Wie lang muss ein Passwort sein damit es unknackbar ist?
Bzw. das es über 100 Jahre dauern würde es zu knacken. (ohne Quantenrechner)
4 Antworten
Das kann man so schwer sagen denn je nach dem wie das Passwort gespeichert ist dauert das Knacken unterschiedlich lang.
Hier ein paar Beispiele:
Speed MD5 ........: 38807.4 MH/s
Speed SHA-512 ....: 1698.3 MH/s
Speed WPA ........: 645.7 kH/s
Speed NTLM .......: 2961.0 MH/s
Wir schwanken also zwischen 38807 millionen Hashes / Sekunde (MH/s) und 645 tausend Hashes / Sekunde (kH/s).
Die ersten zwei Beispielen sind MD5 und SHA-512 und damit gängige Methoden Passwörter auf Webseiten zu speichern. WPA ist dann der Standard für ein WLAN und NTLM sind Windows-Passwörter.
Neben dem erbeuten von Hashes (verschlüsselt gespeicherten Passwörtern) gibt es auch die Methode der direkten Login-Versuche. Hier liegt man bei 1-3 Versuchen / Sekunde.
Dazu kommt, dass Dinge wie Salt- und Pepper-Werte das knacken von Passwörtern verlangsamen da man damit nicht alle Passwörter einer gestohlenen User-Datenbank zugleich angreifen kann sondern jedes einzeln angehen muss oder man muss zuerst den geheimen Pepper-Wert knacken.
Du siehst also, dass diese Frage nur im Hinblick auf den jeweiligen Angriff und/oder die jeweilige Speicherart beantwortet werden kann.
Ein 6-stelliges Passwort aus Ziffern, Sonderzeichen und Buchstaben (groß+klein) würde bei direkten Login-Versuchen mit 2 Versuchen / Sekunde über 15.000 Jahre standhalten aber wenn man das gleiche Passwort als MD5 Wert ohne Salt und Pepper speichert kann man es in unter 26 Sekunden mit einer RTX3070 knacken.
Generell bedeutet die Länge auch wenig - du kannst ein 16-stelliges Passwort generieren, dass dennoch unsicher ist. Wenn du den Namen deiner Frau / Freundin und Ihr Geburtsdatum zu einem Passwort kombinierst ist das eventuell 16-stellig aber diese Informationen sind aus den sozialen Medien leicht zu extrahieren und damit kann man auf dich zugeschnittene Wortlisten (Listen potentieller Passwörter) erstellen und diese ausprobieren.
Ein sicheres Passwort sollte also mind. 12-stellig sein, nichts mit dir zu tun haben und Sonderzeichen sowie Zahlen und Buchstaben enthalten. Du kannst es zB aus einem Merksatz bilden:
Ich putze mir jeden Morgen nach dem Aufstehen drei Minuten lang die Zähne!
Ergibt:
IpmjMndA3mldZ!
Ich putze mir jeden Morgen nach dem Aufstehen drei Minuten lang die Zähne!
Ergibt:
IpmjMndA3mldZ!
👍🏻
Hab mal vor kurzem gehört, dass es bei einem Passwort mit Buchstaben (Groß-Klein), Zahlen und Sonderzeichen bei 12 Zeichen grob 70 Jahre dauert derzeit. Also bei 13 würde ich sagen bist Du über den 100.
Falls Dein Passwort aber bereits in den Rainbow Tables auftaucht, hast Du ohnehin verloren.
gerainbowed
Yikes, das mußte ich mehrmals lesen, bis es ankam.
Besser wäre, er würde sich selbst dekommissionieren.
Stimmt aber ich sehe als Pentester immer wieder das es das in der Praxis gibt - da wurde vor Ewigkeiten ein Login erstellt, die Passwörter ungesalzen als MD5 Wert gespeichert und das wurde niemals geändert ...
Jedes Passwort lässt sich mit dem nötigen Equipment und Wissen entschlüsseln — völlig egal, wie komplex es ist.
Sicher? Könntest du mein GF Account Passwort mit der Brute Force Methode knacken?
Wie lange würde die Brute Force Methode bei 20 Zeichen dauern?
du bräuchtest mindestens 10^24 Jahre XD
siehe https://www.proxynova.com/tools/brute-force-calculator/
du bräuchtest mindestens 10^24 Jahre XD
Spannend, wie du die Mindestzeit berechnen konntest. Ich kann höhstens die Maximalzahl berechnen und das wäre auch nur dann der Fall, wenn die BruteForce Attacke alphanumerisch geordnet von vorn bis ganz hinten braucht. Die Mindestlänge kann auch nur ein paar Stunden oder Tage dauern.
Stimmt - aber es macht ab einem gewissen Punkt keinen Sinn. Klar kann man 1000 Render-Server mit je 4 Grafikkarten und einem Stückpreis von 12000 - 15000 EUR zu einem Cluster zusammenschließen und dann darüber Passwörter knacken.
Nur schluckt jeder der Server 1kW oder noch mehr unter Last und dann kannst du neben die Serverfarm auch gleich ein kleines Kraftwerk bauen um die Server und die Klimaanlage zum Kühlen der Serverfarm mit Strom zu versorgen.
Nur wer soll das bezahlen? Es ist auch nicht zu erwarten, dass Oma Irmas Daten den Aufwand rechtfertigen denn am Ende will man als krimineller mit erbeuteten Daten Geld verdienen!
Lassen wir staatliche Aktoren und APTs einmal außen vor - bleibt der einzelne oder organisierte Cyberkriminelle und da hat man es eher mit einzelnen Grafikkarten zu tun denn was diese Leute am Ende wollen ist Masse - nicht jedes geknackte Passwort bringt am Ende auch Zugriff auf Dinge mit denen man Geld machen kann... Daher will man auch nicht Wochen oder Monate mit einem Passwort verschwenden!
Zuerst bei einem Passwort ist Länge zwar ein Faktor aber Komplexität mindestens genauso wichtig. Damit mein ich das normale buchstaben (2 Zeichenarten) z.B. eher unsicher sind und du da je nachdem wo man schaut mind. 25 Zeichen nehmen solltest
Wenn du aber 4 Zeichenarten kombinierst also Groß-kleinbuchstaben, Zahlen und Zeichen dann reichen schon 8 Zeichen für ein sehr sicheres Pw
Quelle: Diese Angaben macht die IT Sicherheitsabteilung des Bunds
Deine Frage mit den hundert jahren ist aber extrem situationsbedingt. Wenn du wissen willst wie extrem lang n Bruteforce angriff dauern würde schau mal hier
https://www.1pw.de/brute-force.php
wirst sehen dass das durch die expontentielle steigerung bei Groß-und kleinschreibung schon bei 11 Zeichen über 5000 Jahre dauern würde
Hammer! hier kann man das sogar ausrechnen lassen
Wer Passwörter nicht gesaltet hasht gehört auch gerainbowed.