Sonntag, 23. September 2012

Die Sicherheit von Passwörtern

Gerade hatte ich eine Unterhaltung über die Sicherheit von Passwörtern. Gerade im Umfeld von Online-Spielen ist das Thema ja allgegenwärtig. Dabei hatten wir leicht unterschiedliche Auffassungen über ein sicheres Passwort, weswegen ich hier eine kleine Beispielrechnung aufführen wollte.

Mein Vorschlag war, dass Passwort so lang wie möglich zu machen und einen kleinen Satz oder leicht zu merkende Worte zu verwenden. Also sowas wie

"HundKatzeMausSchweinKuh"

Dieses Passwort ist 31 Zeichen lang und leicht zu merken.

MeinDiskussionspartner warb für ein deutlich kürzeres Passwort (ich wähle hier 10 Zeichen), dass dafür alle möglichen Sonderzeichen enthielt. Zum Beispiel:

~F@Ä]g;²7+

Welches der Passworte ist nun sicherer?

Mein Passwort würde also geknackt werden, wenn nur Groß- und Kleinbuchstaben als Ausgangsbasis (also 48 Zeichen) genommen werden, und für das andere muss man alle darstellbaren ASCII-Zeichen verwenden, also 95. Um die Rechnung zu vereinfachen, nehme ich hier sogar 96 Zeichen an.

Für das zweite Passwort gibt es also

96*96*96*96*96*96*96*96*96*96 = 96^10

mögliche Kombinationen. Eine Zahl, die schon verdammt groß ist.

Nun zu meinem Passwort. Hier haben wir nur 48 Zeichen, dafür 23 Kombinationen.

48^23

Beide Zahlen kann ich mit meinem Taschenrechner nicht mehr ausrechnen, aber um zu verdeutlichen, wieviel größer die zweite Zahl ist, zerlege ich die erste:

96^10 = (2*48)^10 = 2^10*48^10

48^23 kann ich wie folgt umformen:

48^23 = 48^10*48^13

Da 2^10 deutlich kleiner als 48^13 ist, ist nun wirklich offensichtlich.

Nun will ich noch ausrechnen, wieviele Zeichen mehr man braucht, um mit einfacheren Worten auf die gleiche Sicherheit zu kommen. Ich bleibe bei der Ausgangsbasis von 10 Zeichen.

2^10 = 1024. Ergo muss 48^n > 1024 sein, damit ein n Zeichen längeres Passwort sicherer ist. 48^1 = 48, ein Zeichen reicht also nicht. Aber schon 48^2 = 2304, also ist schon ein 12-stelligen Passwort sicherer.

Wenn ihr also auf Nummer sicher bei euren Passwörtern gehen wollt, wählt sie so lang wie möglich. Wenn ihr ein besseres Gefühlt habt, könnt ihr auch ein paar Zahlen oder Sonderzeichen einfügen, vor allem, wenn gar nicht so viele Zeichen möglich sind. Ansonsten wählt möglichst lang und trotzdem gut zu merken, ohne den Namen des Benutzers zu dem Passwort zu verwenden.

Dazu passend hab ich auch einen xkcd. :-)

-------  tl;dr -------
Ein Passwort sollte besser lang und leicht zu merken als kurz und schwer zu merken sein.

4 Kommentare:

Anonym hat gesagt…

Tippfehler bei
"Da 2^10 deutlich kleiner als 28^13 ist, ist nun wirklich offensichtlich."

Es muss 48^13 heißen!
Ansonsten brauchte ich zwar 2 Versuche, aber bin bei deinem Beispiel durchgestiegen, und hab an den Beispielrechnungen sonst nix zu meckern :-)

Leome hat gesagt…

Lieber Unbekannter, ich danke dir für den Hinweis und habe die Zahl gleich korrigiert. Und ich freue mich, dass es jemand nachgerechnet hat. :-D

Naztiva hat gesagt…

Die meisten Passwörter werden doch eh "geknackt" weil sie blöder weise auf anderen unsicheren webseiten genutzt werden bzw. kein wert auf Updates für Browser, Flashplayer & Co. gelegt wird. Der Aufwand ein Passwort richtig mit Bots ect. zu knacken wird sich bei einen normalen WoW Account kaum lohnen.

Leome hat gesagt…

Mag sein, dass das die meisten sind, aber das hast du selber in der Hand. Die Suchroutinen aber nicht und es gibt sie. Gmx wurde vor kurzen von sowas angegriffen und mein eigenes fünfstelligen Passwort geknackt. Daraus habe ich gelernt.

Wenn es sich bei Email-Accounts lohnt, warum dann nicht bei WoW?

Wobei ich bei WoW eh den Authenticator zusätzlich empfehle. Kostet nicht viel und ist vielleicht nicht vollständig sicher, aber ganz bestimmt sicherer.