Brute-Force: Wie sicher ist mein Passwort?

Der Sicherheitsanbieter Imperva hat eine kurzzeitig leicht im Web zu findende Liste mit etwa 32 Millionen Nutzer-Passwörtern analysiert. Im Dezember stahlen Hacker diese Passwörter der Firma RockYou, welches unter anderen Applikation für Unternehmen wie Facebook oder MySpace entwickelt.
Laut Amichai Shulman, Chief Technology Officer (CT0) bei Imperva, verwendeten etwa 20 Prozent der User ein einfach zu erratendes Passwort aus einem Pool von zirka 5000. Etwa ein Prozent nutzen als Passwort “123456″. Gleich darauf auf Platz zwei folgt “12345″.
Wer sich in den Top 20 etwas weiter umschaut, wird auch auf “princess”, “abc123″ oder “qwerty” stossen. Nur 0,2 Prozent der Untersuchung zufolge ein verhältnismässig sicheres Passwort, welches auf gross und klein geschriebenen Buchstaben sowie Zahlen und Sonderzeichen bestand.

Gestohlen wurden die Passwörter, indem die Hacker Nutzer auf eine falsche Internetseite lockten, wo sie ihre Login-Daten angeben mussten/durften. Daher war es in diesem Fall unwichtig, wie sicher ein Passwort ist, wer dumm genug war, es dort einzugeben, hatte sein Passwort bekannt gemacht. Siehe auch Phishing: Was ist das und wie schützt man sich?
Ganz anders sieht es jedoch bei sog. Brute-Force-Attacken aus. Bei diesen Attacken testen Bots ganze Wörterbücher mit einfachen Kombinationen durch. Werden so die Passwörter von 20’000 Usern ausprobiert, stösst man irgendwann zwangsläufig auf jemanden, der ein solch unsicheres Passwort benutzt.
Glücklicherweise bieten die meisten E-Mail-Anbieter heutzutage Tips an, um ein sicheres Passwort zu finden. Bei Google heisst es zum Beispiel:

Die Passwörter für Google-Konten sollten aus mindestens acht Zeichen bestehen, Zahlen und Buchstaben kombinieren und keine allgemein gebräuchlichen Wörter enthalten. Wählen Sie ein Wort oder ein Akronym aus und fügen Sie zwischen einigen Buchstaben Ziffern ein. Verwenden Sie Interpunktion. Verwenden Sie eine Mischung aus Gross- und Kleinschreibung.

Natürlich machen sorgfältig gewählte Passwörter Ihren Account sicherer, doch vor Brute-Force-Attacken ist kein Code sicher! Denn Brute-Force-Bots können nicht nur Wörterbücher durchrattern und verschiedene, leicht zu erratende Kombinationen ausprobieren, sie können auch systematisch jede mögliche Kombination von Passwörtern ausprobieren!
Laut der aktuellen Übersicht von Rechnergeschwindigkeiten steht fest, dass der derzeit (10.12.2009) schnellste Einzel-PC mit der speziellen Software ca. 805’640’000 (in Worten: 805 Millionen) Schlüssel in der Sekunde generieren kann.
Wenn Sie nun also Googles vorgeschlagene acht Zeichen in sieben umwandeln und auch den Tip mit den Zahlen, Grossbuchstaben und Sonderzeichen von Google vernachlässigen, wären bei ihrem Passwort rein rechnerisch rechnerisch 8’031’810’176 (in Worten: 8 Milliarden) verschiedene Buchstabenkombinationen möglich. Klingt viel! Aber mit dem o.g. Rechner würde man nur 10 Sekunden benötigen, um alle Kombinationen auszuprobieren, und schon wäre man in ihrem Account drin.

