Zusammenhang von Brute-Force-Attacken und Passwortlängen

Brute-Force-Attacken sind Versuche eines Computer-Programms, das Passwort eines anderen Programms zu knacken, indem alle möglichen Kombinationen von Buchstaben und Ziffern ausprobiert werden. Daher ist ersichtlich, dass die Länge eines Passworts massgeblich für die Sicherheit von Daten wichtig ist.

Ein Beispiel soll dies belegen, bei dem die Rechnerwerte für das Knacken des RC5-72 Codes herangezogen werden (» www.distributed.net/RC5). Die Firma RSA Labs (der "Erfinder" der RC5-72-Verschlüsselung) hat diesen Wettbewerb ausgeschrieben, bei dem nach einem bestimmten Schlüssel gesucht werden muss, um eine "geheime" Nachricht zu entschlüsseln. Insgesamt gibt es hierfür 4.722.366.482.869.645.213.696 mögliche Kombinationen. Dafür verwenden die Tester ein spezielles auf dieses Problem abgestimmtes Programm. Mit diesem Versuch soll gezeigt werden, dass kein Code vor Brute-Force-Attacken sicher ist.

Laut der aktuellen Übersicht von Rechnergeschwindigkeiten unter » http://cgi.distributed.net/speed/ bzw. » www.orange.co.jp/~masaki/rc572/fratee.php steht fest, dass der derzeit (27.10.2016) schnellste Einzel-PC mit der speziellen Software ca. 2.147.483.600 (in Worten: knapp 2,15 Milliarden) Schlüssel in der Sekunde generieren kann.

Jetzt würden Sie z.B. ein Passwort wählen, das nur aus sieben Kleinbuchstaben besteht.
Bei einem so kurzen Passwort sind rein rechnerisch 8.031.810.176 (in Worten: 8 Milliarden) verschiedene Buchstabenkombinationen möglich. Klingt viel! Aber mit dem o.g. Rechner würde man nicht einmal 4 Sekunden benötigen, um alle Kombinationen auszuprobieren.

Glauben Sie nicht? Nun, lassen Sie uns ein wenig rechnen:
Es gibt 26 verschiedene Kleinbuchstaben (ohne ä.ö,ü,ß). Bei einem Passwort, das aus sieben Buchstaben besteht, sind somit die Kombinationen von aaaaaaa bis zzzzzzz möglich.

Die mathematische Regel zur Berechnung der Kombinationsmöglichkeiten lautet:

Kombinationen = Zeichenanzahl Passwortlänge
Kombinationen = 26 7
              = 26 * 26 * 26 * 26 * 26 * 26 * 26
Damit ergibt sich eine Zeit von:
              = 8.031.810.176 / 2.147.483.600 Keys/sec
              = 3,74 Sekunden!

Nun erhöhen wir die Länge des Passworts nur um ein Zeichen:

Kombinationen = 26 8
              = 26 * 26 * 26 * 26 * 26 * 26 * 26 * 26
Damit ergibt sich eine Zeit von:
              = 208.827.064.576 (in Worten: 208 Milliarden, 827 Millionen ...) / 2.147.483.600 Keys/sec
              = 97 Sekunden
              = mehr als 1,5 Minuten!

Sie sehen also, die Erweiterung des Passworts um ein Zeichen verlängert die Zeit, in welcher der Rechner die Kombinationen ausprobiert, um ein 26 faches! Je länger das Passwort, desto länger dauert eine Brute-Force-Attacke und desto schwieriger ist es einen Code zu knacken.

 

 

Es folgt eine per JavaScript generierte Übersicht von Passwortlängen und deren Auswirkungen auf die Entschlüsselungszeit.

Nutzung von Ziffern (10 verschiedene Zeichen)

Rechengeschwindigkeit des Rechners (  Schlüssel pro Sekunde (Keys/sec))

 

 

Nutzung von Kleinbuchstaben (26 verschiedene Zeichen)

Rechengeschwindigkeit des Rechners (  Schlüssel pro Sekunde (Keys/sec))

 

 

Nutzung von Groß- und Kleinbuchstaben (52 verschiedene Zeichen)

Da viele Programme die Groß- und Kleinschreibung von Passwörtern unterscheiden, stellt die Mischung von Groß- und Kleinbuchstaben eine weitaus optimalere Variante dar. Hierbei gibt es 52 verschiedene Buchstaben, die getestet werden müssen!

Nehmen wir wieder das Beispiel mit einem 7stelligen Passwort:

Kombinationen = 52 7
              = 52 * 52 * 52 * 52 * 52 * 52 * 52
Damit ergibt sich eine Zeit von:
              = 1.028.071.702.528 / 2.147.483.600 Keys/sec
              = 479 Sekunden
              = knapp 8 Minuten!

Nun erhöhen wir die Länge des Passworts nur um ein Zeichen:

Kombinationen = 52 8
              = 52 * 52 * 52 * 52 * 52 * 52 * 52 * 52
Damit ergibt sich eine Zeit von:
              = 53.459.728.531.456 (in Worten: 53 Billionen, 459 Milliarden ...) / 2.147.483.600 Keys/sec
              = 24.894 Sekunden
              = 415 Minuten
              = 6,92 Stunden!

Rechengeschwindigkeit des Rechners (  Schlüssel pro Sekunde (Keys/sec))

 

 

Nutzung von Groß- Kleinbuchstaben & Ziffern (62 verschiedene Zeichen)

Dass sich mit der Nutzung zusätzlicher Ziffern die Zeichenkombinationen weiter erhöhen, brauche ich Ihnen sicherlich nicht weiter zu sagen. Die nachfolgende Tabelle sollte Ihnen eine optimale Übersicht bieten.

