Mohammad Mannan und Paul van Oorschot, Sicherheitsforscher an der Carleton University in Ottawa, Kanada, haben mit dem "Object-Based Password" (ObPwd) eine Methode entwickelt, aus SHA-1-basierenden Hashes mit Hilfe von Bildern und Audiodateien nach dem Zufallsprinzip komplexe Passwörter zu erzeugen.

Bild statt Namen

Statt etwa den leicht zu erraten-den Namen des eigenen Haustiers - leichte Beute für einen Dictio-nary-Knacker - als Passwort zu wählen, könnte der Anwender beispielsweise ein Bild seiner Katze verwenden, um etwas zu kreieren, das den besten Hacker-Tools standhält. Denn wer diese Technik umgehen wolle, müsse Zugriff auf das Bild oder die Datei haben, aus der das Passwort generiert wurde, so die Wissenschaftler.

Vergessliche Anwender könn-ten sich einen Hinweis auf die für jedes einzelne Passwort benutzten Inhalte notieren und das Passwort an einem sicheren Ort aufbewahren oder im Bedarfsfall aus dem Content erneut erstellen, erklären die Autoren in der Beschreibung ihres Konzepts. Anders als bisher müsse der Endanwender nicht mehr einen Text oder eine Zeichenkette im Kopf behalten, sondern sich lediglich erinnern, welche Datei er zur Erzeugung des Passworts verwendet habe. Die Forscher haben einen Prototypen ihrer ObPwd-Software entwickelt - in Form einer Browser-Erweiterung für Mozillas Firefox sowie als eigenständiges Windows-XP-Utility.

Das Konzept hat jedoch offenbar auch Grenzen. So empfehlen die Experten, Dateien mit einer Größe von über 30 Bytes zu verwenden, um Passwörter mit hinreichender Länge zu ermöglichen, andererseits aber von zu großen Files abzusehen, da ansonsten die Erzeugung zu lange dauert. Damit sind größere Videodateien ausgeschlossen - es sei denn, das Passwort basiert nur auf einem Teil des Files. Darüber hinaus warnen die Wissenschaftler davor, Passwörter aus öffentlich zugänglichem Content wie etwa Bildern auf einer Facebook-Seite zu generieren. (kf)