Klingt unglaubwürdig? Dann lassen Sie mich mal vorrechnen.
Die Menge aller möglichen Kombinationen berechnet man folgendermassen:
Zeichenanzahl^Passwortlänge
Da wir nur Kleinbuchstaben (a-z) in unserem Versuchs-Passwort verwendet haben, gibt es also 26 Zeichen bei einer Passwort länge von acht. Rechnet man dies aus (z.B. im Google-Suchfeld), bekommt man als Ergebnis 8’031’810’176.
Teilen wir die Anzahl möglichen Kombinationen nun durch die Anzahl Kombinationen, die der oben genannte Computer pro Sekunde testen kann (8’031’810’176/805’640’000), erhalten wir 9.97. Das ist die Anzahl Sekunden die der Computer braucht, um Ihr Passwort herauszufinden, und das nur, wenn Ihr Passwort zzzzzzz lautet, also die letzte der getesteten Zeichenfolgen wäre.

Ihr Account könnte also nicht unsicherer sein. Wir hören nun auf Google und nehmen ein Passwort, das acht Zeichen lang ist. Wir führen die gleichen Rechnungen aus:

= 26^8

= 208.827.064.576 (in Worten: 208 Milliarden, 827 Millionen …) / 805.640.000 Keys/sec

= 259 Sekunden

= mehr als 4 Minuten!

Das heisst, mit jedem Zeichen, das ein Passwort verlängert wird, braucht der Computer 26 Mal solange, um das Passwort zu knacken. Sie sehen also, das es viel bringt (auch Google ist der Meinung), neben Kleinbuchstaben auch noch Grossbuchstaben, Zahlen und Sonderzeichen zu verwenden.
Gehen wir davon aus, dass wir ein Passwort mit Zahlen, Klein- und Grossbuchstaben mit einer Länge von rund zehn Zeichen verwenden? Wie lange hätte der Computer, um dieses Passwort zu knacken?

= 62^10

= 839’299’366’000’000’000 (in Worten: 839 Billiarden, 299 Billionen…) / 805.640.000 Keys/sec

= 1’041’779’660 Sekunden (in Worten: 1 Milliarde Sekunden)

= 289’383,239 Stunden

= 12’057,635 Tage

= 388,95 Monate

= 32,41 Jahre

Wenn Sie so ein Passwort wählen, wird kein Hacker der Welt an Ihren Account kommen wollen (können schon), denn es gibt viel einfachere Opfer. Da es jedoch noch viele andere Wege gibt, an Passwörter heranzukommen, ist selbst ein so “gutes” Passwort wie das eben berechnete nicht vor Angriffen geschützt. Ein optimales Passwort gibt es deshalb nicht. Auch ein langes Passwort mit allen Schikanen (Gross-, Kleinbuchstaben, Zahlen, Sonderzeichen) kann durch Brute-Force in einer Sekunde geknackt werden, wenn es ein Glückstreffer ist. Die Chancen dazu stehen 1:”Anzahl möglicher Kombinationen”.
Das sicherste Passwort ist also möglichst lang, möglichst kompliziert, nirgends aufgeschrieben, nirgendswo anders gebraucht und ändert alle 5 Minuten in ein komplett neues von der gleichen Sorte. Ohne Glück hat Brute-Force so nur noch kleine Chancen, kann es jedoch trotzdem noch knacken …
Da man sich ein solches Passwort nicht merken kann, es aber nirgends aufschreiben und es sowieso nicht alle 5 Minuten ändern kann, eignet sich diese Methode nicht für den Alltag.

Es empfiehlt sich daher, ein Passwort zu wählen, dass lang ist, Sie sich gut merken können, aber auch nicht von einem Menschen erraten werden kann (z.B. “Geb1993Marco”). Dieses Passwort wäre für einen Computer schwer zu knacken, für einen Menschen, der mich kennt, jedoch “sehr” leicht.
Doch wie erhalte ich ein Passwort, das den oben genannten Kriterien entspricht? Ganz einfach! Suchen Sie sich ein Zitat, in Spruch oder sonst ein Satz, den Sie nie vergessen werden und nehmen Sie die Anfangsbuchstaben, setzen Sie sie zusammen und schon haben Sie Ihr persönliches Passwort!

Fluch der Karibik:
“Auf wessen Seite steht Jack eigentlich???” – “Ähm…Im Moment?”

Das Passwort würde also lauten: AwSsJe?ÄIM
Sie können es sich merken, kein Mensch kann’s erraten und ein Computer bräuchte Jahre! (Fast) Perfekt!