Passwortsicherheit früher und heute
Die bislang geltenden Regeln für sichere Passwörter gelten als überholt:
deutschlandfunknova.deit-service.network
spiegel.de
Ein Passwort mit 8 Zeichen, Klein-/Großbuchstaben, Zahlen, Sonderzeichen hat etwa 70^8 = 576 Billionen Kobinationen.
Ein Passwort mit 5 ungeordneten Wörtern aus einem minimalen Wortpool von 1000 Wörtern (Deutsch hat 75.000 Wörter) hat bereits 1000^5 = 1 Billiarde Kombinationen, also fast doppelt so viele, wie das schwer zu merkende und schreibende Passwort mit 8 Zeichen.
(Mit hypothetischen 75.000 Wörtern sind das 2,3 Quadrillionen Kombinationen, 4 Milliarden mal mehr als ein kryptisches 8-Zeichen Passwort.)
Ein Passwort mit 5 willkürlichen Wörtern ist auch schwer zu merken, es ist aber besser zu lesen und zu schreiben. Die Browser machen es einem leicht, indem sie verwendete Passwörter zwischenspeichern. Ein verlorenes Passwort kann man leicht über den Email Account wiederherstellen. In höher gesicherten Umgebungen wie Server oder Online Banking Zugängen ist das jedoch nicht empfehlenswert.
Bringt man Wörter in eine sinnvolle, besser zu merkende Abfolge, z.B. über Satzbau, verringert das die Zahl der möglichen Kombinationen (sofern man weiß, welche Abfolge verwendet wurde). Man bedenke jedoch, dass besser gesicherte Zugänge die Zahl der Fehlversuche begrenzen. Meistens ist nach 3 Fehleingaben Schluss und der Zugang wird blockiert. Deshalb ist ein 4-stelliges Passwort bestehend nur aus Zahlen für den Banking-Zugang völlig ausreichend, während die Bitcoin-Wallet Passphrase bestehend aus 39 Zeichen, die man endlos durchprobieren könnte, mit einem heutigen Computer nicht in Milliarden Jahren geknackt werden kann.
Beispiele zum Vergleich
https://password.kaspersky.com/de/
https://www.passwortcheck.ch/
| Zeichen | Passwort | Dauer random-ize.com | Dauer kaspersky.com | Dauer passwortcheck.ch | Entropie (passwortcheck.ch mit Wörterbüchern) |
| 8 | 5z§X!Pk$ | 24 days | Zu kurz/ k.a. | 1 Tage | 53 Bit |
| 16 | FLq.xJ$:Xv8#3%a_ | 4.208e+14 years | 10000+ Jahrhunderte | Mehrere Millionen Jahre | 107 Bit |
| 13 | HierAUFwolke4 | 2.265e+6 years | 33 Jahrhunderte | 12 Sekunden | 40 Bit |
| 17 | DasRehspringthoch | 1.683e+12 years | Zu schwach/k.a. | 330 Jahre ("Stark") | 71 Bit |
| 18 | Mein.Name,ist-Hase | 4.909e+17 years | 10000+ Jahrhunderte | Mehrere Millionen Jahre | 90 Bit |
| 28 | correct horse battery staple | 2.691e+32 years | 10000+ Jahrhunderte | Mehrere Millionen Jahre | 82 Bit |
| 32 | DasEisenpeiltandenFelszubelieben | 9.250e+37 years | 10000+ Jahrhunderte | Mehrere Millionen Jahre | 121 Bit |
Die Länge eines Passworts ist also entscheidend für die Sicherheit. Zwar kann man bei Hacks auch Wörterbücher heranziehen, wie jedoch passwortcheck.ch sehr schön zeigt, ist selbst bei verringertem Zeichenpool aber langem Passwort die Entropie dennoch deutlich höher als bei kürzeren, kryptischen Passwörtern.
Sicher verwenden Geheimdienste ganze Computer-Cluster, um begehrte Informationen freizuschalten. Der Aufwand dafür ist jedoch enorm. Gewöhnliche Hacker haben meist nicht mehr als einen einzelnen Computer. Einfacher ist es für diese, über Phishing an Passwörter zu gelangen.
Wenn jemand versucht, sich über Brute Force, also das Durchprobieren aller möglichen Kombinationen, Zugang zu verschaffen, sollte das den bekannten Webseitenbetreibern eigentlich recht schnell auffallen. Wirklich effektiv ist das nur dann, wenn man direkt an dem betreffenden Rechner sitzt und eine verschlüsselte Datei oder einen Datenträger direkt bearbeiten kann.
Selbst wenn man für seinen Account ein sehr kurzes Passwort verwendet, z.B. aAx1, benötigt man bis zu 15 Millionen Versuche. Und ein Linux Server, besonders in einem sensiblen Bereich, schlägt beim 3. Fehlversuch Alarm.
Am wichtigsten ist, kein Passwort zu verwenden, das andere möglicherweise auch verwenden könnten.