Sind Passwörtern mit Umlauten und Sonderzeichen wirklich sicherer?
Es heißt ja oft, dass man bei Passwörtern auch Umlaute und Sonderzeichen wie z. B. , ; . : * - + # ! ? % ) ( } { @ usw. verwenden soll.
Jetzt meinte gerade ein Bekannter zu mir, dass alle Zeichen, auch Umlaute und Sonderzeichen, in Computern als Binärcode (Ziffernfolge von „1“ und „0“ z. B. „001101001101“) vorhanden sind. Ein Rechenprogramm, welches versucht, Passwörter durch Probieren von zufälligen Zeichenfolgen zu knacken, würde nur verschiedene Folgen von Binärcodes ausprobieren, bis durch Zufall das Passwort richtig ist. Darum wäre ein Passwort mit vielen Umlauten und Sonderzeichen nicht sicherer. Es wäre laut meinem Bekannten viel wichtiger, dass das Passwort lang ist, weil dann die Rechenzeit viel größer wäre, bis das Passwort durch Probieren geknackt ist.
Und wenn jemand z. B. Thomas Müller heißt und z. B. „th0mA$mü11er“ oder „tH0M4$mü11€R“ als Passwort verwendet, dann wäre das für Hacker sehr viel leichter zu erraten als wenn er z. B. „4rsQ97wqas13“ als Passwort verwendet, obwohl da kein Umlaut u. kein Sonderzeichen drin ist.
Trotzdem bin ich der Meinung, dass bei gleicher Länge ein Passwort mit Umlauten und Sonderzeichen sicherer ist, als ein Passwort das nur aus normalen Buchstaben u. Ziffern besteht. Denn es gibt ja im deutschen Alphabet nur je 26 kleine u. große Buchstaben und nur 10 Ziffern, die Anzahl der Kombinationsmöglichkeiten ist also viel kleiner, als wenn man noch Umlaute und Sonderzeichen mit in Passwörtern verwendet.
Solange man sich an die Regel hält, dass man NICHTS als Passwort nimmt:
- was im Duden steht oder
- den eigenen Namen, Geburtsdatum, die E-Mail-Adresse, Straße, Hausnummer, dem Namen von Familienmitgliedern etc. enthält oder ähnelt, oder
- einfach zu erratende Folgen wie „12345678...“, „qwertzuiopü+“ usw.
müsste es doch, wenn es mit Umlauten und Sonderzeichen sehr viel mehr Kombinationsmöglichkeiten gibt, bei gleicher Passwortlänge doch noch viel länger dauern, das Passwort zu knacken, oder?
Und wie lang sollte ein Passwort mindestens sein, damit es z. B. auch kein Geheimdienst mit Superrechnern knacken kann? 16 Zeichen oder besser 20 Zeichen oder sogar noch länger?
6 Antworten
Ein Rechenprogramm, welches versucht, Passwörter durch Probieren von zufälligen Zeichenfolgen zu knacken, würde nur verschiedene Folgen von Binärcodes ausprobieren, bis durch Zufall das Passwort richtig ist.
Die meisten Passwörter kann man schneller knacken, wenn man nur alle Kombinationen mit bestimmten Zeichen durchgeht. Je mehr Zeichen es sind, desto länger dauert es natürlich, weil es mehr mögliche Kombinationen gibt. Daher ist es auf jeden Fall wichtig, neben Buchstaben auch Zahlen und Sonderzeichen zu verwenden. Ein Passwort wie „abcdefghijklmnopqrstuvwxyz“ ist zwar lang, jedoch nicht wirklich sicher. Beides ist wichtig – die Länge und die Komplexität, denn gute Programme betreiben nicht nur simples Bruteforce, sondern gehen bspw. auch bestimmte Listen durch etc.
Und wie lang sollte ein Passwort mindestens sein, damit es z. B. auch kein Geheimdienst mit Superrechnern knacken kann?
Es sollten mindestens 12 Zeichen sein.
