Die bisherigen Empfehlungen
Seit mehr als 10 Jahren haben sich die vom U.S.-amerikanischen NIST (National Institute of Standards and Technology) empfohlenen Passwort-Regeln verbreitet und manchmal durchgesetzt.
Die Empfehlung war immer:
Wähle ein komplexes Passwort mit Sonderzeichen, Zahlen sowie Groß- und Kleinschreibung. Wechsle das Passwort regelmässig in kurzen Abständen und verwende ein Passwort nie für mehrere Zugänge.
Teilweise richtig, aber hier nur drei der damit verbundenen Probleme:
- Solche Passworte kann sich kein Mensch wirklich merken.
- Häufiger Wechsel führt garantiert zu Notizen am Monitor.
- Solche Passworte können sehr schnell entschlüsselt werden!
Was ist falsch an diesen Empfehlungen?
Auf Grund dieser extrem umständlichen Passworte sind die Passworte häufig sehr kurz - meist maximal sechs Zeichen. Es fehlt die sogenannte Komplexität, welche nur über die Länge des Passworts deutlich erhöht werden kann.
Zum „Beweis“ das seit Jahren erwiesen beliebteste Passwort in Deutschland: 123456. Im englischen Sprachraum ist es „password“, gefolgt von „123456“. Mit kleinem Abstand folgt „12345678“.
Dieses Passwort kann selbst im absoluten Hau-Ruck-Verfahren (grobe Übersetzung, korrekt: brute force) in sehr kurzer Zeit entschlüsselt werden:
PCs mit einigermassen aktueller Grafikkarte schaffen locker 2,5 - 3 Milliarden Vergleiche des sogenannten „Hashes“ einer SHA1-Verschlüsselung pro Sekunde.
NIST ist erwacht - Komplexität
Passworte werden normalerweise verschlüsselt gespeichert. Kurze Passworte ergeben immer ein schnell nachvollziehbares Muster. Entsprechend schnell kann ein Passwort „geknackt“ werden.
Besser sind längere Passworte, sie ergeben schwierigere Muster. Sinnvoll ist dabei eine Passwortlänge von mindestens 12, besser 16 oder mehr Zeichen.
Der Aufbau solcher langen Passworte kann sehr einfach erfolgen:
Man nehme beliebige Sätze mit verrückter Grammatik, die vom Sinn her und der Wortwahl überhaupt nichts miteinander zu tun haben, und hänge diese aneinander. Anschließend nimmt man wahlweise die ersten und / oder letzten ein oder zwei Zeichen der Worte als Passwort. Zur Verfeinerung kann dies auch abwechselnd sein (Anfang - Ende - Anfang - ...) und es können noch Sonderzeichen und Ziffern verwendet werden.
Durch die Länge von mindestens 12 Zeichen erreicht man damit eine gewisse Komplexität, welche selbst bei hoher Rechenleistung einige Zeit zum Entschlüsseln erfordert.
Mit jedem zusätzlichen Zeichen erhöht sich der Aufwand zur Entschlüsselung um ein Vielfaches.
Damit man sich das besser vorstellen kann, der Entschlüsselungsaufwand (Passwortstärke) in Form einer Linie dargestellt.
Ausgegangen wird von einem „starken“ Passwort bestehend aus druckbaren Zeichen sowie Groß- und Kleinschreibung.
- Ein Passwort mit 8 Stellen entspricht einer Linie von ca. 28 cm.
- Ein Passwort mit 9 Stellen entspricht einer Linie von ca. 17 m.
- Ein Passwort mit 10 Stellen entspricht einer Linie von ca. 1 km.
- Ein Passwort mit 11 Stellen entspricht einer Linie von ca. 44 km.
- Ein Passwort mit 12 Stellen entspricht einer Linie von ca. 4.141 km.
- Ein Passwort mit 13 Stellen entspricht einer Linie von ca. 256.723 km.
In echter Zeit:
Selbst unter Windows benötigt man auf einem relativ schwachen Rechner (z.B. Laptop mit billiger Grafikeinheit) zum Berechnen eines achtstelligen Passworts bestehend nur aus Kleinbuchstaben ca. 50 Sekunden!
Zu beachten ist jedoch, dass manche Anwendungen nur eine beschränkte Länge des Passworts zulassen. Deshalb die Empfehlung „mindestens 12 Zeichen“, das können eigentlich alle.
Wiederholung von Zeichenfolgen der verwendeten Kombinationen im Passwort sollte man allerdings vermeiden. Beispiel:
„un“ oder andere Kombinationen jeweils nur einmal verwenden.
Keine auf der Tastatur nebeneinander liegenden Zeichen verwenden (Hacking-Algorithmen erkennen das). Beispiel:
„qwert!(%lker123“ ist einfacher zu entschlüssseln als „q(w!2e(r%tl1ke3r“ (wobei „e3r“ auch nicht die beste, aber immerhin eine bessere Lösung ist).
Bei verschlüsselten eMails nicht immer die selbe Anrede verwenden (z. B. „Hallo“ oder „Sehr geehrte“).
Problem gelöst?
Noch lange nicht - je tiefer man in die Materie einsteigt, desto „perverser“ wird es. Auf anderen Seiten gehen wir näher auf die technische Seite ein (die Thematik ist sehr umfangreich und umfasst einige Bereiche), hier soll es zunächst nur um ein zumindest halbwegs vernünftiges Passwort gehen.
Wichtig ist auf jeden Fall:
Bewahren Sie Ihre Passworte vertraulich auf.
Kein Passwort für mehr als einen Zugang verwenden (einmal geknackt - immer geknackt)!
Keine Zettel am Monitor oder im / am Schreibtisch!
Zum Schluß dieser Seite eine Empfehlung für den Aufbau starker Passworte, über den ich auf researchasahobby.com gestolpert bin:
„jsdsdj6963hGEW4gz54%h(bb)0_h%c3@vjHPOIZXASDhv67754iu9jkjjgrt5bht^_hnb2kjl;xzz“
Viel Spaß damit!
