Informationssicherheit bei der Datenweitergabe / 6 Passwörter

Es ist eine Binsenweisheit: Je länger Passwörter sind und je umfassender das Zeichenreservoir ist, aus dem die Passwörter gebildet werden, desto sicherer ist das Passwort.

Das deutsche Alphabet kennt 26 Buchstaben, 3 nur in Deutschland und Österreich verwendete Umlaute und ein nur in Deutschland verwendetes Sonderzeichen, das "ß". Es existieren also 29 Zeichen, für die es jeweils einen Klein- und einen Großbuchstaben gibt, und ein Sonderbuchstabe. Sind in einem Passwort sowohl große als auch kleine Buchstaben enthalten, dann stehen damit schon 59 verschiedene Zeichen im Reservoir. Kommen noch die Ziffern von 0 bis 9 dazu, sind es schon 69 Zeichen. Am komplexesten werden Passwörter, wenn noch Sonderzeichen verwendet werden.

Hinweis

Umlaute und ß-Zeichen nur auf deutscher Tastatur

Bei den Umlauten, dem "ß" und den Sonderzeichen muss man jedoch vorsichtig sein, wenn man viel im Ausland unterwegs ist und dort keine deutsche Tastatur zur Verfügung hat. Dann kann man nämlich diese Sonderzeichen nicht eingeben und verhindert damit z. B. den Zugriff auf sein eigenes Postfach vom Ausland aus, wenn man dieses Postfach mit einem Passwort geschützt hat, das diese international nicht verwendeten Sonderzeichen enthält.

Heute wird gesagt, man solle mindestens 8-stellige Passwörter bilden und mindestens 3 der 4 möglichen Zeichengruppen verwenden, also werden üblicherweise Großbuchstaben, Kleinbuchstaben und Zahlen verwendet. Ein einigermaßen praktisch denkender Anwender macht aus diesen Vorgaben vielleicht "Passwort1" und übertrifft damit sogar noch die Anforderungen, denn dieses leicht zu merkende Passwort hat sogar 9 Zeichen und nicht nur 8. Tatsächlich ist "Pasword1" (englische Schreibweise) das nach Untersuchungen international am meisten verwendete Passwort.

Gute Passwörter sind lange Passwörter, deren Bestandteile mittels Zufallsgenerator aus einem möglichst umfassenden Zeichenreservoir zusammengesetzt werden. Warum das so ist, wird verständlich, wenn man ein paar Informationen über das Knacken von Passwörtern hat. Gute Passwörter aus der Sicht des Anwenders sind hingegen solche, die sich leicht merken und leicht eintippen lassen.

Wenn man versucht, ein Passwort durch Ausprobieren zu knacken, dann dauert das umso länger, je umfassender der Zeichenraum ist und je mehr Zeichen das Passwort bilden. Angenommen, es wird ein Rechner eingesetzt, der pro Sekunde 1 Milliarde Versuche vornimmt, das Passwort zu knacken, so benötigt dieser Rechner bei einem Zeichenraum von 52 Zeichen (Groß- und Kleinbuchstaben ohne Umlaute und ohne "ß") bei einer Passwortlänge von 6 Zeichen nur 20 Sekunden, um das Passwort zu knacken. Bei 7 Zeichen sind es schon 17 Minuten, bei 8 Zeichen immerhin schon 15 Stunden. Bei 9 Zeichen sind es 33 Tage und bei 10 Zeichen 5 Jahre.

Noch einmal die Voraussetzungen: Es wird nur versucht, durch Ausprobieren das Passwort zu erkennen und es wird der maximale Zeitraum angegeben, wenn der Treffer erst die letzte geprüfte Kombination ist. Die tatsächliche benötigte Zeit ist in der Praxis aus verschiedenen Gründen wesentlich kürzer. Zum einen machen sich die Passwortknacker einige Erkenntnisse über menschliche Vorlieben zur Passwortgestaltung zunutze und haben schon Sammlungen möglicher Passworte als Vorlage dabei (Passwort1 gehört sicher dazu). Insofern sind die oben angegebenen 5 Jahre, die ein Rechner mit 1 Milliarde Operationen pro Sekunde benötigt, nur ein theoretischer Wert. In der Praxis dürfte ein achtstelliges Passwort aus Groß- und Kleinbuchstaben wesentlich schneller geknackt sein.

Praxis-Tipp

Kompletten Zeichenraum nutzen

Besser wird es schon, wenn man den ganzen zur Verfügung stehenden Zeichenraum einsetzt, also auch Sonderzeichen dazu nimmt. Das sind dann 96 mögliche Zeichen. Für ein 10-stelliges Passwort, das dieses Zeichenreservoir nutzt, benötigt der Rechner mit 1 Milliarde Schlüsseln pro Sekunde dann schon höchstens 2.108 Jahre. Hier sollte man meinen, es wäre einigermaßen sicher. Tatsächlich knacken Passwortknacker auch solche Passwörter wesentlich schneller.

Möglich ist das dadurch, dass – vereinfacht gesagt – der Knacker eine umfassende Bibliothek aller potenziell vorhandenen Kombinationen aus den möglichen Zeichen hat und damit der Reihe nach ausprobiert, ob eine der Kombinationen auf das zu knackende Passwort zutrifft. Eine ähnliche Aufgabe hat z. B. eine Rechtschreibkorrektur. Macht der Schreiber einen Rechtschreibfehler, wird das falsch geschriebene Wort mit einer roten Wellenlinie unterstrichen (beim Textverarbeitungsprogramm "Word"). Auch hier wird aus einer Vielzahl von korrekt geschriebenen Wörtern der Vergleich mit dem soeben eingetippten vorgenommen. Bei Übereinstimmung passiert nichts. Kommt das Wort nicht im internen Wörterbuch der Rechtschreibkorrektur vor, wird es markiert. Eine ähnliche Suchfunktion kann auch zum Knacken von Passwörtern verwendet werden, sodass sich die tatsächlich erforderliche Zeit für das Entschlüsseln des Passworts deutlich reduziert. So benötigt ein handelsübliches No...