Hier ist ein interessanter Artikel zu diesem Thema, der sogar eine Formel angibt, die sowohl Länge als auch Zeichensatz des Passworts berücksichtigt: https://resources.infosecinstitute.com/password-security-complexity-vs-length
Wenn man einen solch großen Zeichensatz verwendet, dann kann die Länge des Passworts reduziert werden. In dem verlinkten Artikel ist folgende Formel für die Entropie (ein Maß für die Güte von Passwörtern) zu finden:
log(C) / log(2) * L
C für die Größe des Zeichensatzes und L für die Länge des Passworts. Betrachten wir Passwörter der Länge 12 Zeichen. Nehmen wir an, der Zeichensatz besteht aus den 52 Buchstaben (A-Z, a-z), den 10 Ziffern und einigen Sonderzeichen – also vielleicht insgesamt 80 verschiedenen Zeichen. Dann ergibt sich folgende Entropie:
log(80) / log(2) * 12 = 75,863
Vergleichen wir das mal mit einem Zeichensatz von 5000 Zeichen:
log(5000) / log(2) * 12 = 147,453
Fast die doppelte Entropie! Nach dieser Rechnung wäre daher bereits eine Passwortlänge von 6 Zeichen bei einem solch großen Zeichensatz ausreichend. Das gilt aber natürlich nur, wenn all diese Zeichen annähernd gleich häufig vorkommen. Sollte es Zeichen geben, die so gut wie nie verwendet werden, könnte man diese in einem Passwortknacker gar nicht oder erst zum Schluss betrachten.
richtig ist, dass es einem von 256 ascii zeichen egal ist, wo an welcher stelle nullen oder einsen in ihrem binären code stehen.
nur für die menschlichen hacker ist es schwieriger, eine bunt gemischte zeichenkette anstelle eines klarwortes zu versuchen, dem pc ist es egal.
maßgeblich für die sicherheit von paßwörtern als schutz gegen computer-gestützte hack-versuche ist die begrenzung auf eine geringe zahl von versuchen. wenn die erfolglos erreicht wird, ist feierabend mit hack-versuchen; etwa so wie die 3 versuche, die handy-PIN einzhugeben.
ist die aber nicht vorhanden, kommt es nur die die leistungsfähigkeit des rechners an, mit dem man hacken will, um irgendwann die 256^x zeichen abzuarbeiten, wobei x die anzahl der zeichen des paßwortes darstellt.
also bei 6 stellen = 256 ^6
richtig ist auch, dass jedes zeichen mehr die gesamte zeit um ein vielfaches verlängert.
Es geht um sogenannte Brute-Force Angriffe.
Dort werden alle Passwörter durchprobiert.
Wenn man weiß, dass nur Kleinbuchstaben verwendet werden und beispielsweise 8 Zeichen lange Passwörter ausprobiert werden, dann sind 26⁸ Tests maximal notwendig.
Wenn auch Großbuchstaben hinzukommen sind es 52⁸, dazu noch Ziffern ergibt 62⁸ und dann noch 16 Sonderzeichen aus der Frage ergibt 78⁸ Kombinationen. Die Zahlen steigen schon gewaltig an.
Bei Umlauten sind es entsprechend mehr, haben aber einen deutlichen Nachteil. Diese können in einem Byte (ASCII) oder in 2 Bytes (UTF-8) interpretiert werden.
Wenn jetzt die Festlegung mit einem Byte zum Hash führte und durch die Eingabe auf einem anderen Gerät die Hasherzeugung mit 2 Bytes implementiert ist, so kann man sich von dem Gerät nicht wegen des Umlauts einloggen. Andersrum ebenso.
Kommt sehr selten vor, sollte man aber bedenken.
Statt des Zeichenvorrats kannst du natürlich auch mit der Länge arbeiten.
Gute Passwortprüfer, werden in Betrieben eingesetzt um zu leichte Passwörter zu entdecken, haben eine Liste von Hashes, die nicht vorkommen dürfen.
Wenn du mal tausende Passwörter geknackt hast, dann sind diese wie eine Suche mit dem Duden verbrannt.
Die Länge/Güte des Passwortes hängt natürlich von dem zu schützenden Bereich ab.
Bei der Bank verwende ich lange und komplizierte ohne dass es einem Wort ähnelt.
