Ein Service von 1Password - Der komfortablen Passwortverwaltung.
Zusammenhang von Brute-Force-Attacken und Passwortlängen
Nutzung von Großbuchstaben
Nutzung von Groß- und Kleinbuchstaben
Nutzung von Groß- und Kleinbuchstaben & Zahlen
Das optimale Passwort
Menschen und Passwörter
Aber Achtung!
Brute-Force-Attacken sind Versuche eines Computer-Programms, dass Passwort eines anderen Programms zu knacken, indem alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert werden. Daher ist ersichtlich, dass die Länge eines Passworts massgeblich für die Sicherheit von Daten wichtig ist. Ein Beispiel soll dies belegen:
Sie wählen ein Passwort, dass nur aus sechs Kleinbuchstaben besteht. Laut der aktuellen Übersicht von Rechnergeschwindigkeiten unter
http://www.orange.co.jp/~masaki/rc572/fratee.php steht fest, dass der derzeit (05.07.2004) schnellste Einzel-PC ca. 30 000 000 (in Worten: 30 Millionen) Schlüssel in der Sekunde generieren kann.
Bei einem Passwort, dass aus sechs Kleinbuchstaben besteht, sind rein rechnerisch 308.915.776 (in Worten: 308 Millionen) verschiedene Buchstabenkombinationen möglich, so dass der Rechner nur 28 Sekunden benötigen würde, um alle Kombinationen auszuprobieren.
Glauben Sie nicht? Nun, lassen Sie uns ein wenig rechnen:
Es gibt 26 verschiedene Kleinbuchstaben (ohne ä.ö,ü,ß). Bei einem Passwort, dass aus 6 Buchstaben besteht, sind somit die Kombinationen von aaaaaaa bis zzzzzz möglich.
Die mathematische Regel zur Berechnung der Kombinationsmöglichkeiten lautet:
Kombinationen = Zeichenanzahl Passwortlänge
Kombinationen = 26 6
= 26 * 26 * 26 * 26 * 26 * 26
= 308 915 776 / 30 000 000 Keys/sec
= 10 Sekunden!
Nun erhöhen wir die Länge des Passworts nur um ein Zeichen:
Kombinationen = 26 7
= 26 * 26 * 26 * 26 * 26 * 26 * 26
= 8 031 810 176 (in Worten: 8 Milliarden, 31 Millionen ...) / 30 000 000 Keys/sec
= 266 Sekunden
= 4.5 Minuten!
Sie sehen also, die Erweiterung des Passworts um ein Zeichen, verlängert die Zeit, in welcher der Rechner die Kombinationen ausprobiert, um ein 26 faches! Je länger das Passwort, desto länger dauert eine Brute-Force-Attacke, und desto schwieriger ist es einen Code zu knacken.
Nutzung von Großbuchstaben (26 verschiedene Zeichen)
Es folgt eine per JavaScript generierte Übersicht von Passwortlängen und deren Auswirkungen auf die Entschlüsselungszeit.
Rechengeschwindigkeit des Rechners ( 30149800 Schlüssel pro Sekunde (Keys/sec))
(aktuelle Rechengeschwindigkeiten verschiedener Computersysteme finden Sie unter
http://www.orange.co.jp/~masaki/rc572/fratee.php.
Passwortlänge
in Zeichen Mögliche Kombinationen Anzahl der maximalen Versuche, in
Sekunden Minuten Stunden Tagen Jahren
1 26 8.623606126740476e-7
2 676 0.00002242137592952524
3 17576 0.0005829557741676562
4 456976 0.01515685012835906
5 11881376 0.39407810333733556
6 308915776 10
7 8031810176 266 4
8 208827064576 6926 115 2
9 5429503678976 180084 3001 50 2
10 141167095653376 4682190 78037 1301 54
11 3670344486987776 121736943 2028949 33816 1409 4
12 95428956661682170 3165160521 52752675 879211 36634 100
13 2481152873203736600 82294173534 1371569559 22859493 952479 2610
14 64509974703297150000 2139648511874 35660808531 594346809 24764450 67848
15 1.677259342285726e+21 55630861308723 927181021812 15453017030 643875710 1764043
Diese Zahlen stellen eine optimale Sicherheit dar, dass heißt, es wird davon ausgegangen, dass die richtige Kombination erst mit der letzten Kombinationsmöglichkeit gefunden wird.
Nutzung von Groß- und Kleinbuchstaben (52 verschiedene Zeichen)
Da viele Programme die Groß- und Kleinschreibung von Passwörtern unterscheiden, stellt die Mischung von Groß- und Kleinbuchstaben eine weitaus optimalere Variante dar. Hierbei gibt es 52 verschiedene Buchstaben, die getestet werden müssen!