Rechengeschwindigkeit des Rechners (  Schlüssel pro Sekunde (Keys/sec))

 

 

Das optimale Passwort

Um es vorweg zu nehmen, ein optimales Passwort gibt es nicht. Da bei einer Brute-Force-Attacke viel Zufall im Spiel ist, wann eine bestimmte Kombination ausprobiert wird, gibt es keine 100%ige Sicherheit! Schon der erste Versuch könnte ein Treffer sein. Aber die Chancen stehen dabei bei 1:Kombinationsmöglichkeiten. Bei einem Passwort von ca. 13 Zeichen Länge ist die Ziehung von 6 Richtigen mit Superzahl bei der wöchentlichen Lotto-Sendung dagegen eine fast 100%ige Sache. Aber wann hatten Sie das letzte mal den Jackpot geknackt? Vermutlich noch nie!

Dies bedeutet, je höher die Passwortlänge, desto geringer die Chance, ein Passwort zu entschlüsseln!

 

Welche minimale Länge ist ausreichend?

Schwer zu sagen: Meine Meinung ist, und darüber lässt sich streiten, dass eine Passwortlänge dann ausreichend ist, wenn das Entschlüsseln länger als die durchschnittliche Lebensdauer eines Menschen dauern würde. Damit der Zufall des Auffindens des passenden Passworts so gering wie möglich ist, sollte man diesen Wert zusätzlich mit dem Wert 1.000 multiplizieren.

Ein Blick in die Tabelle verrät da schon einiges: Um ein 13-stelliges Passwort zu knacken - vorausgesetzt Sie nutzen ein Passwort, das aus Ziffern, Klein- und Großbuchstaben besteht - bräuchte man eine prognostizierte Zeit von 2.953.626 Jahren. Dieser Wert dividiert durch 1.000 ergibt knapp 2.954 Jahre und überschreitet somit bei weitem die durchschnittliche Lebensdauer eines Menschen ;-)

 

 

Menschen und Passwörter

Manche Menschen machen es anderen Leuten recht einfach. Wer den Namen seines Kindes, seiner Frau, das Datum seines Hochzeitstages oder den Geburtstag der Ex-Freundin als Passwort benutzt, sollte sich nicht wundern, wenn ein anderer sich in wenigen Sekunden Zutritt zu wichtigen Dokumenten verschafft.

Ein Passwort wie "Geboren1980inMinden" ist besser, um sich gegen eine Brute-Force Attacke zu schützen. Ein Mensch, könnte - rein theoretisch - auch dieses Passwort erraten, da es sich hierbei um eine Zusammenstellung von Wörtern und realen Informationen handelt.

Daher wäre es sicherer, ein Passwort zu bilden, das keinen Sinn ergibt, sich aber vom Anwender einfach merken lässt. Wie geht so etwas?

Sicher kennen Sie einen Satz aus einem Film oder aus Ihrem täglichen Leben, den Sie in- und auswendig kennen, so dass Sie ihn immer und immer wieder aufsagen könnten. Nehmen Sie nun von jedem Wort des Satzes den ersten Buchstaben. Achten Sie dabei auch auf die Groß- und Kleinschreibung.

Ein kleines Beispiel von mir. Mein Lieblingssatz ist die Eselsbrücke, mit der man sich die Reihenfolge unserer neun Planeten merken kann (auch wenn es mittlerweile nur noch acht Planeten sind, ändert es nichts an meiner damals gelernten Eselsbrücke):

"Mein Vater erklärt mir jeden Sonntag unsere neun Planeten."

Die Anfangsbuchstaben jedes Wortes bedeuten: Merkur, Venus, Erde, Mars, Jupiter, Saturn, Uranus, Neptun, Pluto (seit August 2006 definitionsgemäß » nicht mehr als Planet anerkannt). Wieso sollte ich dies nicht als Passwort nutzen können?

Mein Passwort könnte also lauten: MVemjSunP

Gelesen ergibt es keinen Sinn, lässt sich aber von mir sehr einfach merken. Zudem besitzt es eine Länge von 9 Zeichen aus Groß- und Kleinbuchstaben. Man bräuchte also mit dem derzeit schnellsten PC und der auf das Problem ausgrichteten Software etwas mehr als zwei Wochen, um alle Möglichkeiten durchzuspielen.

Noch sicherer ist die Einbindung von Ziffern. Ich könnte beispielsweise das Jahr einsetzen, in dem ich Astronomie in der Schule als Unterrichtsfach hatte: 1996. Da ich in dem Schulfach die Note 4 erhalten habe, teile ich die Zahl in 2 Teile und füge Sie an die 2. Stelle von vorn und von hinten in das Passwort ein.

So und nun versuchen Sie einmal eine Logik in das 14 stelliges Passwort zu bekommen: MV19emjSu96nP
Um Brute-Force-Attacken bräuchte ich mir keine Sorgen mehr machen. So lange lebt keiner, dank dem Himmelssystem ;-)

Nehmen Sie sich also ein wenig Zeit, über das Zugangspasswort Ihrer Datenbank ,und sonstige anmeldepflichtige Seiten nachzudenken. Es lohnt sich. Denn eigentlich brauchen Sie sich nur dieses eine Passwort zu merken. Die anderen merkt sich die Software.

Aber Achtung!

Sie können sich das schönste und längste Passwort aussuchen. Wenn Sie es auch nur einer Person verraten, ist es nicht mehr sicher. Seien Sie also tapfer und behalten Sie wenigstens das eine mal etwas für sich ;-)


Deprecated: Directive 'allow_url_include' is deprecated in Unknown on line 0