Brute-Force-Attacke und Passwortlänge

Ein Passwort ist wohl die verbreitetste Methode, um Zugangsdaten aller Art (Persönliche Daten, Bankgeheimnisse, betriebliche Informationen) vor dem Zugriff Dritter zu schützen. Der Nutzer wird dazu aufgefordert, eine festgelegte Zeichenfolge einzugeben, meist in Verbindung mit einem Benutzernamen.

Wie sicher ein Passwort ist, hängt zum einen von der Passwortlänge ab. Viel wichtiger sind jedoch die benutzten Zeichen (Buchstaben in Groß.- und Kleinschrift, Zahlen und Sonderzeichen).

Angenommen, ein Brute-Force-Algorithmus soll ein 6 Zeichen langes Passwort knacken, und es ist bekannt, dass das Passwort lediglich aus den Ziffern 0–9 besteht. Dann gibt es 10 mögliche Ziffern hoch 6=1.000.000 Möglichkeiten, die der Algorithmus maximal ausprobieren muss.

Das klingt viel, ist es aber nicht! Heutige Rechner (2.480.000.000 Keys/Sek.) gelangen bei Setzung der richtigen Parameter innerhalb von unter einer Sekunde an das Passwort.

Nimmt man jetzt noch Groß- und Kleinbuchstaben hinzu, so müsste der Algorithmus schon maximal 62 mögliche Zeichen hoch 6 = 56.800.235.584 Kombinationen durchprobieren.

So kann man die Zahl noch weiter erhöhen, indem man noch Sonderzeichen hinzunimmt und/oder die Länge des Passwortes erweitert (Vergrößerung des Exponenten), was zu immensen Aufwandsunterschieden führt.

An einem praktischen Beispiel soll dieser Sachverhalt noch mal verdeutlicht werden: Eine Brute-Force-Software benötigt auf einem handelsüblichen Computer, für alle Kombinationen (A-Z, a-z, 0–9, Sonderzeichen) eines 8-Zeichen-Passwortes, voraussichtlich mehr als 33,7 Tage. Erhöht man die Anzahl der Zeichen auf 10, so werden bereits mehr als 861,9 Jahre benötigt…

Eine andere Methode neben dem Brute-Force-Algorithmus ist z. B. das Arbeiten mit Wortlisten. Eine Wörterbuch-Attacke ist die einfachste und schnellste Art, ein Passwort erfolgreich zu erraten. Bei einer Wörterbuch -Attacke werden nicht einfach sämtliche Zeichenkombinationen durchprobiert. Es werden gezielt häufig verwendete Kennwörter nacheinander getestet.

Bei gut gewählten und langen Passwörtern, wird eine Wörterbuch-Attacke schnell an seine Grenzen stoßen. Einfache oder allgemein bekannte Zeichenfolgen aller Art sollten also vermieden werden, seien es Namen, Geburtstage, Sprichwörter oder Passwörter, die nur aus einem Buchstaben bestehen (“aaaaa”).

Natürlich kann man von kaum jemanden verlangen, sich zig kryptische Passwörter zu merken. Die Suche nach dem “perfekten Passwort” gerät hier also zur Gratwanderung.

Gute „Passwort-Manager“ wie KeePass bieten einen optimalen Schutz und Übersicht für alle schützenswerten Zugangsdaten. Die Passwörter werden mit dem AES- oder dem Twofish-Algorithmus geschützt. AES und Twofish gelten als sehr sicher.

Für den Zugriff auf die gespeicherten Passwörter, muss ein Masterpasswort angelegt werden.

https://www.rene-hifinger.de/ - https://twitter.com/rene_hif

IT-Sicherheitsexperte & Softwareentwickler - Mitbegründer der Initiative bleib-Virenfrei.

IT-Sicherheitsexperte & Softwareentwickler - Mitbegründer der Initiative bleib-Virenfrei.