Das richtige Passwort – Teil 3
Das richtige Passwort – Teil 3
Das richtige Passwort – Teil 3: Was bringt Sicherheit?
Dieser Beitrag ist Teil einer Serie zum Thema „Das richtige Passwort“.
Vorangegangene Artikel handeln von:
Das richtige Passwort – Teil 1: Wie funktionieren Passwörter? Wie merken sich Server das Passwort?
Das richtige Passwort – Teil 2: Die Methoden der Hacker
Du weißt nun also darüber Bescheid, wie Passwörter zu ihrem Ziel finden, wie Passwörter auf dem Server gespeichert werden und wie Hacker versuchen sie trotzdem zu bekommen.
Nun stellt sich die spannende Frage, wie schütze ich mein Passwort?
Was bringt Dir Sicherheit?
Wenn Passwörter so leicht zu knacken sind wie die letzten beiden Beiträge vermuten lassen, dann stellt sich die Frage: Was genau bringt jetzt Sicherheit? Wie kann man ein Passwort schützen? Wie sieht ein gutes Passwort aus?
Eingabesperre des Servers
Eine gute Methode das Passwort zu schützen ist, daß der Server die Eingabe blockiert. Nach einer falschen Eingabe 2 Sekunden warten, nach 2 falschen Eingaben 4 Sekunden warten. Nach 5 falschen Eingaben 32 Sekunden warten. Nach 10 falschen Eingaben bereits 17 Minuten und 4 Sekunden warten – nach jeder falschen Eingabe wird die Wartezeit verdoppelt. Wenn keine Passworteingabe stattfindet, wird nach einer Stunde die Wartezeit wieder auf Null gesetzt.
Leider verwenden viel zu wenig Anbieter diese einfache Methode des Schutzes und man selbst hat diesen Schutz nicht in der Hand.
Ausgehoben wird diese Maßnahme von Hackern gerne dadurch, daß sie eine Vielzahl von Benutzernamen und Passwörtern ausprobieren und zwar, damit es nicht auffällt, über ein Botnetz, also eine Menge von kleinen Computern wie z.B. Drucker, Faxgeräten, gekaperten Smartphones, Smarte Lampen und viele mehr – lies dazu auch meinen Artikel warum Smarte WLAN-Geräte keine gute Idee sind.
Captcha
Jeder kennt sie und vermutlich jeden nerven sie: Captcha. In einem Bild sind Buchstaben versteckt oder man muß sämtliche Verkehrsampeln auf einem Foto markieren. Damit will man erreichen, daß der Mensch eine optische Aufgabe löst, die der Computer nicht lösen kann.
Aber: Trainieren wir nicht gerade Computer dazu, selbständig und autonom fahren zu können? Soll der Computer da nicht alle Verkehrszeichen, Ampeln, Autos finden?
Die Mustererkennung von Programmen wird immer besser und die Frage ist, wie lange es noch dauert, bis der Computer hier dem Menschen ebenbürtig ist.
Das eigene Passwort
Letztendlich hat man nur das eigene Passwort in der Hand und das auch nur in den Rahmenbedingungen des Anwendungsbetreibers. Viel zu oft wird hier das Passwort noch auf 8 oder 10 Zeichen beschnitten und dafür werden Sonderzeichen und Zahlen verlangt. Der Grund dafür liegt in der Vergangenheit. Früher hätten Computer für ein solches Passwort teils Jahre benötigt um es zu knacken. Heutzutage sind Computer viel leistungsfähiger und benötigen dafür nur Sekunden. Hier wird noch ein Umdenken von den Softwareanbietern nötig werden.
Unser Gehirn spielt uns einen Streich
Das Problem ist, daß uns hier das eigene Gehirn einen Streich spielt. Unser Gehirn hält sich nämlich für den Maßstab der Welt. Erscheint uns etwas schwierig, dann nehmen wir automatisch an, daß es auch schwierig ist – und zwar für alle Anderen. Finden wir etwas leicht, dann verwundert uns, warum nicht jeder die Lösung sieht.
