Wie ein Passwort nicht nur stark, sondern auch sicher ist
M@q$P3LH, 12345 oder einfach nur "Ineinemlochimbodendalebteeinhobbit"? Wann ist ein Passwort wirklich sicher? Ein mittlerweile fast 20 Jahre altes Regelwerk zeigt, wie man starke Passwörter formuliert. Aber ein starkes Passwort ist nicht zwingend auch ein gutes.
Allein das Rezept klingt schon sehr kompliziert. Gross und klein geschrieben soll es sein, mit reichlich Sonderzeichen und Zahlen dazwischen gestreut. Möglichst lang und möglichst willkürlich soll die Aneinanderreihung von Symbolen werden und möglichst oft soll man sie auch wieder ändern. Ein richtig starkes Passwort zu setzen, ist nicht so einfach; sich daran zu erinnern, ist noch viel schwieriger.
Die Regeln für starke Passwörter gehen auf Bill Burr zurück. Burr, inzwischen pensioniert, war früher für das National Institute of Standards and Technology (NIST) tätig. Vor fast 20 Jahren erhielt er den Auftrag, Regeln für Regierungsangestellte zu formulieren, die die Sicherheit erhöhen. Seitdem gilt er als Vater des starken Passworts.
In einem Dokument namens "Electronic Authentication Guideline - Recommendations of NIST" schlug Burr damals folgende Regeln vor:
-
Das Passwort soll aus mindestens 8 Zeichen bestehen.
-
Es muss mindestens einen Grossbuchstaben und einen Kleinbuchstaben haben.
-
Zudem muss das Passwort mindestens eine Nummer und ein Sonderzeichen enthalten.
-
Eine Prüfung mit dem Wörterbuch soll zudem ausschliessen, dass es sich dabei um ein häufig vorkommendes Wort handelt.
-
Zudem darf es keine Permutation des Benutzernamens sein.
Diese Regeln dürften wohl auch heute noch jedem bekannt vorkommen. Schliesslich verwenden zahlreiche Webshops, Portale und Dienstleistungen noch immer dieselben Regeln - unverändert. Ob sie diese Regeln auch anwenden, ist aber eine ganz andere Frage. Was das Bewusstsein für Kennwort-Sicherheit angeht, scheint die Internet-Bevölkerung noch Aufholbedarf zu haben, wie etwa die Liste der beliebtesten Passwörter des Jahres 2022 deutlich macht. Das meistgenutzte Passwort war demnach "password", dicht gefolgt von "123456" und dem kaum komplexeren "123456789". Ausserdem verwendet rund ein Drittel der Internet-User auf verschiedenen Plattformen dasselbe Kennwort, wie eine Umfrage des deutschen Digitalverbands Bitkom zeigt. Wer den heutigen Tag zum Anlass nimmt, seine Kennwörter zu überarbeiten, sollte sich an den folgenden Regeln orientieren.
Kritik vom Vater
Aber machen diese Regeln Passwörter wirklich sicherer oder einfach nur komplizierter? Unterdessen wird dieses bekannte Regelwerk längst nicht mehr universell befürwortet. Die wohl überraschendste Kritik kommt ausgerechnet vom Vater des starken Passworts selbst: Bill Burr.
In einem Interview mit dem US-amerikanischen Medienkonzern CBS sagte Burr 2017, dass er es bereue, diese Regeln aufgestellt zu haben. Die Regeln würden doch bloss jeden frustrieren - auch ihn selbst. Und zwar grundlos, denn die Sicherheit wird dadurch nicht zwingend erhöht.
Die eine Seite des Problems ist menschlicher Natur: Weil man sich die komplizierten, zufälligen Ansammlungen von Buchstaben, Zahlen und Sonderzeichen nicht merken kann, schreibt man sich die Passwörter auf. Entweder auf Fresszetteln neben dem Rechner oder in Dokumenten digital auf dem Rechner. So oder so: Was aufgeschrieben wird, kann auch von anderen gelesen werden.
Die andere Seite ist mathematischer Natur. Um ein Passwort zu knacken, nutzt man einen sogenannten Brute-Force-Angriff. Im Wesentlichen werden dabei sämtliche möglichen Kombinationen ausprobiert, bis die richtige gefunden wurde. Daraus folgt: Je mehr mögliche Kombinationen es gibt, desto mehr Zeit braucht man, um das Passwort zu knacken und desto sicherer ist es.
208’827’064'576 Möglichkeiten
Bei einem vierstelligen Passwort, das nur aus den 26 Buchstaben des lateinischen Alphabets besteht - Gross- und Kleinschreibung spielt keine Rolle - gibt es insgesamt 26 mal 26 mal 26 mal 26, also 456'976 mögliche Kombinationen. Ein Computer hätte dieses Passwort wohl in unter einer Sekunde geknackt.
