Brute-Force-Attacke und Passwortlänge

Ein Passwort ist wohl die verbreiteste Methode, um Zugangsdaten aller Art (Persönliche Daten, Bankgeheimnisse, betriebliche Informationen) vor dem Zugriff Dritter zu schützen. Der Nutzer wird dazu aufgefordert, eine festgelegte Zeichenfolge einzugeben, meist in Verbindung mit einem Benutzernamen.

Wie sicher ein Passwort ist, hängt zum einen von der Passwortlänge ab. Viel wichtiger sind jedoch die benutzten Zeichen (Buchstaben in Groß.- und Kleinschrift, Zahlen und Sonderzeichen).

Angenommen, ein Brute-Force-Algorithmus soll ein 6 Zeichen langes Passwort knacken, und es ist bekannt, dass das Passwort lediglich aus den Ziffern 0–9 besteht. Dann gibt es 10 mögliche Ziffern hoch 6=1.000.000 Möglichkeiten, die der Algorithmus maximal ausprobieren muss.

Das klingt viel, ist es aber nicht! Heutige Rechner (2.480.000.000 Keys/Sek) gelangen bei Setzung der richtigen Parameter innerhalb von unter einer Sekunde an das Passwort.

Image for post
Image for post

Nimmt man jetzt noch Groß- und Kleinbuchstaben hinzu, so müsste der Algorithmus schon maximal 62 mögliche Zeichen hoch 6 = 56.800.235.584 Kombinationen durchprobieren.

Image for post
Image for post

So kann man die Zahl noch weiter erhöhen, indem man noch Sonderzeichen hinzunimmt und/oder die Länge des Passwortes erweitert (Vergrößerung des Exponenten), was zu immensen Aufwandsunterschieden führt.

An einem praktischen Beispiel soll dieser Sachverhalt nochmal verdeutlicht werden: Eine Brute-Force-Software benötigt auf einem handelsüblichen Computer, für alle Kombinationen (A-Z, a-z, 0–9, Sonderzeichen) eines 8-Zeichen-Passwortes, voraussichtlich mehr als 33,7 Tage. Erhöht man die Anzahl der Zeichen auf 10, so werden bereits mehr als 861,9 Jahre benötigt…

Image for post
Image for post

Eine andere Methode neben dem Brute-Force-Algorithmus ist z.B. das Arbeiten mit Wortlisten. Eine Wörterbuch Attacke ist die einfachste und schnellste Art, ein Passwort erfolgreich zu erraten. Bei einer Wörterbuch Attacke werden nicht einfach sämtliche Zeichenkombinationen durchprobiert. Es werden gezielt häufig verwendete Kennwörter nacheinander getestet.

Bei gut gewählten und langen Passwörtern, wird eine Wörterbuch Attacke schnell an seine Grenzen stoßen. Einfache oder allgemein bekannte Zeichenfolgen aller Art sollten also vermieden werden, seien es Namen, Geburtstage, Sprichwörter oder Passwörter, die nur aus einem Buchstaben bestehen (“aaaaa”).

Natürlich kann man von kaum jemanden verlangen, sich -zig kryptische Passwörter zu merken. Die Suche nach dem “perfekten Passwort” gerät hier also zur Gratwanderung.

Gute „Passwort-Manager“ wie KeePass bieten einen optimalen Schutz und Übersicht für alle schützenswerten Zugangsdaten. Die Passwörter werden mit dem AES- oder dem Twofish-Algorithmus geschützt. AES und Twofish gelten als sehr sicher.

Für den Zugriff auf die gespeicherten Passwörter, muss ein Masterpasswort angelegt werden.

https://www.rene-hifinger.de/ - https://twitter.com/rene_hif

Written by

IT-Sicherheitsexperte & Programmierer - Mitbegründer der Initiative bleib-Virenfrei.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store