Bei anderen einfachere mit mindestens 8 Zeichen aus Groß/Klein/Ziffer und manchmal Sonderzeichen.
Schlecht finde ich: G1ra$$e und ähnlich.
Zitat: „Die Länge/Güte des Passwortes hängt natürlich von dem zu schützenden Bereich ab. Bei der Bank ...“
Ich hab gerade mal nachgeschaut: bei meiner Bank ist die Benutzerkennung, die die Bank vergibt (nicht das Passwort, welches man ja selber wählt) über 16 Zeichen lang, lässt sich aber nicht aus IBAN, BIC etc. ableiten.
Der Zeichenvorrat, bzw. der angenommene Zeichenvorrat ist die Basis, die Länge der Exponent. Länge besiegt immer Zeichenvorrat, wenn man diese nur etwas hochsetzt.
In letzter Konsequenz kommt es auf die Entropie des Passwortes an und darauf, daß eine Wörterbuchattacke+Permutationen nicht zum Erfolg führen kann.
Bei stupidem Bruteforce mit maximal angenommenem Zeichenvorrat macht es dann in der Tat keinen Unterschied mehr, welche Zeichen ich verwende.
Könnten Sie bitte noch „Entropie“ und „Bruteforce“ erklären, so dass es auch Nicht-IT-Fachleute verstehen (oder einen entsprechenden Link angeben)?
Apropos Wörterbuch, was wäre denn, wenn man Buchstaben (nicht Wörter) aus anderen Sprachen im Passwort verwendet? Welcher Hacker käme schon darauf, dass jemand in Deutschland z. B. Ø ĉ ę Θ Щ ﬓ
ע ػ
usw. verwendet?
Bruteforce - rohe Gewalt. also einfaches unüberlegtes Durchtesten.
Entropie ist vereinfacht die Informationsdichte.
Um mal ein Beispiel zu nehmen, Zeichen werden üblicherweise bei ASCII in 7(8) Bit kodiert. Wenn ich allerdings nur Kleinbuchstben verwende, dann habe ich sehr viel 'unbenutzten' Raum in der normalen Kodierung - also wenig Informationsgehalt und viel Redundanz (Wiederholung).
Fremde Alphabete sind nur dann interessant, wenn sie mit einer entsprechenden Kodierung verwendet werden, passe ich einfach nur die Codepage an, ändert sich nichts. Bei einer UTF-Kodierung wächst entsprechend der Zeichenvorrat.
Beispiel, anstatt 2^6 Zeichen, wäre mein Vorrat z.B. 2^16 Zeichen, je Stelle also ein Faktor von 2^10~=1000. Da kommt dann natürlich auch bei wenigen Zeichen einiges zusammen (einfach weil die Binärcodierung der Zeichen entsprechend länger wird). Anderes Beispiel:
Verdopple ich den Zeichenvorrat, so wächst die Zahl der Kombinationen bei 10 Zeichen um 1024, bei 16 schon um Faktor 65536. Man merkt hier die Dominanz der Länge.
--------
Wenn die Option entsprechender UTF-Kodierung besteht und ich mehrere Alphabete nutze (ist bei der Eingabe frickelig), dann kann ich natürlich die Länge (aus Sicht dargestellter Zeichenzahl)) niedriger gestalten.
Die Entropie fasst also quasi geschickt die Parameter Länge und Zeichenvorrat zusammen, um eine Vergleichbarkeit zu erhalten. (Das könnte man sicherlich besser formulieren ...)
Mit Sonderzeichen kann man es lediglich schwerer erraten oder mit System rausfinden, einem Computer der es einfach Zeichen für Zeichen versucht ist es egal welche Zeichen im Detail das sind.
Zur Rechenzeit dürfte es Infos im Internet geben.
Zitat: „Je mehr Zeichen es sind, desto länger dauert es natürlich, weil es mehr mögliche Kombinationen gibt.“
Dann müsste es fast unmöglich sein, Passwörter in Ländern zu knacken, wo das Alphabet sehr viele Zeichen hat. Z. B. gibt es in der chinesischen Schrift über 5000 Zeichen.