Hallo extravagantes,

ich bin ein Mitarbeiter von mecodia. Wir sind das Unternehmen, das www.checkdeinpasswort.de entwickelt und betreut. Ich kann dir, zumindest was checkdeinpasswort.de angeht, ein paar Antworten und Infos liefern, damit du die Seite besser einschätzen kannst.   

Zum Hintergrund:

Das Ziel der Seite ist es, anschaulich ein Gespür für sichere Passwörter zu vermitteln. Wir bieten bei mecodia Seminare zum Thema Medienkompetenz und IT-Sicherheit an und arbeiten dabei oft mit Schülern oder älteren Internetnutzern zusammen. Natürlich hat jeder schon einmal gehört, dass man sichere Passwörter verwenden soll, aber die wenigsten Leute halten sich daran. Darum haben wir die Seite entwickelt um das Thema auf einfache Weise zu visualisieren, so dass auch Laien oder jüngere Schüler das gut verstehen.

Zur Technik:

Auf unserer Seite siehst du links unten mehrere verlinkte Elemente die wir eingebunden haben, z. B. eine Liste mit Namen oder eine Liste mit häufig verwendeten Passwörtern. Gibst du nun ein Passwort ein, wird geprüft ob es auf einer dieser Quellen (Namensliste, Wörterbuch, Passwortliste) auftaucht. Wird dein Passwort dort gefunden ist es nicht sehr sicher, da auch Hacker solche Listen einsetzen. Taucht das Wort nicht unmittelbar auf der Liste auf, berechnen wir mit einer mathematischen Funktion näherungsweise (!) wie lange ein herkömmlicher Computer (etwa ein Mittelklasse-Laptop aus den letzten 2 Jahren) brauchen würde, um das Passwort durch simples Ausprobieren zu erraten.

Wenn du technisch versiert bist, ist auch der Quellcode, also die programmierten Anweisungen die auf der Seite ausgeführt werden, links unten einsehbar. Das heißt du kannst dir (mit entsprechenden technischen Kenntnissen) auch genau anschauen was passiert und wie die Seite arbeitet.

Zur Sicherheit:

Es werden zu keiner Zeit eingegebenen Passwörter auf der Seite gespeichert oder an uns gesendet. Die Berechnung des Passworts erfolgt ausschließlich auf dem eigenen Gerät (PC, Smartphone, Tablet) des Nutzers. Wenn man da bedenken hat, kann man die Seite auch laden und danach die Verbindung zum Internet trennen, bevor man Passwörter eingibt. Die Seite funktioniert dann immernoch, da alle notwendigen Daten lokal in deinem Browser geladen werden.  

Auch wenn wir die Passwörter nicht speichern: Generell ist es ein sehr guter Hinweis, nicht die eigenen Passwörter unverändert irgendwo ins Internet einzutragen!

Zur Bewertung / Genauigkeit der Ergebnisse:

Wir vermischen bei unserer Berechnung beispielsweise sog. Wörterbuchangriffe (Passwort auf Liste finden) und sog. Brute-Force-Attacken (Passwort durch ausprobieren aller Möglichkeiten knacken). Eigentlich handelt es sich hier um zwei getrennte Ansätze, die wir der Einfachheit halber auf unserer Seite kombinieren. Dabei sind auch die Ergebnisse welche die Seite berechnet, lediglich Schätzwerte, die keinen Anspruch auf absolute Exaktheit haben.

Wie lange es dauert ein Passwort zu knacken, hängt in echt von sehr vielen Faktoren ab. So spielen z.B. der Speicherort des Passworts, Länge und Zeichenzahl, Verschlüsselung, die zum Knacken verwendete Software, eingesetzte Hardware, und viele andere Punkte eine Rolle. Dies alles kann die Seite nicht abbilden und soll sie auch gar nicht. Sie soll vielmehr die folgenden wichtigen Kernaussagen einfach veranschaulichen:

Einfache Passwörter wie “1234”, “passwort” oder ein beliebter Vorname sind, da viele Nutzer sie verwenden, sehr unsicher und einfach zu knacken.

Je mehr Vielfalt bei der Wahl der Zeichen (Buchstaben, Zahlen, Sonderzeichen) desto mehr Kombinationen werden für das Passwort möglich. Die muss ein Rechner der das mit Gewalt knacken möchte auch erstmal alle durchprobieren, weshalb es länger dauert.

Je länger das Passwort wird, desto mehr mögliche Kombinationen gibt es. Mit jedem weiteren Zeichen steigt der Rechenaufwand stark an. Exponentielles Wachstum ist hier das Stichwort.

Jedes Passwort kann, mit genügend Geduld und Rechenleistung geknackt werden! Man kann das Passwort aber so schwer zu knacken machen, dass einem Angreifer die Lust vergeht, da zu viel Zeit gebraucht wird. Das versucht die Seite durch die hohen Zahlen bei längeren Kombinationen abzubilden.

Pauschale Aussagen wie “8 Zeichen sind sicher genug” sind immer kritisch zu sehen, da die Rechenleistung der Computer ja auch immer größer wird. Generell gilt: Je länger, desto besser.

Ich hoffe das hilft dir schon mal weiter. Gerne beantworte ich auch noch weitere Fragen zum Thema.