Passwortsicherheit (5): Here be smaller mathematical dragons.

Wie also berechnet sich die Stärke des eigenen Passworts? Dazu bedarf es basaler Mathematikkenntnisse, denn die Frage lautet schlicht: Wie viele mögliche Kombinationen muss ein Brute-Force-Angriff auf mein Passwort maximal durchspielen, um das Passwort zu knacken? Die Formel zur Berechnung in sprachlicher Form sieht so aus:

Die Länge des Passworts ist dabei ein bekannte Zahl, die Anzahl der Zeichen prinzipiell auch. Dies aber nur, da wir das Passwort ja kennen. Angreifer wissen diese nicht, weshalb sie potenziell mehr Zeichen abfragen müssen. Die möglichen Zeichen lassen sich etwa wie hier gruppieren, sodass vier Gruppen anfallen, die einen Großteil der Passwörter ausmachen: Kleinbuchstaben (26 Zeichen), Großbuchstaben (26 Buchstaben), Zahlen (10 Zeichen) und Sonderzeichen (34 übliche Sonderzeichen*).

Wenn wir nun ein Passwort annehmen, das nur aus Kleinbuchstaben besteht und vier Zeichen lang ist, ergibt das eine Anzahl der möglichen Kombinationen von:

Das klingt doch schon nicht schlecht. Das ist doch jede Menge Holz, oder nicht? Für menschliche Maßstäbe vielleicht, aber es bringt nichts, wenn man keinen Vergleichswert hat. Also nehmen wir mal an, dass Passwort habe eine Länge von zehn Zeichen.

Wesentlich mehr, aber wir können noch immer nicht sagen, wie sicher es genau ist, denn wir haben bisher eine Variable der Attacke nicht berücksichtigt. Das wäre die Geschwindigkeit, mit der ein Angreifer diese Kombinationen durchspielen kann. Dabei sind viele Faktoren zu berücksichtigen, die hier nicht alle genannt werden können. Im oben erwähnten Wikipedia-Artikel wird von 1 Milliarde Versuchen pro Sekunde ausgegangen, wobei dieser Wert von der Rechenleistung eines Standard-PCs ausgeht. Wird beispielsweise über ein Netzwerk, also auch das Internet angegriffen, ist nicht nur die Rechenleistung relevant, auch die Verbindungsgeschwindigkeit ist von Bedeutung. Es ist also situationsabhängig, um aber die Sicherheit eines Passwortes zu illustrieren, gehen wir von 1 Milliarde Versuchen in der Sekunde aus. Wie lange würde es dauern, die beiden Passwörter zu knacken?**

Das kurze Passwort ist unter den gegebenen Voraussetzungen in dem Bruchteil einer Sekunde geknackt, es wäre für Menschen nicht einmal wirklich spürbar, einen Unterschied zwischen der Berechnung der Attacke und ihrem Ergebnis wahrzunehmen. Beim längeren Passwort braucht es schon etwas länger, doch sind 39 Stunden nicht wirklich ein Wert, ab dem man von einem sicheren Passwort sprechen kann.

Ab wann ein Passwort sicher ist, kann deshalb nicht pauschal festgelegt werden. Es hängt davon ab, wie schnell Rechnerleistungen und Verbindungsgeschwindigkeiten sind – die im Laufe der Zeit zunehmen, sodass Passwörter mit der Zeit schwächer werden – und auch die Wichtigkeit der zu schützenden Informationen ist ausschlaggebend. Für den Hausgebrauch nehme ich für meine wichtigsten Daten immer an, dass sie nur wichtig sind, solange ich lebe. Mein Richtwert ist dann eine Passwortstärke, die bei aktuellem technischen Stand etwa die durchschnittle Lebenszeit eines Menschen benötigt, um durch Brute-Force-Angriffe geknackt werden zu können. Aber das muss jeder oder jede mit sich selbst ausmachen, weitere Informationen und Tabellen zur Passwortsicherheit gibt es beispielsweise hier oder auch hier.

