Passwörter finden wir (be)merkenswert
Passwörter sind so eine Sache für sich. Die meisten Menschen, die regelmäßig am Computer sitzen, mit dem Smartphone oder dem Tablet surfen, werden verschiedene Nutzer-Accounts auf unterschiedlichsten Plattformen haben und benötigen entsprechend zahlreiche Passwörter. Nun finden sich im Internet eine Menge Hinweise, wie man ein Passwort erstellen sollte, teilweise sogar sich widersprechende. Was soll ich nun also tun?
Hierzu sollte man sich erst einmal darüber klar werden, wie mögliche Angreifer versuchen, ein Passwort zu "stehlen". Den berühmten Zettel am Monitor lassen wir jetzt mal außen vor. Wenn ein Eindringling ein Passwort nicht irgendwo im Klartext gelesen hat, muss er es erraten. Das macht er natürlich nicht selbst, sondern mit einem Programm und einem möglichst leistungsstarken Computer. Die wohl gängigsten Methoden sind der Wörterbuchangriff und die Brute-Force-Methode. Bei ersterer testet der Angreifer einfach Passwörter anhand von Wortlisten. Bei der Brute-Force-Methode werden mögliche Kombinationen der unterschiedlichen Zeichen ausprobiert. Wieviel Zeit ein Rechner dafür benötigt, hängt von seiner Rechenleistung ab. In den folgenden Beispielen rechnen wir mit 4,3 Milliarden Kombinationen pro Sekunde. Das entspricht ungefähr der Rechenleistung einer beliebten Grafikkarte, die gerne für eben solche Angriffe genutzt wird.
Zeichen mal Zeichen mal Zeichen ...
Angenommen Sie wählen ein Passwort aus Kleinbuchstaben mit fünf Zeichen Länge. Daraus ergeben sich 26 * 26 * 26 * 26 * 26, also 26⁵, verschiedene Möglichkeiten. Das sind 11881376. Der Angreifer rechnet hierfür maximal(!) schlappe 0,0028 Sekunden und - zack - ist das Passwort raus. Wenn Sie zu den Klein- auch noch Großbuchstaben und Ziffern wählen, gibt es (26+26+10)⁵ Möglichkeiten, also 916132832. Dafür benötigt der neugierige Hacker dann schon 0,213 Sekunden. Mit der Hinzunahme von Sonderzeichen erhöht sich die Zeit entsprechend. Mit beispielsweise 20 zu nutzenden Sonderzeichen wäre man bei 0,86 Sekunden. Das ist zugegebenermaßen nicht sehr lange. Apropos lange: Die Länge ist manchmal doch wichtig. Wenn Sie an das Passwort mit fünf Zeichen noch ein Zeichen hängen, benötigt unsere Grafikkarte 71 Sekunden, um alle Kombinationen zu errechnen. Bei sieben Zeichen dauert es schon eineinhalb Stunden, bei acht über fünf Tage. Und wenn Sie mit einem Zeichensatz aus 82 Zeichen ein 12-stelliges Passwort wählen, ergeben sich über 92 Trilliarden Kombinationen, deren Berechnung fast 700 Jahre dauern würde.
Was ist sicher?
Diese Berechnung ist natürlich reine Theorie. Es kann auch gut sein, dass ein möglicher Angreifer, je nach benutztem Algorithmus und nach Muster ihres Passwortes, schon früh das richtige trifft. Dennoch kann man sich vorstellen, dass es einigen Aufwand (und Zeit) erfordert, ein längeres Passwort zu knacken. Aber wie erstelle ich ein langes, sicheres Passwort? Da sollte jeder seine eigene Strategie finden. Schließlich müssen Sie sich Ihr Passwort merken können, ohne es aufzuschreiben. In jedem Fall beeinflussen die Länge des Passworts und die Nutzung von Klein- und Großbuchstaben sowie Ziffern und Sonderzeichen die Anzahl möglicher Kombinationen enorm. Eine Hilfe könnte es sein, einen Satz zu bilden, ein Gedicht oder eine Liedzeile zu wählen und aus den Anfangsbuchstaben mit eingestreuten Sonderzeichen und Ziffern ein Passwort zu bilden. So ergibt zum Beispiel der Satz "Das Passwort für die Bank ist mal wieder 4 Zeichen zu kurz :/" das Passwort "DPfdBimw4Zzk:/".
Am 3. Mai ist Welt-Passworttag
Warum erzählen wir Ihnen das alles?
Zum Einen kann man mit Passwörtern nicht vorsichtig genug sein. Auch wenn Sie glauben, dass Sie für einen möglichen Angreifer uninteressant sind. Das sieht der Angreifer je nach Intention vielleicht anders. Zum Anderen ist am 3. Mai 2018 der Welt-Passworttag, eine schöne Gelegenheit, einmal mehr auf diese Problematik hinzuweisen.
Weitere Hinweise zum Umgang mit Passwörtern finden Sie u. a. auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik.