Im Bereich von Passworten gibt es viele Missverständnisse. Heutzutage ist wohl den meisten Leuten bewusst, dass der Name des Partners oder des Haustieres eine sehr schlechte Wahl für ein sicheres Passwort ist. Die übliche Antwort - speziell von uns Techies - sind Passworte wie ?bJn92$!. Solche Passworte sind zwar relativ sicher, aber niemand kann sie sich merken. Das nützt dann auch relativ wenig. Was kann hier getan werden?
Ich möchte systematisch an diese Fragestellung heran gehen und das Feld von hinten aufrollen. Wieso braucht es sichere Passworte? Damit niemand auf unsere privaten Daten wie Mails, Kundenkonten u.ä. zugreifen kann. Bei diesen Daten gibt es grosse Unterschiede: einzelne Bereiche sind besonders schützenswert (Bank, Mail, ...), dafür werden besonders sichere Passworte gebraucht. In anderen Bereichen, wo die Daten weniger missbrauchsgefährdet sind und weniger Schaden entstehen kann, müssen Passworte auch nicht ganz so sicher sein.
Die Sicherheit eines Passworts ergibt sich aus der Zeitdauer, die benötigt wird, es zu knacken. Wie werden Passworte geknackt? Da gibt es hauptsätzlich drei Varianten:
1. Fragen: der einfachste und erschreckenderweise auch sehr häufig erfolgreiche Ansatz ist, einfach die Person nach ihrem Passwort zu fragen. Sehr häufig rücken Personen - ohne sich viel dabei zu überlegen - auf eine direkte Frage mit ihrem Passwort heraus. Drum: NIEMALS sein Passwort jemand anderem mitteilen oder aufschreiben. Auch Passworte per Mail verschicken ist KEINE gute Idee.
2. Lexikon-basierte Suche: wenn die erste Variante nicht möglich ist oder nicht funktioniert hat, nimmt der Angreifer eine Wörterliste zur Hilfe und probiert ob eines der Worte als Passwort verwendet wurde. Drum: niemals nur ein Wort, welches direkt in einem Wörterbuch steht, als Passwort verwenden. In diesem Zusammenhang sind die jährlich veröffentlichten Listen mit den am meisten verwendeten Passworten interessant. Sein eigenes Passwort sollte nicht auf einer dieser Listen stehen, denn diese fliessen natürlich auch in diese Suche ein.
3. Brute Force (=rohe Gewalt): als ultimo ratio testet der Angreifer einfach alle möglichen Buchstaben-Kombinationen durch, bis er den Account geknackt hat. Damit ist zwar grundsätzlich jedes Passwort knackbar, aber das dauert ab einer gewissen Wortlänge viel zu lange. Das macht Passworte, wie ?bJn92$! nicht sicherer als andere Zeichenketten mit acht Zeichen. Grundsätzlich gilt: je länger das Passwort, umso viel länger dauert die Dauer, bis es geknackt ist.
Für die Variante zwei und drei schreibt der Angreifer ein kleines Computerprogramm, welches ihm stundenlanges Tippen abnimmt.
Zuerst ein Blick auf die Variante zwei: Mit einer kurzen Kombination von Worten lässt sich eine sehr hohe Sicherheit erreichen, wenn der Angreifer den Brute Force-Weg wählt. Aber auch bei lexikon-basierter Suche sind die kombinatorischen Varianten riesig:
Bei einer Lexikongrösse von 120'000 Einträgen gibt es bei einem Passwort bestehend aus zwei Worten bereits 14'400'000'000 Kombinationen. Bei einem Passwort bestehend aus drei Worten gibt es bereits 1'728'000'000'000'000 Milliarde Kombinationen.
Bei der Annahme, dass 1000 Anfragen pro Sekunde gemacht werden können (was die wenigsten Webdienste mitmachen, ohne die Verbindung zu kappen) würde es gut 166 Tage dauern, um ein Passwort bestehend aus 2 Worten mit lexikon-basierter Suche zu knacken. Bei drei Worten sind es schon knapp 55'000 Jahre.
Hier ein paar Beispiele zur Variante drei für die Sicherheit von Passworten beim Einsatz des Brute-Force Ansatzes (berechnet mit http://howsecureismypassword.net/):
| Passwort | Brute Force |
| Sonne | 1 Sekunde |
| Strasse | 1 Stunde |
| Passwort | 2 Tage |
| ?bJn92$! | 46 Tage |
| meine Bank | ca 18 Jahre |
| tolles Passwort | 6 Milliarden Jahre |
Was lernen wir daraus? Ein Passwort muss nicht unbedingt möglichst viele Sonderzeichen enthalten und dadurch quasi unbrauchbar werden. Es lassen sich also auch ohne Hieroglyphen Passworte bilden, die nur mit massivem Einsatz von Computern und Zeit geknackt werden können.
Noch besser ist es Worte aus dem Wörterbuch mit Slang- oder Dialektausdrücken zu kombinieren. Dann kann man es sich zwar gut merken, aber die lexikon-basierte Suche wird erfolglos bleiben. Beispiele
| Passwort | Brute Force |
| nur en Tescht | 2 Millionen Jahre |
| s’bescht Passwort | 18 Billionen Jahre |
Noch ein wichtiger Punkt: da viele Leute dasselbe Passwort für viele ihrer Accounts verwenden, können mit einem geknackten Passwort diverse Accounts kompromittiert sein.
Es ist mir klar, dass die oben angegebenen Zeitdauern für's Knacken der jeweiligen Passworte abhängig von Art und Menge der verwendeten Rechner sind. Aber ob es 18 Billionen Jahre oder nur 18'000 Jahre dauert mein Passwort zu knacken ist mir ziemlich egal ;-)