Ein kurzer Hinweis zu sicheren Passwörtern

oder: Wie soll ich mir das denn merken?

Schwer zu merken, leicht zu raten

Heutzutage ist es gängige Praxis, sich möglichst kryptische Passwörter auszudenken, damit diese bloß niemand erraten kann. So könnte das Passwort dann zum Beispiel so aussehen:

Schu!H0m3pAGe?

Für Menschen ist dieses Passwort sehr schwer zu erraten, aber wenn jemand es wirklich darauf anlegt, Ihr Passwort herauszufinden, dann wird er auf einen automatisierten Brute-Force-Angriff setzen

Brute Force

Die einfachste Methode, das Passwort zu umgehen, ist ein Brute-Force-Angriff. Hierbei werden einfach alle möglichen Zeichenfolgen ausprobiert, bis man Zugriff bekommt.

Bei einem einfachen Passwort, dass nur aus Groß- und Kleinbuchstaben besteht, gibt es pro Zeichen 52 Möglichkeiten (26 Groß- und 26 Kleinbuchstaben). Hat man ein Passwort mit 8 Zeichen lassen sich die Möglichkeiten folgendermaßen berechnen:

528 = 5.34x1013

Auf den ersten Blick sind dies schon sehr viele Kombinationen, die durchprobiert werden müssen. Moderne Computer können heutzutage allerdings bereits mehrere Milliarden Passworte pro Sekunde durchprobieren. So bräuchte ein Angreifer, um diese Kombinationen durchzuprobieren, nicht einmal 24 Stunden.

Nimmt man zu obiger Betrachtung allerdings noch Sonderzeichen hinzu, kommen wir auf 90 statt 52 Möglichkeiten pro Zeichen, und damit auf etwa 4,3x10^15 Mögliche Acht-Zeichen-Passworte, für dieses Passwort bräuchte der Angreifer schon knapp ein Jahr.

Wer kann sich das denn merken?

Es mag Menschen geben, die sich ein solches Passwort problemlos merken können. Aber die meisten Menschen können dies eben nicht. Oder können Sie noch, ohne nach oben zu scrollen, das Passwort von ganz oben nennen?

Noch schlimmer wird es, wenn man das Passwort längere Zeit nicht genutzt hat. Vielleicht weiß man noch, dass es irgendwas mit "Schulhomepage" war, aber welche Buchstaben wurden nochmal mit Zahlen ersetzt? War da nicht noch irgendwo ein Fragezeichen?

Solche Passwörter sind für Angreifer zwar relativ schwer zu erraten, lassen sich aber auch schlecht merken.

Warum nehmen wir nicht Passwörter, die man sich leicht merken kann? Auf keinen Fall sind die Namen der Kinder oder Geburtstage gemeint, sondern ein einfacher Satz, den man sich gut merken kann.

Der Hund bellt, ohne Schirm kann ich nicht fliegen.

Diesen einfachen Satz kann man sich bestimmt besser merken als eine Kombination aus Buchstaben, Nummern und Satzzeichen. Und wie sieht es mit der Sicherheit aus?

Wenn man Leer- und Sonderzeichen außen vor lässt, besteht dieses Passwort aus 41 Groß- und Kleinbuchstaben. Es gibt also 52x1041 mögliche Passwörter, der Brute-Force-Angriff würde weit über 1035 Jahre (eine Eins mit 35 Nullen!) dauern. Und die Sonder- und Leerzeichen sind hier noch nicht eingerechnet! Das Passwort ist also zugleich sicherer und einfacher zu merken.

Wörterbuchangriff

An dieser Stelle gibt es den verbreiteten Glauben, dass ein solches Passwort sich sehr leicht mithilfe eines Wörterbuches knacken lässt. Dazu eine kurze Betrachtung:

Die deutsche Sprache umfasst (je nach Quelle) circa 300.000 bis 500.000 Wörter. Allerdings kann man von etwa 6.000 gebräuchlichen Wörtern ausgehen (auch dieser Wert ist noch sehr großzügig aufgerundet).

Für einen Satz mit vier Wörtern gäbe es somit folgende Anzahl an Passwörtern:

46.000 = 2x103612

Das knacken dieses Passworts würde also 7x103604 Jahre dauern. Ein Wörterbuchangriff macht hier also absolut keinen Sinn.

Passwörter recyceln

Da Passwörter häufig schwer zu merken sind, benutzen viele Menschen das gleiche Passwort für alles.

Egal wie viele Zeichen dieses Passwort hat, wie viele Sonderzeichen enthalten sind und wie gut durchdacht das Passwort ist - die Sicherheit mit diesem Passwort ist gleich null!

Stellen Sie sich zum Beispiel vor, sie benutzen beim Online-Banking das gleiche Passwort wie auf Facebook. Ein Angreifer, der Ihr Facebook-Passwort herausfindet, wird dieses Passwort als erstes auch an anderen Stellen wie Google, Twitter und eben auch Online-Banking-Portalen testen. Alle Sicherheitsmaßnahmen, die die Bank gegen Angreifer getroffen hat, haben Sie durch die Mehrfach-Nutzung des Passworts ausgehebelt.

Schlimmer noch: Nehmen wir einfach einmal an, ein Online-Dienst wie Facebook (ich will hier keinem Web-Portal irgendwas unterstellen, aber rein theoretisch ist das möglich) testet alle Passwörter, mit denen sich bei dem Dienst Nutzer anmelden, bei Online-Banking-Portalen. So könnte Facebook mit einem Schlag Zugriff auf tausende Bankkonten bekommen.

Fazit: Tipps für ein sicheres Passwort

Um also ein möglichst sicheres Passwort zu benutzen, sollten folgende Punkte beachtet werden:

  • keine einfach zu erratenden Worte wie Namen der Kinder oder "abcdef" als Passwort benutzen
  • möglichst langes Passwort benutzen - das muss aber nicht heißen, dass es schwer zu merken sein muss
  • benutzen Sie kein Passwort mehr als einmal
  • ändern Sie regelmäßig Ihr Passwort