Wie viele Zeichen sind hinreichend sicher für ein Passwort?
3 Antworten
Es kommt auf den "Zeichensatz" an. Ein 12-stelliges Passwort mit Groß- und Kleinbruchstaben, Ziffern und Sonderzeichen ist viel schwerer zu knacken als ein 20-stelliges Passwort, dass nur Ziffern beinhaltet.
Ich würde sagen wenn du eben Groß- und Kleinbuchstaben verwendest mit Ziffern und Sonderzeichen sollten 12 Stellen schon passen und für die nächsten Jahre reichen.
Dabei kommt es natürlich auch noch drauf an wie ein Passwort gespeichert wird. Passwörter speichert man in der Regel als Hashwert ab. Hierbei erlaubt der MD5-Algorithmus zB 38807.4 MH/s (Millionen Hashes / Sekunde) mit einer RTX3070 und der SHA-512 Algorithmus erlaubt "nur" 1698.3 MH/s!
Damit ist MD5 fast 23x schneller zu knacken als SHA-512.
Mit diesen Werten kannst du dann selber rechnen:
>>> (100**12/1698.3*1000000)/60/60/24/365
1.867149030428345e+19
>>> (100**12/38807.4*1000000)/60/60/24/365
8.17106840029597e+17
>>> (62**12/1698.3*1000000)/60/60/24/365
6.0239208573144344e+16
>>> (62**12/38807.4*1000000)/60/60/24/365
2636204639315467.0
100 Zeichen entspricht A-Z, a-z, 0-9 und Sonderzeichen
62 Zeichen entspricht A-Z, a-z, 0-9 ohne Sonderzeichen
12 der Länge des Passwortes und /60/60/24/365 ergibt dann die Anzahl an Jahren!
Ein entsprechend sicheres Passwort ist also selbst mit 12 Stellen unmöglich zu knacken, nicht mal mit 1000 Grafikkarten! Und das sogar ohne Sonderzeichen.
Das Problem ist, dass viele Passwörter nicht sicher sind und in Wortlisten auftauchen. Hier findest du zB eine von mir zusammengestellte Wortliste mit über 600 Millionen unsicheren Passwörtern: https://sourceforge.net/projects/wordlist-collection/
Diese Wortliste enthält eine Kombination alle Passwörter aus den großen Datenleaks der letzten Jahre...
Diese kann in Sekundenbruchteilen abgearbeitet werden. Mit dem Lesen der Daten vom Datenträger, etc. dauert es dann am Ende doch einige Sekunden bis zu einer Minute aber nichts verglichen mit einem sicheren Passwort.
Es kommt also nicht nur auf die Länge an sondern auch darauf, dass das Passwort nicht in einer Wortliste steht. Sonst kann es trotz 20 Stellen auch schnell geknackt werden!
Im schlimmsten Fall speichert eine Webseite dein Passwort unverschlüsselt ab. Das ist zwar grob fahrlässig, kommt aber immer noch vereinzelt vor. Außerdem können Passwörter bei der Eingabe auf gehackten Webseiten abgefangen werden. Darum ist es auch so wichtig für jeden Dienst ein eigenes Passwort zu haben! Andernfalls kann ein Hacker binnen Sekunden das erbeutete Passwort mit anderen Diensten wie Email, PayPal, eBay, Amazon, etc. abgleichen!
Wobei man sich fragen kann, welches Wort mit mehr als 32 Zeichen in Wörterlisten stehen sollte. Ab einer bestimmten Länge ist man bereits sehr sicher.
Stimmt bis zu einem gewissen Grad. Viele denken aber nur an die Länge und nutzen dann bekannte Muster wie:
qwertzuiopü+asdfghjklöä# ... hat 24 Zeichen, ist aber unsicher
Passwort1234567890! ... hat 19 Zeichen und ist genau so unsicher
Sind Passwörter zu komplex, kann man sich diese nicht mehr Merken und speichert diese ab. Damit hat man aber wieder einen Angriffspunkt - eine Schadware kann die zB aus dem Browser stehlen!
Merksätze sind eine gute Idee - zB: Ich putze mir jeden Morgen nach dem Aufstehen 3 Minuten lang die Zähne!
Das ergibt: IpmjMndA3MldZ! - 14 Stellen, alles drin was die Tastatur so hergibt und trotzdem leicht zu merken. Du kannst die sogar "Zähneputzen" als Notiz zu dem Passwort aufschreiben - trotzdem fängt damit keiner direkt was an.
Ich nutze 7 Hauptwörter des Alltags, die ich in einer bestimmten Reihenfolge mit einem Sonderzeichen zu einem passwort verknüpfe.
Z.b.
Monitor-Tisch-Stift-Fenster-Knopf-Teller-Stuhl
Leicht zu merken, schwer zu knacken.
Sind alles reale Wörter aber ich kenne keine Wortlisten. allerdings könnten diverse Tools eben solche Dinge kombinieren trotzdem wäre man dann bei:
>>> (75000**7 / 38807.3*1000000) / 60 / 60 / 24 / 365
1.09070877928533e+28
... sollte also passen.
Vor allem wenn man dann noch dutzende Sonderzeichen zum Kombinieren hat...
Nur aufzeichnen ist schwerer. Denn wie willst du dir zB eine Merkhilfe erstellen?
Das will ich jetzt nicht verraten, aber es hat etwas mit Bildern zu tun.
OK darunter kann man sich schon was vorstellen!
Nutzt du immer die gleichen 7, dann ist es aber leichter sobald eines offengelegt ist denn Variationen eines Passwortes - zB Passwort1! wird dann zu Passwort2! oder Passwort2" oder 1!Passwort, etc. probieren diverse Tools aus.
Bei dir wäre das Umstellen der Reihenfolge ziemlich offensichtlich und etwas das ich zB in dem Fall testen würde. Damit hätte ich nur etwa 16 Millionen Varianten mit den unterschiedlichen Kombinationen und Sonderzeichen zu testen.
Nur so nebenbei bemerkt.
Ok. Das klingt gut. Da ich nicht weiß welche 25 es sind und ich auch nicht mit geänderter Reihenfolge weiterkommen würde, müsste ich alle deutschen Wörter nehmen und das wäre dann zu aufwendig und damit sicher...
Da gibt es viele Meinungen zu.
Ich denke wenn du wirklich komplexe Passwörter hast mit Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen und es nicht als Worte lesbar ist, dann bist du mit 30-60 Zeichen gut dabei.
Wenn du unknackbar sein willst, empfehle ich dir dich mit Passwort-Managern wie Keepass oder 1Password auseinander zu setzen. Dann können dir Passwörter egal sein, weil du einfach immer 64 Zeichen setzt.
Darüber hinaus empfehle ich überall wo es möglich ist MFA (oder auch 2FA) zu aktivieren. So sind deine Accounts eigentlich am besten geschützt.
Wenn man ein Passwort nimmt was alles enthält (Groß- und Kleinschreibung, Nummern, Sonderzeichen), dann ist ein zwölf stelliges Passwort "stark".
Wobei man sich fragen kann, welches Wort mit mehr als 32 Zeichen in Wörterlisten stehen sollte. Ab einer bestimmten Länge ist man bereits sehr sicher.