Wenn man Sonderzeichen, Zahlen sowie Gross- und Kleinschreibung hinzuzieht, erhöht sich die Anzahl möglicher Kombinationen auf 95 mal 95 mal 95 mal 95 beziehungsweise 81'450'625 Kombinationen. Aber: Da in der Regel vorgeschrieben wird, dass das Passwort mindestens einen Gross-, einen Kleinbuchstaben, eine Zahl sowie ein Sonderzeichen hat, bleiben effektiv noch 5'353'920 mögliche Passwörter. Auch diese lassen sich daher in weniger als einer Sekunde knacken.
Die Anzahl möglicher Passwörter steigt im Vergleich zur ersten Option um den Faktor 10. Wenn man jedoch bei Buchstaben bleibt und lediglich die Länge des Passworts verdoppelt, hat man 26 mal 26 mal 26 mal 26 mal 26 mal 26 mal 26 mal 26 also über 208 Milliarden Möglichkeiten (208'827'064'576). Das Passwort wird folglich deutlich sicherer, ohne dass sich die Komplexität dabei stark erhöht. Bei so einem Passwort braucht ein Rechner immerhin schon 5 Sekunden, um den Schutz zu durchbrechen.
Länger, nicht komplizierter
Das NIST verabschiedete sich daher mittlerweile von Burrs ursprünglichen Regeln. Dessen Nachfolger, Paul Grassi, erarbeite eine neue Empfehlung - in Zusammenarbeit mit Burr. Sonderzeichen seien nicht nötig. Stattdessen solle man möglichst lange Passwörter oder besser Passwortphrasen verwenden. So könne man sich die Codes viel leichter merken und sie seien auch schwieriger zu knacken, als kürzere, die dafür voller Sonderzeichen seien.
Ganz so einfach ist es aber nun auch wieder nicht. Denn neben der Anzahl möglicher Kombinationen gibt es noch eine weitere Dimension, die bestimmt, wie sicher ein Passwort ist: die Popularität der gewählten Kombination.
Eigentlich sollte ein Brute-Force-Angriff 15 Milliarden Jahre brauchen, um eine Passwortphrase aus 20 Kleinbuchstaben zu überlisten. Schliesslich gibt es mehrere Hundert Trillionen Möglichkeiten. Das spezifische Passwort "maytheforcebewithyou" wird es aber wohl kaum so lange schaffen.
Gegen den Strom schwimmen
Statt alle möglichen Buchstaben- und Zahlenkombinationen zu testen, kann man mit einer Brute-Force-Attacke auch sämtliche Einträge einer zuvor bestimmten Liste ausprobieren. Also etwa eine Liste mit häufigen Passwörtern oder Phrasen - zu denen wohl auch das bekannte Zitat aus den Star-Wars-Filmen gehört. Zudem könnte man so ein Passwort wohl auch einfach erraten, wenn man die dazugehörige Person kennt.
Das Passwort sollte also möglichst einzigartig sein, oder noch besser, gar keine Wörter enthalten. So kann man etwa einen Merkspruch, beispielsweise "Lesen Sie jeden Tag die spannendsten News hier auf IT-Markt.ch", auf die Anfangsbuchstaben "LSJTDSNHAI" reduzieren.
Wenn man ein sicheres Passwort haben will, sollte man sich jedoch einen etwas längeren Merkspruch aussuchen. Ein Passwort aus 10 Buchstaben wird nämlich in unter einer Stunde gehackt. Bei 15 Buchstaben benötigen heutige Rechner allerdings schon rund 1000 Jahre und bei 18 Buchstaben etwa 23 Millionen Jahre.
Wie lange Ihr Passwort einer Brute-Force-Attacke widerstehen kann, zeigt Ihnen diese Tabelle:
(Source: Netzmedien mit Daten von Hive Systems)
Wechseln oder sein lassen?
Und wie oft soll man das Passwort wechseln? Burr schlug damals vor, das Passwort halbjährlich zu wechseln. Aber auch von dieser Idee scheinen zumindest gewisse Experten sich langsam wieder zu verabschieden.
Der sogenannte Weisenrat für Cybersicherheit in Deutschland etwa bezeichnete diese Vorgabe als "problematisch". In einem Bericht aus 2020 heisst es, "es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmässig zu wechseln". Stattdessen solle man nur dann das Passwort ändern, wenn man davon ausgehen muss, dass es in fremde Hände gelangt ist.
Der Weisenrat wurde übrigens 2019 formiert. Darin arbeiten Unternehmen wie Bechtle, Deutsche Telekom, IBM, Deutsche Post und DHL mit wissenschaftlichen Einrichtungen wie verschiedenen Fraunhofer-Instituten sowie öffentlichen Stellen zusammen.
Natürlich bietet aber auch das stärkste Passwort keinen Schutz mehr, wenn man es mit anderen teilt, es sichtbar irgendwo aufschreibt, es auf dem Computer in Klartext speichert oder man auf eine Phishing-E-Mail hereinfällt.