Passwörter 3 : Wie lang sollte ein Passwort sein

OPELJUNKIES - DAS NEUE OPEL-FORUM � Small Talk & PC � Computer, Spielekonsolen, Games, TV, I-Net, Handy, Cams � Internet, UMTS, WAP & W-Lan � Passwörter 3 : Wie lang sollte ein Passwort sein

Themen-Einstellungen

Thema drucken

#1 | Passwörter 3 : Wie lang sollte ein Passwort sein datum

27.12.2007 03:16

Die Frage ist so leicht nicht zu beantworten.

Generell kann man sagen, eine Mindestlänge von 8 Zeichen ist sinnvoll:
8 Zeichen bedeuten 191707312997281 Kombinationen bei der Zeichenklasse a-zA-Z1-9 (= 61 Zeichen).

Das würde bei einer Million Tastenanschläge pro Sekunde eine Maximalzeit von ca. 53252 Stunden (191707312,997281 Sekunden) bedeuten (fast 6 Jahre).
Das ist schon mal eine ganz ordentliche Zeit

Als Übersicht mal eine kleine Tabelle:
Mindestlänge und maximal benötigte Zeit (bei angenommener 1 Million Tastaturanschlägen pro Sekunde)

3 Zeichen ca. 0,2 Sekunden
5 Zeichen ca. 14 Minuten
8 Zeichen ca. 53252 Stunden
10 Zeichen ca. 1179469 Wochen
12 Zeichen ca. 84168853 Jahre
15 Zeichen ca. 19104730610573 Jahre

Doch nun kommt die Ernüchterung.

Alle diese Angaben sind sogenannte Maximalzeiten!
Maximalzeit bedeutet: wenn jemand in der angegebenen Geschwindigkeit versucht, das Passwort zu knacken, und erst die allerletzte eingegebene Zeichenkombination die richtige ist, dann dauert es so lange wie angegeben.
Aber theoretisch könnte ja auch schon die allererste eingegebene Zeichenkombination richtig sein. Dann hat es nur eine hunderttausendstel Sekunde gedauert, um das Passwort zu knacken - trotz 15 Zeichen.
Es kann also durchaus sein, dass ein Angreifer ein Passwort innerhalb weniger Sekunden herausgefunden hat. Zufall eben.
Deshalb sollte man sich bei 8 Zeichen durchaus nicht in Sicherheit wägen. Außerdem kommt es auch auf die Rechenleistung an: hier wurde mit einer Millionen Tanstenanschlägen pro Sekunde gerechnet. Andere, bessere, später gebaute Rechner schaffen vielleicht das Millionenfache.

Die Anzahl der Kombinationen berechnet sich aus Zeichen*Anzahl*Länge: pro Zeichen kann das Passwort aus Zeichen*Anzahl Zeichen bestehen. Daraus ergibt sich bei einem Passwort von 3 Zeichen und einer Zeichenklasse von 62 Zeichen: 62 * 62 * 62 Kombinationen. Um die benötigte Zeit zu berechnen, dividieren wir einfach durch die Anzahl der Tastenanschläge pro Sekunde — schon haben Sie die maximal benötigte Zeit in Sekunden.

Mit etwas Pessimismus könnte man nun sagen "ist doch scheißegal und alles wie beim Lotto".
Doch zwischen der Maximalzeit und der theoretischen Chance, ein beliebiges Passwort mit nur wenigen Versuchen zu knacken, liegt der für potentielle Angreifer ziemlich ungemütliche "mittlere Bereich", der in der erdrückenden Mehrheit aller Fälle relevant ist - also der Bereich zwischen z.B. mehreren Tagen und mehreren Jahren.
Und damit muss ein Angreifer zwangsläufig kalkulieren, wenn seine vielleicht anfänglichen Versuche, "nicht sichere" Passwörter zu probieren, fehlgeschlagen sind.

Natürlich sollte man auch noch hinzufügen, dass viele Zugangssysteme einen einloggenden Gast nach soundsoviel Fehlversuchen aus dem System werfen. Dann muss sich dieser, wenn er es wieder versuchen will, mit einer neuen Identität, im Internet z.B. manchmal auch mit einer anderen IP anmelden

Antworten

� Dove Cameron - Prince + Jacob Photoshoot for Galore