F├╝r viele Menschen sind Passw├Ârter ein ├ärgernis! Ich kann das nicht ganz nachvollziehen – seit es Passwort Manager gibt hab ich mir ├╝ber Passw├Ârter eigentlich keine Gedanken mehr gemacht.

Heute geht es aber nicht um Passwortmanager sondern um die Frage warum Passw├Ârter oft eine Mindestl├Ąnge und Sonderzeichen haben m├╝ssen.

Dazu machen wir hier ein bisschen Mathematik. Bevor wir den Rechenschieber holen aber ein paar Hintergrundinformationen. Eine der gr├Âssten Gefahren ein Passwort zu knacken sind so genannte „Brute Force Attacken„.

Bei einer „Brute Force Attacke“ wird in einem sehr kurzen Zeitraum ein Login mit unterschiedlichen Zahlen, Buchstaben und Sonderzeichen Kombinationen versucht. Ein effizienter Schutz gegen Brute Force sind m├Âglichst lange und vielf├Ąltige Passw├Ârter. Warum das so ist, kann man Anhand einfacher Rechenbeispiele nachvollziehen.

M├Âglichkeiten

Passw├Ârter – egal wie lange sie sind, sind immer endlich. Es gibt keine unendlich lange Passw├Ârter. Dieses Problem ist leider nicht l├Âsbar und auch die gr├Âsste Schwachstelle von einem Passwort.

Nehmen wir als Beispiel einen 4-stelligen numerischen Pin. Viele von euch werden sowas auf ihrem Smartphone nutzen. Es gibt 10 m├Âgliche Zeichen (0-9). Das gibt insgesamt nur 10’000 Kombinationsm├Âglichkeiten. Rechnen kann man das einfach: Anzahl Zeichen hoch Anzahl stellen.

104 = 10’000

Nur schon bei einem 5-stelligen Pin erhalten wir 100’000 Kombinationsm├Âglichkeiten. Bei einem 6-stelligen 1’000’000 m├Âgliche Kombinationen.

105 = 100’000

106 =┬á1’000’000

Wenn wir nun einen Schritt weitergehen und alphanumerische Pins erstellen. Sehen wir eine massive Ver├Ąnderung der M├Âglichkeiten. Unser Alphabet hat 26 Gross- und Kleinbuchstaben das gibt 52 m├Âgliche Zeichen. Wenn wir noch 10 weitere Sonderzeichen dazu nehmen (!, #, $, etc) kommen wir auf 62 verwendbare Zeichen f├╝r ein alphanumerisches Passwort. Zus├Ątzlich gibt es noch die Zahlen 0-9 was insgesamt 72 m├Âgliche Zeichen ergibt.

Wenn wir einen 4 stelligen Pin statt nur mit Zahlen auch mit Buchstaben und Sonderzeichen erstellen ergibt das beinahe 27 Millionen m├Âgliche Pin Codes. Die Rechnung ist simpel:

724 = 26’873’856

Doch die Frage ist. Wie viele Zeichen braucht es um vor einer Brute Force Attacke sicher zu sein? Die Antwort kann man ebenfalls errechnen. Dazu fehlt und aber eine wichtige Zahl. Brute Force Attacken sind immer nur so schnell wie die Rechenkapazit├Ąt (Prozessleistung) des Computers der den Angriff ausf├╝hrt. Diese Prozessleistung nimmt von Prozessorgeneration zu Prozessorgeneration zu – aber dient hier erstmal als Veranschaulichung.

Derzeit k├Ânnen wir von einer durchschnittlichen Kapazit├Ąt von 4 Milliarden Operationen pro Sekunde ausgehen. Um ein 4-stelliges Passwort bestehend aus Klein/Grossbuchstaben, Zahlen und Sonderzeichen zu knacken geht entsprechend schnell:

26’873’856 : 4’000’000’000 = 0.006718464 (Sekunden)

Wenn dein Passwort nur aus 4 Zeichen besteht ist es in viel weniger als einer Sekunde geknackt.

Ein zufriedenstellendes Ergebnis erh├Ąlt man wohl bei 10 Stellen. Ich rechne im unteren Rechenbeispiel die Sekunden in Jahre um – um ein vorstellbareres Ergebnis zu erhalten. 31’556’926 Sekunden entsprechen genau einem Jahr.

(7210) : (4’000’000’000 x 31’556’926) = 29.65 (Jahre)

Wer alles im Mathematik Unterricht (ich weiss ist schon ewig her) aufgepasst hat, wird festgestellt haben das wir hier mit┬áExponentialfunktionen rechnen. Das bedeutet durch das hinzuf├╝gen einer einzelnen zus├Ątzlichen Stelle im Passwort erreichen wir komplett andere Werte. Wenn das Passwort 11-stellen statt 10 hat ergibt das folgendes:

(7211) : (4’000’000’000 x 31’556’926) = 2135 (Jahre)

Bei mehr als 2’000 Jahren um ein Passwort zu knacken – d├╝rften wir zurzeit wohl von einem „sicheren“ Passwort sprechen. Jedenfalls sicher im mathematischen Sinn.

Falls ihr euch also wieder einmal dar├╝ber aufregt, dass ein Passwort schrecklich viele Vorgaben hat. Dann denkt an diesen kleinen Beitrag und die Rechenbeispiele zur├╝ck ­čśë