Ein Frage ist aber noch offen: Warum ist es wichtiger, ein langes Passwort zu haben als eines, das aus möglichst vielen Zeichen besteht? Das obige Beispiel zeigt deutlich, dass die Länge des Passworts zu exponentiell steigenden Kombinationsmöglichkeiten führt, sodass eine einfache Empfehlung zur Passwortsicherheit, wie dies auch beim hier verlinkten XKCD-Comic der Fall ist, zu langen Passwörtern raten sollte. Die Anzahl der möglichen Zeichen ist nicht irrelevant, aber im Vergleich zu der gewonnenen Sicherheit bei der Verlängerung eines Passworts ist sie schwindend gering.

* Es gibt mehr, aber die gebräuchlichsten werden hiermit abgedeckt. ** Eine Stunde hat 3600 Sekunden.

Passwortsicherheit (4): Verlässliche Feinde? – Wie werden Passwörter angegriffen?

Es ist müßig, an dieser Stelle einen Überblick über alle Möglichkeiten geben zu wollen, wie Daten und die zu ihrem Schutz eingesetzten Methoden umgangen und gebrochen werden können. Die Liste ist endlos und es kommen kontinuierlich neue Angriffswege hinzu. Also beschränke ich mich auf die gängigsten Mechanismen, mit welchen grundlegenden Mitteln Passwörter angegriffen werden. Es wird keine Anleitung sein, wie man es macht, sondern dient lediglich der allgemeinen Informationen darüber, dass man es Crackern leicht machen kann und warum. Weiterlesen

Passwortsicherheit (2): Simple Faustformeln für Passwörter

Eine Passwortvewaltung hat große Vorteile. Richtig genutzt ist damit eine überragende Sicherheit der eigenen Passwörter gewährleistet. Doch haben sie alle einen kleinen Haken, der in heute mobilen Seiten nicht zu vernachlässigen ist: Wer KeePass oder ähnliche Software einsetzt ist an die Verfügbarkeit der Software und der Datenbank gebunden. Zwar hatte ich schon beshrieben, wie sich die Verteilung der Datenbank und der mobile Zugriff darauf organisieren lassen. Es bleibt aber noch eine „Versorgungslücke“, wenn das Smartphone streikt, ich nicht auf die Datenbank zugreifen kann oder, warum auch immer, nicht die Software einsetzen kann. Was dann? Weiterlesen

Passwortsicherheit (1): Passwortverwaltung – One password to rule them all?

Was machen, wenn die Zahl der Passwörter überhandnimmt? Eine einfache Lösung ist es, nicht ständig neue Passwörter anzulegen. Nach einer Zeit neigen die Hirnwindungen dazu, sich zu verzetteln, womit der Weg der Erinnerung kurvenreich wird. Schlimmstenfalls enden die mentalen Verbindungen zu den Passwörtern im Nichts. Das kann es nicht sein, deshalb ist es praktisch, nur eines oder wenige Passwörter zu verwenden. Das mag die einfachste Option sein, für sie spricht ihre Schnelligkeit und Simplizität. Aber es ist die denkbar schlechteste aller Optionen, denn sie ist unsicher. Sehr unsicher. Weiterlesen

Passwörter und Kryptologie

Hin und wieder habe ich an dieser Stelle schon Webapps und Desktop-Software (hier, hier, hier oder hier) angesprochen, die bei mir nahezu täglich zum Einsatz kommen und nicht mehr aus dem Alltag und meiner Organisation wegzudenken sind. Vor allem kam ich auf Anwendungen zur Automatisierung zu sprechen, ich will ab heute nicht nur über diese direkten Helferlein und Lastesel sprechen. Deshalb der Auftakt zu einer mehrteiligen Serie zur Passwortsicherheit. Passwörter brauche ich für eigentlich alle dieser Anwendungen, vor allem die Webapps. Warum aber habe ich Passwörter, die ich nicht kenne, die ich aber jederzeit und überall erstellen kann? Weiterlesen