Ein Passwort wie tr0ub4d0r klingt sehr kompliziert und ist für uns schwierig zu merken, also meint unser Gehirn, daß dies ein gutes Passwort ist. Für den Computer ist dieses Passwort allerdings sehr leicht zu knacken. Ein durchschnittlicher Computer wie ihn die meisten zuhause haben, hat für diese 9 Zeichen (Kleinbuchstaben und Zahlen) nach 11 Stunden ALLE möglichen Kombinationen durchprobiert. Gute Gaming-Rechner sind hier noch schneller.
„Passwort ist stark“
Jeder hat schon mal beim Festlegen eines Passwortes die Balken in Rot/Orange/Grün gesehen, die uns mitteilen, ob wir hier ein gutes Passwort haben oder nicht. Warum erkennen Passwortprüfprogramme also so ein Passwort als gutes Passwort, wenn es doch für Computer leicht zu knacken ist?
Die Antwort ist einfach: Weil die Programe von Menschen programmiert wurden, die denken, daß so ein Passwort gut ist.
Das Programm bekommt ein Regelwerk, wie ein gutes Passwort aussieht. Der Mensch überlegt sich die Regeln. Und wann ist so ein Passwort in Gedanken für einen Menschen schwierig? Genau: Wenn es möglichst schwer zu merken ist.
Hier wird uns also eine trügerische Sicherheit vermittelt.
Mathematik und Statistik
Was macht also ein gutes Passwort aus? Letztendlich ist es die Länge. Klar, Sonderzeichen sind prima. Auch Zahlen sind gut. Aber man sollte sich das Leben damit nicht unnötig schwer machen und lieber ein langes Passwort nehmen, solange das Passwort schön lang ist, wird der Computer mit dem Berechnen Probleme haben, wenn man nicht einfache und gängige Muster verwendet.
Die Rechnung ist einfach. N ist die Anzahl der verfügbaren Zeichen, also Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen. X ist die Länge des Passwortes. Dann weiß man, wieviele Kombinationen der Computer durchprobieren muß. Die Formel lautet: N^X, also N hoch X.
Länge
Nehmen wir an, ein Passwort hat eine Länge von 1 Zeichen und es dürfen nur Buchstaben verwendet werden.
Es gibt also 26 mögliche Zeichen. Wenn man diese durchprobiert, dann hat man das Passwort sicher. Probiert man die Hälfte, also 13 Zeichen, durch, dann hat man zu 50% das Passwort, man muß also meist gar nicht alle 26 Zeichen ausprobieren.
Verwendet man bei einem Passwort nun Großbuchstaben, Kleinbuchstaben und auch noch Zahlen nutzt, dann hat man bereits 62 Zeichen, mit denen man arbeiten kann.
Ein moderner Computer wie er bei den meisten zuhause ist, kann ca. 2.150.000.000 Schlüssel pro Sekunde berechnen.
Ich habe mal in einer Tabelle zusammengefasst, wie die Länge eines Passwortes hier die Komplexität steigert und wie lange ein moderner Computer daran rechnen würde.
