Passwortstärke

Was macht denn eigentlich ein besonders sicheres Passwort aus?

Mir ist klar, dass die Sicherheit eines Passworts mit der Anzahl der Stellen eines Passworts steigt. Aber warum erhöht sich die Sicherheit eines Passworts dadurch, dass neben Buchstaben auch Ziffern enthalten sein müssen? Die Kombinationsmöglichkeiten für ein Passwort wird doch dadurch nicht erhöht, sondern verringert.

Geht es dabei darum zu verhindern, dass das Passwort durch vordefnierte Schlüsselbegriffe, die häufig als Passwort verwendet werden, geknackt werden kann?

Hi,
ein Beispiel: Du nutzt für den zweistelliges Passwort nur die Buchstaben a und b. Dann existieren folgende möglichen Passwörter, die ein Angreifer ausprobieren müsste:
aa,ab,ba,bb

Nimmst du jetzt noch eine Zahl hinzu, z.B. die 3, dann sieht das ganze schon anders aus:

aa,ab,ba,bb,a3,3a,33,b3,3b

Die Anzahl der möglichen Kombination wird also nicht kleiner sondern größer.

Die Vermeidung von Wörterbuchangriffen spielt aber sicher auch eine Rolle.

Gruß
rantanplan

Hallo!

Geht es dabei darum zu verhindern, dass das Passwort durch
vordefnierte Schlüsselbegriffe, die häufig als Passwort
verwendet werden, geknackt werden kann?

Als allererstes das! Es gibt extra Wörterlisten mit meistverwendeten Passwörtern. Dazu gehören aber nicht nur Wörter, Eigennamen, etc. (hier eignet sich Wikipedia ganz hervorragend solche Listen zu erstellen) , sondern auch Kombinationen wie: Wort! oder Name1111!. Diese sind auch in keinster Weise sicher.

Mir ist klar, dass die Sicherheit eines Passworts mit der
Anzahl der Stellen eines Passworts steigt. Aber warum erhöht
sich die Sicherheit eines Passworts dadurch, dass neben
Buchstaben auch Ziffern enthalten sein müssen? Die
Kombinationsmöglichkeiten für ein Passwort wird doch dadurch
nicht erhöht, sondern verringert.

Das stimmt nicht. Wenn ein Wortlisten-Angriff versagt, kann man es noch mit einem Brute-Force-Angriff versuchen, also man kann ein Programm einsetzen, dass einfach alle Buchstabenkombinationen durchprobiert. Nun gucken wir mal wieviele mögliche Kombinationen es so gibt.
Als Beispiel dient ein achtstelliges Passwort. Generell berechnet sich die Anzahl der Möglichkeiten von Kombinationen durch n ^k, wobei:
n die Anzahl der verwendeten unterschiedlichen Zeichen und
k die Länge des Passwortes ist.

Das Alphabet hat 26 Buchstaben, verwenden wir nur kleine (oder nur große) Buchstaben haben wir:
26^8 = 208827064600 Möglichkeiten, die der böse Mensch durchprobieren muss, nicht so viel.

Nehmen wir nun noch Großbuchstaben hinzu haben wir schon:
(26+26)^8 = 52^8 = 53459728530000 Möglichkeiten.

Nehmen wir nun noch Zahlen haben wir:
(52+10)^8 = 62^8 = 218340105600000 Möglichkeiten.

Jetzt die effektivste Möglichkeit, Sonderzeichen! Auf der Tastatur finden wir satte 38 Sonderzeichen, macht:
(62+38)^8 = 100^8 = 10000000000000000 Möglichkeiten.

Zum einfacheren Vergleich die Zahlen nocheinmal direkt untereinander:

208827064600
53459728530000
218340105600000
10000000000000000

Du siehst also, die Sicherheit gegenüber so eines Brute-Force-Angriffes nimmt stark zu, wenn du Zahlen, Groß- UND Klein-Schreibung und vor allem Sonderzeichen nimmst. Wesentlich stärker steigt es allerdings, wenn du die Passwortlänge erhöhst.
Am allerwichtigsten ist aber, dass sich das Passwort nicht in irgendeiner Wörterliste befindet. Also kein Wort (richtig oder falschgeschrieben egal), keine Namen und auch keine Kombinationen wie coolcooladmin!!.

MfG

Hi,

ich muss die Frage präzisieren.

Richtig - die Anzahl der Kombinationsmöglichkeiten steigt, wenn eine Stelle des Passworts neben Buchstaben auch Zahlen enthalten kann.

Nur sehen häufig die Passwort Richtlinien eine enthaltene Zahl als Muss-Bedingung und nicht als Kann-Bedingung vor. Damit wird zumindest 1 Stelle des Passworts auf 10 Zustände (1-10) beschränkt. Es sind nicht mehr 36 Zustände möglich (26 Buchstaben, 10 Zahlen).

Damit wird doch das Passwort schwächer, oder?

Achso.
Also klar, wenn es Seiten gibt, wie z.B. Paypal, wo man IMHO 2 Sonderzeichen und 2 Zahlen haben muss, ist natürlich die Gefahr gegeben dass viele Leute nur 2 Zahlen und 2 Sonderzeichen nehmen und damit kann man die Möglichkeiten fürs Bruteforcing natürlich stark einschränken.
Wenn es solche Richtlinien in Unternehmen gibt, ist das gut gemeint, geht aber leider am Ziel vorbei.
Aber wenn man es sich sowieso zur Angewohnheit macht, sichere Passwörter zu verwenden, werden die dadurch auch nicht sonderlich kompromitiert.

