News 09.02.2015, 13:27 Uhr

Wie sicher ist Ihr Passwort?

Finden Sie heraus, wie lange ein durchschnittlicher PC benötigt, um Ihr Passwort zu knacken.
Dass «12345» ein schlechtes Passwort ist, dürfte mittlerweile bekannt sein. Doch wie gut ist Ihr Passwort? Auf der Webseite howsecureismypassword.net können Sie herausfinden, wie lange ein PC braucht, um Ihr Passwort zu knacken. Die Seite ist verschlüsselt und übermittelt keine eingegebenen Passwörter.
«1234» ist nicht besonders sicher
Dazu berechnet die Seite die Länge des Passworts und die Anzahl möglicher Kombinationen. Die zweite Zahl setzt sich jeweils aus den Möglichkeiten bestimmter Zeichensätze zusammen. Verwenden Sie also nur Zahlen, sind nur gerade zehn Zeichen möglich. Bei einer Passwortlänge von vier Zeichen gibt es rund 10'000 mögliche Kombinationen. Der Beispielrechner in diesem Test rät 4 Milliarden Passwörter pro Sekunde.
Komplexe Zeichen erhöhen die nötigen Berechnungen. Das Passwort «As5!£» enthält für den Rechner 171 mögliche Zeichen (Grossbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen und spezielle Sonderzeichen) und 146 Milliarden mögliche Kombinationen. Dennoch braucht ein PC nur etwa 36 Sekunden, um dieses Passwort zu knacken. Neben der Zeichenvielfalt ist also auch die Länge entscheidend. «akeu» wird beispielsweise fast sofort geknackt. «akeutixldurg» benötigt bereits 276 Tage.
Ein sicheres Passwort mit verschiedenen Sonderzeichen und Zahlen
Ein dritter Faktor ist die Bekanntheit. «Passwo» ist beispielsweise sicherer als «Password», da es in keinem Wörterbuch steht. Da beide Passwörter schlecht sind, ist der Unterschied eher klein. «Passwo» wird in 0,08 Sekunden geknackt, «Password» sogar ohne jegliche Verzögerung.
Ideal ist also eine Kombination aus allen möglichen Zeichentypen mit mehr als 12 Zeichen. Merken kann man sich diese Passwörter am einfachsten mit Merksprüchen wie dem Monty-Python-Witz «Wen ist das Nunstuck geht und Slotermeyer? Ja, Bayerhund das oder die Flipperwaldt gespuhrt» für das Passwort «WidNguS?J,BdodFg». Das sind drei Billionen Jahre Berechnungen für den PC.
Natürlich sollte das Passwort für jede Webseite unterschiedlich sein. Dazu verwenden Sie am besten ein System. Beispielsweise eine Zeichenfolge, die im Zusammenhang mit der Webseite steht. Der Zusammenhang bleibt gleich, die Zeichenfolge passt sich dem Dienst an. Eine weitere Möglichkeit ist das Verwenden von einem Passwort-Manager. Weitere Kniffe zu sicheren Passwörtern finden Sie hier.


Kommentare

Avatar
chree-gu
10.02.2015
Schützen, was schützenswert ist Es macht keinen Sinn jedes Newsletterkonto usw mit einem sicheren Passwort zu sichern. Der Mensch ist nun mal nicht fähig sich 100 Passwörter zu merken und diese immer noch all paar Monate zu ändern. Daher besser sichere Passwörter für wichtige Konten wie Hauptemail, e-banking usw benutzen und für andere Sachen (wie zum Bsp. PcTipp usw) einfache Passwörter. Es spricht nichts gegen "123456" solange kein persönlicher Schaden entsteht, sollte das Konto "gehackt" werden.

