Eine elfjährige Schülerin, die komplett analog und händisch sichere Passwörter erzeugt und diese für 2 US-Dollar das Stück verkauft; offensichtlich ein Thema, das viele interessiert, wenigen gefällt und das noch weniger verstehen. Was steckt dahinter?

Cyrus Farivar hat am Montag auf ars-technica.com einen Artikel über Mira Modi, 11 Jahre aus New York veröffentlicht. Sie ist die Tochter der bekannten Journalistin Julia Angwin, die kürzlich ein Buch über Datensicherheit geschrieben hat. Aus dem Wunsch ihrer Mutter, für sie mit der Diceware-Methode Passwörter zu «erwürfeln» hat die Tochter ein Geschäftsmodell abgeleitet: Anfangs bot sie die Passwörter im Rahmen der Autorenlesungen an, jetzt auch über die eigene Website.

Sicheres Verfahren

Diceware entwickelt von Arnold Reinhold ist ein sehr starkes Verfahren sichere Passwörter zu erstellen. Die Qualität beruht dabei auf der Länge und der einfachen Merkbarkeit der Passwortphrasen bestehend aus mehreren – empfohlen mindestens sechs – Begriffen, Zeichen oder Zeichenfolgen. Um eine Phrase zu erhalten, würfelt man 5 × mit einem Würfel (oder 1 × mit fünf Würfeln). Der sich daraus ergebenden Ziffer ist in einer Liste ein Begriff zugeordnet. Das Spiel wiederholt man dann so oft, bis eine Abfolge entstanden ist, die z. B. «bauamt lullte fascia kiel 111 io» heißt. Hier kann man dann noch Modifikationen vornehmen (Zusammenschreiben, Groß-, Kleinschreibung etc.) und obwohl es nur ca. 8200 Begriffe gibt ist durch die Länge und die hohe Zufallssicherheit des händischen Würfelns ein direkter Angriff auf das Passwort nahezu aussichtslos. Wer es genauer wissen will findet hier die richtigen Infos.

Ich bin auf den Artikel zufällig am Tag der Veröffentlichung gestoßen, als ich für einen Blogbeitrag zum gleichen Thema recherchierte, der allerdings eine andere Methode zum Gegenstand hatte: Katherine Noyes beschreibt in einem Artikel auf pcworld.com ein Verfahren, dass der Turing-Preisträger Manuel Blum vorgestellt hat. Er verwendet eine 6 × 6 Matrix bestehend aus den 26 Zeichen des Alphabets und den Ziffern 0 – 9 als öffentlichen Schlüssel und kombiniert sie mit einem geheimen Algorithmus die z. B. den Namen der Website verschlüsselt.
Mir erschien das Verfahren recht kompliziert und ich unternahm eine kurze Googlerecherche zum Schlagwort «diceware» – ich verwende das Verfahren immer wieder für eigene Passwörter – bei der ich auf den Artikel über Mira stieß.

Ich fand den Beitrag sehr lustig und Idee hatte in meinen Augen auch Charme; das Konzept war durchdacht und sicherlich nicht die Revolution bei der Datensicherheit, aber eine gelungene PR – für das Buch von Julia Angwin – aber auch für die Bedeutung sicherer Passwörter und das diceware-Verfahren.

… und plötzlich: Hype

Kurze Zeit später geschah folgendes: Als erstes entdeckte ich den Artikel bei Spiegel online, am nächsten Morgen in meinem RSS-Feed bei t3n. Gibt man das Schlagwort «Mira Modi» ein finden sich inzwischen allein in Deutschland dutzende Seiten, die den Artikel, mal mehr mal weniger korrekt übernommen und umgeschrieben, veröffentlichen.

Jetzt ist im Prinzip gegen das Kuratieren von guten Inhalten nichts einzuwenden, zwei Dinge sind mir allerdings sehr sauer aufgestoßen:

Zum ersten haben selbst seriöse Quellen die Inhalte des Ausgangsartikel fehlerhaft oder verkürzt-verfälschend wiedergegeben. Eine Tatsache, die mir schon zum wiederholten Male aufgefallen ist, da ich einige englischsprachige Tech-Seiten lese, die des öfteren als Quellen für deutschsprachige Beiträge genommen werden.

Zum zweiten: die Diskussionskultur in den Kommentaren: Ich habe so zu sagen rückwärts gelesen – beginnend mit den deutschen Artikeln Spiegelonline, t3n, focus .… und erst zum Schluss einen Teil auf ars-technica.

Was auf Deutsch zu lesen war, hat mir nicht gefallen: Häme, Spot und eine Menge Inkompetenz gepaart mit einer arroganten, rechthaberischen Attitüde «ich weiss das besser (als ein 11-jähriges Mädchen)» dominierten die meisten der Threats. In der Minderheit: die ernsthaft interessierten, die auch das System hinter der Passworterzeugung verstanden, oder zumindest sich schlau gemacht hatten.
Beim Originalartikel ein anderes Bild: auch hier eine große Anzahl kritischer Stimmen, viele die vermeintlich besser Lösungen präsentierten, auf der anderen Seite aber sehr gewichtige Informationsgeber die mit Argumenten zu überzeugen wussten. Mag der gemäßigtere Ton eine anders gelagerten Leserklientel geschuldet sein – auffällig ist es allemal.

Die Würfel sind gefallen

Was folgt daraus: Ich finde wir sollten vorsichtig sein mit dem was wir veröffentlichen und aufmerksam auf das schauen was zu lesen uns angeboten wird. Der Hunger nach neuen Informationen und Geschichten zwingt immer häufiger Inhalte zu übernehmen und umgearbeitet zu veröffentlichen. Wenn dies gut gemacht ist, kein Problem. Auch mein Englisch ist nicht so gut, dass ich um jeden gut gemachten deutschsprachigen Artikel froh bin – besonders wenn er Ross und Reiter (also seine Quellen) nennt.
Kommunikation bildet auch immer ein stückweit Charakter und Kultur ab, da haben wir – zweifelsohne – Nachholbedarf.