Länge | Kombinationen | Sekunden | Minuten | Stunden | Tage | Jahre |
---|---|---|---|---|---|---|
1 | 62 | 0,0000000288372093023256 | ||||
2 | 3.844 | 0,00000178790697674419 | ||||
3 | 238.328 | 0,00011085023255814 | ||||
4 | 14.776.336 | 0,00687271441860465 | ||||
5 | 916.132.832 | 0,426108293953488 | ||||
6 | 56.800.235.584 | 26,42 | ||||
7 | 3.521.614.606.208 | 1.637,96 | 27,29 | |||
8 | 218.340.105.584.896 | 101.553,54 | 1.692,56 | 28,21 | 1,18 | |
9 | 13.537.086.546.263.552 | 6.296.319,32 | 104.938,66 | 1.748,98 | 72,87 | |
10 | 839.299.365.868.340.200 | 390.371.798,08 | 6.506.196,63 | 108.436,61 | 4.518 | 12,38 |
11 | 52.036.560.683.837.100.000 | 24.203.051.480,85 | 403.384.191,3 | 6.723.069,86 | 280.127 | 767 |
12 | 3.226.266.762.397.900.000.000 | 1.500.589.191.812,98 | 25.009.819.864 | 416.830.331,06 | 17.367.930 | 47.583 |
13 | 200.028.539.268.670.000.000.000 | 93.036.529.892.404,60 | 1.550.608.831.540 | 25.843.480.525,67 | 1.076.811.688 | 2.950.169 |
14 | 12.401.769.434.657.500.000.000.000 | 5.768.264.853.329.080 | 96.137.747.555.485 | 1.602.295.792.591,41 | 66.762.324.691 | 182.910.478 |
15 | 768.909.704.948.767.000.000.000.000 | 357.632.420.906.403.000 | 5.960.540.348.440.050 | 99.342.339.140.667 | 4.139.264.130.861 | 11.340.449.673 |
Wie man an der Tabelle sieht, ist ein Passwort mit 7 Zeichen in einer halben Stunde, ein Passwort mit 8 Zeichen in etwas mehr als einem Tag geknackt, aber bei einem Passwort mit 11 Zeichen wird schon über 700 Jahre gerechnet. Alles mit aktuellen Computern, besonders gute Computer oder auch die nächsten Computergenerationen mögen hier schon schneller sein und man weiß noch nicht, wie lange diese dann brauchen werden. Daher empfiehlt es sich, sofern es vom Serverbetreiber zugelassen ist, mindestens 11 Zeichen für ein Passwort zu verwenden, Groß- und Kleinbuchstaben gemischt und auch irgendwo eine Zahl eingebaut.
Gängige Passwörter
Es gibt jedes Jahr eine Untersuchung, die zu einer Liste mit den gängigsten Passwörtern führt. Diese Passwörter sollte man auf jeden Fall vermeiden.
2018 sahen die ersten 15 Passwörter dieser Liste so aus:
- 123456
- password
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- sunshine
- qwerty
- iloveyou
- princess
- admin
- welcome
- 666666
Lies dazu auch hier einen Artikel über die häufigsten Passwörter 2018.
Hier gibt es auch einen Artikel mit den 100 häufigsten Passwörtern 2017.
Zusammenfassung
Wie man vor allem an den Zahlen in der Tabelle schön sieht, ist die Länge des Passwortes das, was Sicherheit gibt – 11 Zeichen sollten das Minimum für ein Passwort sein. Verwende nicht eines der häufigsten Passwörter der letzten Jahre.
Einen noch besseren Schutz mit noch besser merkbaren Passwörtern zeige ich Dir im nächsten Beitrag – dort geht es um Passphrasen.
Andere Artikel dieser Serie
Wenn Dir dieser Artikel gefallen hat, sind vielleicht auch die anderen Artikel dieser Serie für Dich spannend. Geplant sind:
Vorangegangene Artikel handeln von:
Das richtige Passwort – Teil 1: Wie funktionieren Passwörter? Wie merken sich Server das Passwort?
Das richtige Passwort – Teil 2: Die Methoden der Hacker
Als nächstes kommen:
Das richtige Passwort – Teil 4: Passphrasen
Das richtige Passwort – Teil 5
Passworttresore
Das richtige Passwort – Teil 6
2 Faktor Authentifizierung
Affiliate Links
Die Links sind sogenannte Affiliate Links. Das heißt, falls ihr über diesen Link kauft, bekomme ich ein paar Cent Provision dafür, der Preis für euch wird nicht teurer. Die Provision verändert nicht meine Meinung und beeinflusst nicht meinen Beitrag hier. Diese Links sind mit (*) gekennzeichnet.
Hat es Dir gefallen?
Wenn Dir dieser Blogeintrag gefallen hat oder Dir geholfen hat, dann gib TechnikPapa gern als Dankeschön ein Getränk aus.
2 Pingbacks
Das richtige Passwort - Teil 2 - TechnikPapa
Das richtige Passwort - Teil 1 - TechnikPapa