigung, wie sie in Joseph Bonneaus Artikel zu erwürfelten Passphrasen vorgeschlagen wurde).

Für dieses Beispiel habe ich die folgenden Augenzahlen erwürfelt: 2415, 1124, 6625, 4524, 5266, 3354, 5453, 1411.

Aus der Wortliste kann ich für diese Kombinationen nun die folgenden Ergebnisse lesen:

• 2415: eagerness
• 1124: abundant
• 6625: wrongdoing
• 4524: nuptials
• 5266: rarity
• 3354: gyration
• 5453: sandworm
• 1411: atypical

Da in dieser Liste die ersten drei Buchstaben immer eindeutig sind, brauche ich nur diese einzugeben. Das Passwort wäre damit "eagabuwronuprargyrsanaty". Verglichen mit den ursprünglichen Wörtern ist dies relativ wenig zum tippen, aber es ist trotzdem noch möglich, sich das Passwort unter Hilfe dieser Wörter zu merken. Falls man sich an veraltete Passwort-Vorgaben halten muss, kann man es mit Großbuchstaben, Sonderzeichen und Ziffern erweitern: "Eagabuwronup-25-rargyrsanaty".

Die Stärke des erzeugten Passworts entspricht 82.7 Bits (jeder Wurf eines Würfels entspricht einer Entropie von 2.585 Bits und es wurde 32 mal ein Würfel geworfen).

Ist eine bessere Touch-Eingabe möglich?

Inzwischen sind Smartphones und Tablets, die nur über eine Touch-Eingabe verfügen, die dominanten Computer-Geräte. Ich frage mich, ob es für Touch eine bessere Möglichkeit gibt, solche Passwörter einzugeben, als die üblichen Touch-Tastaturen.