Naja, da aber nicht vorgeschrieben ist an welcher Stelle vom Passwort sich Zahl und Sonderzeichen befinden müssen ist es doch wieder egal oder nicht?

Zumindest solange man nich, wie schon beschrieben, so typische Sachen macht wie gummibär123 oder *maus11*

Hallo Fragewurm,

Je mehr über das Passwort bekannt ist, desto weniger Kombinationen bleiben übrig.

Bleiben wir mal bei 2 x 26 Buchstaben und 10 Ziffern, welche für das Passwort verwendet werden dürfen.

Dann gibt es 62ⁿ Kombinationen.

Wenn du weisst, dass das Passwort mindestens 8 Zeichen lang sein muss, fallen schon mal 62⁷ Kombinationen raus.

Weisst du, dass mindestens 2 Ziffern vorhanden sein müssen reduzieren sich die gültigen Kombinationen auch von:
62ⁿ
auf
62^n-2*10²

Ganz früher, als man sich noch per Modem über das Telefon mit Computern verbunden hat, meldeten sich diese meist mit Betriebssystem und Versionsnummer. Wenn man die Handbücher hatte probierte man dann zuerst das Admin-Konto mit dem Installationspasswort …

Viele waren auch so nett und gaben unterschiedliche Fehlermeldungen aus, wenn der Benutzername oder das Passwort falsch waren. Da wusste man dann sofort, wenn man einen gültigen Benutzernamen gefunden hatte …

MfG Peter(TOO)

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Peter(TOO),
das hast schön erklärt. Wie hoch ist die Wahrscheinlichkeit, 12345678# ?
Ich gebe zu bedenken dass ich für jedes Programm mit Passwort ein anderes brauche. Hallo, wie soll ein normaler Mensch sich diese merken?
Hast du dafür auch eine Lösung? Gut, die PIN der Bank, ist mir zugewiesen und wer seit 45 Jahre dasselbe Konto hat, die ist eingebrannt wie der Name der Frau etc. Du könntest nun argumentieren dass es x Programme gibt die ein Passwort generieren, wo bitte soll ich das aufbewahren wenn ich im Internetcafé bin und über keinen Laptop, in der Nähe, verfüge?
Wäre schön wenn du mit da einige Tipps geben würdest, da oft im Ausland.
Seit nett gegrüßt und frohes Osterfest
Claude
PS: 2010 bin ich Ostern wieder im Andlauerhof in Arlesheim. Sehen wir uns?

Ich gebe zu bedenken dass ich für jedes Programm mit Passwort
ein anderes brauche. Hallo, wie soll ein normaler Mensch sich
diese merken?

Nunja so ist das nicht. Eine Möglichkeit ist, verschiedene ‚Sicherheitslevels‘ zu benutzen. Pro Sicherheitslevel ein PW. Dann hat man Sicherheitslevel 0, das sind unverschlüsselte unwichtige Sachen, z.B. Foren.
Dann Sicherheitslevel 1, das sind unverschlüsselte wichtige Dinge, z.B. Shops, etc.
Dann Sicherheitslevel 2, das sind verschlüsselte Verbindungen, z.B. Banken, PayPal, Amazon.
Sicherheitslevel 3 schließlich ist das Passwort für die Festplattenverschlüsselung.
Ist natürlich nach belieben erweiterbar.

argumentieren dass es x Programme gibt die ein Passwort
generieren, wo bitte soll ich das aufbewahren wenn ich im
Internetcafé bin und über keinen Laptop, in der Nähe, verfüge?

Zum einen gibt es Geräte in Größe und Form eines MP3-Players, wo man sich mit einem Masterpasswort anmeldet und dann alle (verschlüsselten) Passwörter abrufen kann.
Eine andere Möglichkeit, Passwörter zu generieren, ist sich einen beliebig langen Satz zu nehmen der nichts mit einem persönlich zu tun hat , und dort die Anfangsbuchstaben als PW zu nehmen.
Beispiel:
Susi ist sich leider völlig mit sich uneins, ob sie Lamm und Kartoffeln oder lieber Huhn und Reis nehmen soll.
Ergibt das Passwort:
Sislvmsu,osL&K/lH&Rns.
Wobei und = & oder= /
Je ungewöhnlicher der Satz, destso besser, er steht und fällt mit der nicht-Erratbarkeit.

MfG

Nur sehen häufig die Passwort Richtlinien eine enthaltene Zahl
als Muss-Bedingung und nicht als Kann-Bedingung vor. Damit
wird zumindest 1 Stelle des Passworts auf 10 Zustände (1-10)
beschränkt. Es sind nicht mehr 36 Zustände möglich (26
Buchstaben, 10 Zahlen).
Damit wird doch das Passwort schwächer, oder?

Theoretisch schon. Aber praktisch nicht, da sich nunmal 90% der Leute für ein Passwort aus Kleinbuchstaben oder nur aus Zahlen entscheiden würden, wenn es so eine „Muss-Bedingung“ nicht gäbe.

Man nötigt die Leute also dazu, halbwegs sinnvolle Passwörter zu benutzen. Dies ist beim allgemeinen Umgang mit Passwörtern leider notwendig.

Und für jemanden der sich auskennt, der nimmt eben nicht die Mindestmenge von 2 Zahlen sondern einfach 3 Zahlen. Außerdem solltest du noch Groß- und Kleinschreibung benutzen und ein Sonderzeichen. Sowas ist per Brute-Force nicht mehr in vernünftiger Zeit zu knacken.