Avatar
PC-John
10.02.2015
Es wird da immer wieder Werbung gemacht mit sog. Passwort-Tresoren, so weit, so gut. Wer aber bestätigt wirklich, dass ein solcher garantiert keine Backdoor-Möglichkeit besitzt? Selbst bei Open-Source Konstrukten, welche die unabhängige Prüfung des Source-Codes ermöglichen würde, kann das angebotene Kompilat doch wieder ein Leck aufweisen, weil irgendeine Organisation hinterrücks das betreffende .exe ausgetauscht hat. Natürlich gibt das entsprechenden Aufwand, aber für Regierungsstellen ist grundsätzlich nichts zu teuer. Diese Betrachtungsmöglichkeit habe ich im Laufe der Zeit schon in verschiedenen Foren mal kundgetan, bislang hat sich aber noch niemand ernsthaft mit diesem Gedankenspiel befasst. PC-John

Avatar
Wotan
11.02.2015
Interessanter wäre es, wenn der Zugang nach z.b fünf Fehleingaben für eine gewisse Zeit gesperrt würde, ähnlich wie bei Kartenterminals oder SIM-Karten. Dann wäre es egal, wie viel Millionen Wörter der Rechner in einer Sekunde testen könnte.

Avatar
Telaran
11.02.2015
Es spricht nichts gegen "123456" solange kein persönlicher Schaden entsteht, sollte das Konto "gehackt" werden.Das Problem ist doch heutzutage "wo entsteht kein persönlicher Schaden"? In Zeiten, wo selbst Vermieter via Google einen "Persönlichkeitscheck" machen, können auch unbedeutende Dienste plötzlich für Folgeprobleme sorgen. Weiter werden immer mehr Daten gesammelt und immer mehr Datenlecks werden bekannt. Also selbst wenn du ein sicheres Passwort bei einem "wichtigen und vertrauenswürdigen" Dienst verwendest, kann es durchaus sein, dass du dieses wieder ändern musst, weil ein Datenleck stattfand. Es wird da immer wieder Werbung gemacht mit sog. Passwort-Tresoren, so weit, so gut. Wer aber bestätigt wirklich, dass ein solcher garantiert keine Backdoor-Möglichkeit besitzt?Diese Bedenken sind verständlich und bei Sicherheitsexperten auch immer wieder ein Thema. Die selbe Ungewissheit hatte man auch lange Zeit mit Truecrypt oder anderen Verschlüsselungen/Diensten. Diese Betrachtungsmöglichkeit habe ich im Laufe der Zeit schon in verschiedenen Foren mal kundgetan, bislang hat sich aber noch niemand ernsthaft mit diesem Gedankenspiel befasst.Was meinst du mit "ernsthaft mit diesem Gedankenspiel befasst"? Eine Lösung gibt es leider nicht zu dem Problem. Es gibt diverse Lösungen und viele davon sind OpenSource. Aber wie du selber festgestellt hast, sind eben viele Lösungen "kleine" Projekte, die weder ein regelmässiges Audit machen, noch genug Fachwissen zur Hand haben um eine sehr hohe Sicherheit zu gewährleisten. Erschwerend kommt dann hinzu, dass sehr gute Features in Produkt A sind, aber im Produkt B fehlen oder dass die Produkte sich anfühlen wie Win 3.11. Ich selber bin dabei Schrittweise auf Einweg-Passwörter (für jeden Dienst ein eigenes 12-16 Stelliges PW) zu wechseln. Zumindest bei den Diensten wo das geht. Dafür verwende ich nun einen Online-Dienst (leider). Nach einer Evaluierung hatte mich der Dienst einfach am meisten überzeugt, weil ich nicht Stunden lang zuerst alles einrichten, konfigurieren und installieren muss (weil es auf allen Browser inkl. Opera 12 und Mobilegeräten funktioniert). Weiterer Punkt war die Tatsache, dass ich einen Export machen kann (falls ich entweder eine eigene Software-Lösung inkl. Mobile App schreibe oder doch ein gutes anderes Produkt auf dem Markt erscheint). Interessanter wäre es, wenn der Zugang nach z.b fünf Fehleingaben für eine gewisse Zeit gesperrt würde. Dann wäre es egal, wie viel Millionen Wörter der Rechner in einer Sekunde testen könnte.Viele Dienste haben bereits eine solche Sperre. Hier ist aber das Problem, dass viele nur 10-15 Minuten haben (da wären 1-2h effektiver) und die wenigsten schicken eine E-Mail an den Kunden mit dem Hinweis dazu. Selbst auf einer meiner Joomla Seiten gab es in den letzten 7 Tagen 300 Login-Versuche. Und das obwohl ich nach 3 Fehlschlägen für mehrere Tagen die IP Sperre. Fazit Das Problem mit Sicherheit bleibt aber bestehen: