Warum die Sicherheit Ihres Passworts jedes Jahr abnimmt
Vor 20 Jahren erschienen Passwörter mit sechs oder acht Zeichen sicher. Mit den damaligen Rechnern hätte es Jahre oder sogar Jahrhunderte gebraucht, um ein solches Passwort durch Ausprobieren aller möglichen Zeichenkombinationen zu knacken.
Viele Menschen haben ihr Passwort schon Jahrzehnte und ändern es nicht. Damit bleibt die Passwortlänge bestehen und das Passwort wird jedes Jahr unsicherer.
In den letzten Jahren hat die Rechnertechnik enorme Fortschritte gemacht und jeder Privat-PC hat heute mehr Leistung als ein früherer Superrechner für viele Millionen US-Dollar.
Dabei bieten neue Grafikprozessoren und Mehrkernprozessoren eine Rechenleistung, die vor 20 Jahren den meisten Menschen unvorstellbar erschien – und jedes Jahr kommen neue Prozessoren mit noch mehr Kernen und Grafikprozessoren mit noch mehr Leistung.
Wie sich die Techniken zum Knacken von Passwörtern verbessert haben
Dadurch haben nun viel mehr Menschen die Möglichkeiten, Passwörter zu knacken und die Techniken dazu wurden verfeinert. Das einfache Ausprobieren aller möglichen Zeichenkombinationen, also ein Angriff mit „roher Gewalt“, ohne groß nachzudenken (Brute Force Attack) war nur der Anfang.
Schnell wurden Tabellen mit gängigen Passwörtern erstellt und diese zuerst ausprobiert. Namen von Prominenten wie Filmschauspielern, Geburtsdaten, Kosenamen und nachher sämtliche Wörter aus dem Duden wurden in diese Tabellen aufgenommen. Je häufiger ein Passwort verwendet wird, umso weiter oben steht es in einer solchen Tabelle und umso schneller wird es gefunden.
Dazu kam die Entwicklung von „Rainbow-Tables“, die durch Vorausberechnung von Teilergebnissen Zeit einsparen und die Nutzung der Grafikprozessoren, um solche Berechnungen noch schneller durchführen zu können.
Welche Länge muss nun ein sicheres Passwort haben?
In einem Artikel von Dirk Fox zur Mindestlänge von Passwörtern und kryptographischen Schlüsseln aus dem Jahr 2009 ist in einer Tabelle aufgeführt, wie lange eine „Brute Force“-Suche nach Windows-Passwörtern mit „Rainbow Crack“ dauert.
Dabei muss berücksichtigt werden, dass die Rechnertechnologie in den letzten 3 Jahren erhebliche weitere Fortschritte gemacht hat, so dass die Zeiten heute weitaus niedriger sein werden. Dirk Fox unterscheidet zwischen einem Passwort mit nur Buchstaben und einem solchen aus Buchstaben, Ziffern und Sonderzeichen. Hier ein Auszug aus der Tabelle:
Passwortlänge Nur Buchstaben Buchstaben, Ziffern und Sonderzeichen
6 Zeichen 0,2 Sekunden 3,4 Sekunden
8 Zeichen 8,75 Minuten 6,7 Stunden
10 Zeichen 16,4 Tage 5,4 Jahre
12 Zeichen 122 Jahre 38.147 Jahre
Die Mindestanforderung an die Länge eines Windows-Passworts wäre somit 10 Zeichen, sofern dieses Passwort nicht nur Buchstaben enthält, sondern Buchstaben, Ziffern und Sonderzeichen. Dazu sollten Groß- und Kleinbuchstaben enthalten sein. Ein leicht merkbares Passwort dürfte bei dieser Länge nicht mehr realisierbar sein – und wenn, ist es garantiert in einer Hacker-Tabelle!
Kann auch ein Passwort mit weniger als 10 Zeichen sicher sein wie die PIN der EC-Karte?
Sie werden sich nun vielleicht besorgt fragen, wie sicher denn nun das Geld auf Ihrer Bank ist, denn die PIN einer EC-Karte hat nur 4 Zeichen – und das sind auch noch alles Ziffern. Auch beim Online-Banking ist die PIN gerade einmal 5 Zeichen lang.
Dennoch ist eine solche PIN einigermaßen sicher, da nach drei Fehlversuchen die Karte bzw. der Online-Zugang gesperrt wird. Ähnlich ist es auch beim Sperrcode des Autoradios. Es ist sehr unwahrscheinlich, dass ein Hacker in den ersten drei Versuchen die richtige Kombination erwischt, sofern er diese nicht ganz oder teilweise kennt.
Auch ein sechs- oder achtstelliges Passwort kann also sicher sein, wenn die Anzahl der Fehleingaben überprüft und das Konto nach mehreren Fehleingaben gesperrt wird. Das allerdings passiert nicht immer und oft ist die Sperre nach einer gewissen Zeit wieder aufgehoben.
Sie sollten also tatsächlich zur Sicherheit immer ein mindestens 10 Zeichen langes Passwort vergeben, wenn Sie auch für die nächsten Jahre sicher sein möchten, sollte Ihr Passwort besser 12 oder mehr Zeichen umfassen.
Weitere Informationen zu sicheren Passwörtern
Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat Tipps für ein gutes Passwort herausgegeben. Sie finden hier einige gute Hinweise, sollten allerdings die Empfehlung „mindestens acht Zeichen lang“ nicht beherzigen sondern stattdessen nur Passwörter mit einer Länge von mindestens 10 Zeichen verwenden.
Lässt der betreffende Anbieter keine längeren Passwörter als acht Zeichen zu, sollten Sie überlegen, ob Sie diesem wirklich Ihre Daten anvertrauen möchten. Zumindest sollten Sie Ihr Passwort dann regelmäßig wechseln, um es Angreifern zu erschweren, das Passwort zu knacken.
Bildnachweis: mangpor2004 / stock.adobe.com