Nehmen wir wieder das Beispiel mit einem 6stelligen Passwort:
Kombinationen = 52 6
= 52 * 52 * 52 * 52 * 52 * 52
= 19 770 609 664 / 30 000 000 Keys/sec
= 656 Sekunden
= 11 Minuten!
Nun erhöhen wir die Länge des Passworts nur um ein Zeichen:
Kombinationen = 52 7
= 52 * 52 * 52 * 52 * 52 * 52 * 52
= 1 028 071 702 528 (in Worten: 1 Billion, 28 Milliarden ...) / 30 000 000 Keys/sec
= 34 099 Sekunden
= 568 Minuten
= 9 Stunden!
Rechengeschwindigkeit des Rechners ( 30149800 Schlüssel pro Sekunde (Keys/sec))
(aktuelle Rechengeschwindigkeiten verschiedener Computersysteme finden Sie unter
http://www.orange.co.jp/~masaki/rc572/fratee.php.
Passwortlänge
in Zeichen Mögliche Kombinationen Anzahl der maximalen Versuche, in
Sekunden Minuten Stunden Tagen Jahren
1 52 0.0000017247212253480951
2 2704 0.00008968550371810095
3 140608 0.00466364619334125
4 7311616 0.24250960205374497
5 380204032 13
6 19770609664 656 11
7 1028071702528 34099 568 9
8 53459728531456 1773137 29552 493 21
9 2779905883635712 92203128 1536719 25612 1067 3
10 144555105949057020 4794562682 79909378 1331823 55493 152
11 7516865509350965000 249317259463 4155287658 69254794 2885616 7906
12 390877006486250200000 12964497492065 216074958201 3601249303 150052054 411102
13 2.032560433728501e+22 674153869587361 11235897826456 187264963774 7802706824 21377279
14 1.0569314255388205e+24 35056001218542760 584266686975713 9737778116262 405740754844 1111618506
15 5.496043412801867e+25 1822912063364223700 30381867722737064 506364462045618 21098519251901 57804162334
Diese Zahlen stellen eine optimale Sicherheit dar, dass heißt, es wird davon ausgegangen, dass die richtige Kombination erst mit der letzten Kombinationsmöglichkeit gefunden wird.
Nutzung von Groß- Kleinbuchstaben & Zahlen (62 verschiedene Zeichen)
Das sich mit der Nutzung zusätzlicher Zahlen die Zeichenkombinationen weiter erhöhen, brauche ich Ihnen sicherlich nicht weiter zu sagen. Die nachfolgende Tabelle sollte Ihnen eine optimale Übersicht bieten.
Rechengeschwindigkeit des Rechners ( 30149800 Schlüssel pro Sekunde (Keys/sec))
(aktuelle Rechengeschwindigkeiten verschiedener Computersysteme finden Sie unter
http://www.orange.co.jp/~masaki/rc572/fratee.php.
Passwortlänge
in Zeichen Mögliche Kombinationen Anzahl der maximalen Versuche, in
Sekunden Minuten Stunden Tagen Jahren
1 62 0.000002056398384068883
2 3844 0.00012749669981227074
3 238328 0.007904795388360785
4 14776336 0.4900973140783687
5 916132832 30
6 56800235584 1884 31
7 3521614606208 116804 1947 32 1
8 218340105584896 7241843 120697 2012 84
9 13537086546263552 448994240 7483237 124721 5197 14
10 839299365868340200 27837642899 463960715 7732679 322195 883
11 52036560683837100000 1725933859722 28765564329 479426072 19976086 54729
12 3.2262667623979e+21 107007899302745 1783464988379 29724416473 1238517353 3393198
13 2.000285392686698e+23 6634489756770188 110574829279503 1842913821325 76788075889 210378290
14 1.2401769434657527e+25 411338364919751600 6855639415329194 114260656922153 4760860705090 13043453987
15 7.689097049487666e+26 25502978625024600000 425049643750410000 7084160729173500 295173363715563 808694147166
Diese Zahlen stellen eine optimale Sicherheit dar, dass heißt, es wird davon ausgegangen, dass die richtige Kombination erst mit der letzten Kombinationsmöglichkeit gefunden wird.
