Typische Passwortfehler und die Mindestlänge für Passwörter

So gefährlich falsch werden Passwörter benutzt

24.10.2020
Von  und
Seine erste Berührung mit Informatik erfolgte an einem C64 samt Floppy VC 1541. Von Anfang an nutzte er diesen faszinierenden Heimcomputer nicht nur zum Daddeln, sondern auch für die Basic-Programmierung. Unter anderem half er seinen damals etwas müden Kopfrechnen-Fähigkeiten auf die Sprünge, indem er ein Programm schrieb, das immer zwei zufällig ausgewählte Zahlen zur Multiplikation stellte. Im Hintergrund lief ein Timer. Nur wenn er das Ergebnis innerhalb des vorgegebenen Zeitraums, der leider manchmal zu knapp bemessen war, richtig eintippte, bekam er einen Punkt gutgeschrieben. Seine Highscore-Ergebnisse waren durchwachsen, seine Programmierkenntnisse dafür umso besser. Der Lehrstuhl, an dem er als studentische Hilfskraft angestellt war, gehörte seinerzeit zu den Vorreitern in Sachen IT. Man übersetzte damals die griechischen Inschriften der antiken Stadt Hierapolis – heute ist dieses türkische Pamukkale bekannt durch seine Kalksinter-Terrassen. Die wissenschaftlich korrekt erfassten und kommentierten Inschriften bearbeiteten Dirscherl und Kollegen zunächst in Wordperfect. Anschließend landeten die Texte in einer Datenbank, die auf CD gepresst und für sündhaft viel Geld weltweit verkauft wurde. Über dieses epigraphische Datenbankprojekt, diverse C-Programmierereien auf Unix-Systemen und seine ersten Experimente mit Linux landete er schließlich professionell bei der IT. Seit den späten 1990-ern nutzt er Linux als Produktivsystem, seit Anfang der 2000-er Jahre ist Linux sein hauptsächliches OS. Nach vielen Jahren mit Suse Linux und Open Suse und zwischendurch Ausflügen zu Red Hat und Debian landete er bei Ubuntu und erledigt damit alle Arbeiten. Linux und C ist er bis heute treu geblieben – nach einem Ausflug zu PHP und MySQL. Mittlerweile bastelt er auch mit Arduino. Bei pcwelt.de betreut er vor allem Business-IT-Themen und hat den Auto & Technik-Bereich von Null beginnend aufgebaut. Seine Tests der Infotainmentsysteme in modernen Fahrzeugen gehören zu den ausführlichsten Tests, die man dazu überhaupt finden kann. Daneben schreibt er zudem fast täglich aktuelle Meldungen aus der IT-Welt.
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Aus Sicherheitsgründen sollte man jedes Passwort nur für einen einzigen Zugang verwenden. Doch die Realität sieht anders aus.
So gefährlich werden Passwörter benutzt
So gefährlich werden Passwörter benutzt
Foto: Rawpixel.com - shutterstock.com

Aus Sicherheitsgründen sollte man jedes Passwort lediglich für einen einzigen Zugang verwenden. Die Realität sieht jedoch anders aus. So haben Mitarbeiter des Balbix Threat Research Teams des Sicherheitsunternehmens Balbix herausgefunden, dass ein- und dasselbe Passwort im Durchschnitt für 2,7Konten/Zugänge eingesetzt wird. Etwas über acht unterschiedliche Passwörter nutzt ein User durchschnittlich insgesamt für alle seine Zugänge/Log-ins.

Die fatale Folge: Wird einer dieser Zugänge geknackt und fällt deshalb das Passwort in fremde Hände, kann der Angreifer auch die anderen Konten, die mit diesem Passwort geschützt sind, kapern. Aus diesem Grund sollten Sie nie ein Passwort mehrmals verwenden.

Ein weiteres Ergebnis dieser Untersuchung ist, dass 99 Prozent sämtlicher Mitarbeiter in Unternehmen ein- und dasselbe Passwort für unterschiedliche private oder berufliche Zugänge benutzen. Diese Vermengung von privaten und beruflichen Accounts macht das Ganze noch gefährlicher. So kann ein erfolgreicher Hackerangriff auf ein Forum oder ein soziales Netzwerk dazu führen, dass Angreifer ein Passwort erbeuten, das auch für wichtige Unternehmenskonten verwendet wird. Auf diese Weise können sie dort dann auch einen entsprechend großen Schaden anrichten.

Passwortmanager
Passwortmanager

Das Balbix Threat Research Team wertete dafür zufällig ermittelte Daten von über 10 000 Benutzern aus mehreren Dutzend unterschiedlichen Unternehmen aus verschiedenen Industriezweigen aus.

So lang muss ein Passwort sein: Je länger ein Passwort ist, desto länger braucht man, um es durch einfaches Ausprobieren aller Möglichkeiten zu knacken. Diese häufig verwendete Methode wird Brute Force genannt, also "Rohe-Gewalt-Methode". Offizielle Empfehlungen für die Passwortlänge sehen meist zehn Zeichen vor. In diesem zehn Zeichen langen Passwort sollen große und kleine Buchstaben, Ziffern und Sonderzeichen enthalten sein, sodass der Zeichensatz, aus dem das Passwort schöpfen kann, ebenfalls möglichst groß ist. Bei einem Zeichensatz mit 72 Zeichen aus 48 Buchstaben (groß und klein), zehn Ziffern und 14 Sonderzeichen ergeben sich die folgenden Möglichkeiten für ein zehnstelliges Passwort: 72 hoch 10 = 3.743.906.242.624.487.424. Versucht man, dieses Passwort mit einer Rechenkraft von vier Milliarden Berechnungen pro Sekunde zu knacken, benötigt man im längsten Fall 29,6 Jahre. Bei einem Passwort mit elf Zeichen können es 2135 Jahre sein, bei einem Passwort mit 15 Zeichen rund 65 Milliarden Jahre.

Unsere Empfehlung: Verwenden Sie ein Passwort mit 16 Zeichen oder mehr. Es geht bei dieser Länge weniger um Schutz gegen Brute Force als um Wörterbuchattacken oder Angriffe mit Rainbow Tables auf den Hashwert des Passworts. Infos zu weiteren Knackmethoden.

(PC-Welt)