Besonders sichere Passwörter bestehen aus komplett zufällig ausgewählten Zeichen eines möglichst großen Zeichenvorrats. Nur sind die Ergebnisse à la "U(3hx0ü" verflixt schwer zu merken. Ein Ausweg besteht unter anderem darin, das Passwort zu verlängern und aus existierenden Wörtern aufzubauen – "Korrekt Pferd Batterie Klammer" zum Beispiel.

Problem dabei: Nicht alle so ausgesuchten Wort- und Zeichenkombinationen sind gleich wahrscheinlich. Wer sich einfach eine Hand voll Wörter ausdenkt und aneinanderreiht, öffnet im Prinzip ein Einfallstor für Hacker, die solche statistischen Regelmäßigkeiten ausnutzen können. John Clemens von der California Polytechnic State University in San Luis Obispo hat nun ein Verfahren ersonnen, wie man sichere Passwörter erstellen kann, die trotzdem gut zu merken sind. Heraus kommt dabei etwa "Therying hant abree", "The cusay is wither?' t" oder "The greed hispefters and". Alle drei Passwörter haben die gleiche Sicherheit wie zufällig gewählte 56-Bit-Zeichenketten (beispielsweise ")u)4OlXt%" oder "tQ$%Xc4Ef").

In einer launigen, auf dem "arXiv"-Server veröffentlichten Studie erklärt Clemens, wie er dabei vorgeht. Er nimmt den Roman "Eine Geschichte aus zwei Städten" ("A Tale of Two Cities") von Charles Dickens und analysiert für jede Kombination zweier Buchstaben die Wahrscheinlichkeit, mit der ein beliebiger dritter Buchstabe folgt. Auf "ca" folgt beispielsweise sehr häufig "r" oder "n", aber nur selten ein "v" oder ein "g".

Datenkompressionsverfahren auf den Kopf gestellt

Diese Verteilung nutzt er anschließend, um ein Datenkompressionsverfahren, die so genannte Huffman-Kodierung, auf den Kopf zu stellen. Statt wie sonst üblich eine Buchstabenkette in eine Bitfolge zu übersetzen, erzeugt Clemens per Zufallsgenerator eine entsprechende 56 Bit lange Folge und "dekodiert" sie in eine Buchstabenkette, wobei die zuvor ermittelte Häufigkeitsverteilung als Ausgangspunkt dient.

Der Algorithmus sorgt bei jedem Schritt dafür, dass das Passwort länger wird, falls eine häufige Buchstabenkombination gewählt wurde, oder schrumpft, falls es sich um eine seltene Kombination handelte. Immer aber werden nur Buchstabenfolgen aneinandergereiht, die auch in Dickens' Text auftreten.

Wer sich für sein Passwort noch mehr Ähnlichkeiten zur gesprochenen Sprache wünscht, kann – anstatt die Wahrscheinlichkeiten für Zwei-Buchstaben-Kombinationen zu berechnen – auch die entsprechende Verteilung für Dreier- oder Viererkombinationen zu Grunde legen. Das produziert dann Zeichenketten folgender Art: "The back understitch ther's the" oder "The wrong and, here!"--Mr. Calm info". Der Preis für die bessere Sprachähnlichkeit ist ihre größere Länge.

Völlig unerheblich für die Sicherheit des Verfahrens ist es natürlich, welcher Text als Ausgangspunkt genommen wird. Für den Deutschsprecher bietet sich ein Werk der deutschen Literatur an – oder, wie Clemens vorschlägt, die gesammelte E-Mail-Korrespondenz eines Nutzers. Dann entspricht die Zeichenketten-Häufigkeitsverteilung am ehesten den Sprachgewohnheiten desjenigen, der sich das Passwort am Ende schließlich auch merken soll.