Das optimale Passwort
Um es vorweg zu nehmen, ein optimales Passwort gibt es nicht. Da bei einer Brute-Force-Attacke viel Zufall im Spiel ist, wann eine bestimmte Kombination ausprobiert wird, gibt es keine 100%ige Sicherheit! Schon der erste Versuch könnte ein Treffer sein. Aber die Chancen stehen dabei bei 1:Kombinationsmöglichkeiten. Bei einem Passwort von ca. 13 Zeichen Länge ist die Ziehung von 6 Richtigen mit Superzahl bei der wöchentlichen Lotto-Sendung dagegen eine fast 100%ige Sache. Aber wann hatten Sie das letzte mal den Jackpot geknackt? Vermutlich noch nie!
Dies bedeutet, je höher die Passwortlänge, desto geringer die Chance, ein Passwort zu entschlüsseln!
Welche minimalste Länge ist ausreichend?
Schwer zu sagen: Meine Meinung ist, und darüber lässt sich streiten, dass eine Passwortlänge dann ausreichend ist, wenn das Entschlüsseln länger als die durchscnittliche Lebensdauer eines Menschen dauern würde. Damit der Zufall des Auffindens des passenden Passworts so gering wie möglich ist, sollte man diesen Wert zusätzlich mit dem Wert 1.000 mutliplizieren.
Ein Blick in die Tabelle verrät da schon einiges: Um ein 11-stelliges Passwort zu knacken - vorausgesetzt Sie nutzen ein Passwort, dass aus Zahlen, Klein- und Großbuchstaben besteht - bräuchte man eine prognostizierte Zeit von 150 006 Jahren. Dieser Wert dividiert durch 1.000 ergibt 150 und überschreitet somit bei weitem die durchschnittliche Lebensdauer eines Menschen ;-)
Menschen und Passwörter
Manche Menschen machen es anderen Leuten recht einfach. Wer den Namen seines Kindes, seiner Frau, das Datum seines Hochzeitstages oder den Geburtstag der Ex-Freundin als Passwort benutzt, sollte sich nicht wundern, wenn ein anderer sich in wenigen Sekunden Zutritt zu wichtigen Dokumenten verschafft.
Ein Passwort wie "Geboren1971inLeipzig" ist besser, um sich gegen eine Brute-Force Attacke zu schützen. Ein Mensch, könnte - rein theoretisch - auch dieses Passwort erraten, da es sich hierbei um eine Zusammenstellung von Wörtern handelt.
Daher wäre es sicherer, ein Passwort zu bilden, das keinen Sinn ergibt, sich aber vom Anwender einfach merken lässt. Wie geht so etwas?
Sicher kennen Sie einen Satz aus einem Film oder aus Ihrem täglichen Leben, den Sie in- und auswendig kennen, so dass Sie ihn immer und immer wieder aufsagen könnten. Nehmen Sie nun von jedem Wort des Satzes den ersten Buchstaben. Achten Sie dabei auch auf die Groß- und Kleinschreibung.
Ein kleines Beispiel von mir. Mein Lieblingssatz ist die Eselsbrücke, mit der man sich die Reihenfolge unserer neun Planeten merken kann:
"Mein Vater erklärt mir jeden Sonntag unsere neun Planeten."
Die Anfangsbuchstaben jedes Wortes bedeuten: Merkur, Venus, Erde, Mars, Jupiter, Saturn, Uranus, Neptun, Pluto. Wieso sollte ich dies nicht als Passwort nutzen können?
Mein Passwort könnte also lauten: MVemjSunP
Gelesen ergibt es keinen Sinn, lässt sich aber von mir sehr einfach merken. Zudem besitzt es eine Länge von 9 Zeichen aus Groß- und Kleinbuchstaben. Man bräuchte also mit dem derzeit schnellsten PC 18 Jahre, um alle Möglichkeiten durchzuspielen.
Noch sicherer ist die Einbindung von Zahlen. Ich könnte beispielsweise das Jahr einsetzen, in dem ich Astronomie in der Schule als Unterrichtsfach hatte: 1988. Da ich in dem Schulfach die Note 2 erhalten habe, teile ich die Zahl in 2 Teile und füge Sie an die 2. Stelle von vorn und von hinten in das Passwort ein.
So und nun versuchen Sie einmal eine Logik in mein 13stelliges Passwort zu bekommen: MV19emjSu88nP
Um Brute-Force-Attacken bräuchte ich mir keine Sorgen mehr machen. So lange lebt keiner, dank dem Himmelssystem ;-)
Nehmen Sie sich also ein wenig Zeit, über das Zugangspasswort Ihrer Datenbank in der Passwortverwaltung 1Password-Pro nachzudenken. Es lohnt sich. Denn eigentlich brauchen sich nur dieses eine Passwort zu merken. Die anderen merkt sich die Software.
PS: Natürlich nutze ich ein anderes Passwort als MV19emjSu88nP ;-)