Aktuell schreiben die gängigen Passwortrichtlinien zumeist ein 8-stelliges Passwort mit Groß-/Kleinschreibung, Zahlen und Sonderzeichen vor, das keine zusammenhängende Worte oder Geburtsdaten enthalten darf. Die User sind gezwungen, sich immer komplexere Passwörter zu merken, nur um sie dann alle 3 Monate wieder ändern zu müssen.
Hier stellt sich uns die Frage: Ist ein Passwort sicher, nur weil es komplex ist?
Würden wir hier nur das Passwort an sich betrachten, wäre es vielleicht so. Betrachten wir hingegen das Passwort samt seiner Usability für den Benutzer, kann die Frage ganz klar mit „nein“ beantwortet werden.
Wieso ein komplexes Passwort nicht auch automatisch ein sicheres Passwort ist? Schauen wir uns das einmal genauer an. Versetzen Sie sich in die Lage eines Benutzers, der nur mäßig über IT-Security Bescheid weiß. Es gilt nun also, ein Passwort zu wählen, welches aus Zahlen, Sonderzeichen und Klein-/Großbuchstaben besteht, 8 Zeichen lang sein muss und keine Wörter aus dem gängigen Sprachgebrauch, aufeinanderfolgende Zahlen oder Geburtsdaten enthalten darf. Dieses Passwort sollten Sie sich aber immer noch merken können, da Sie es mehrmals am Tag verwenden müssen.
Nehmen wir nun weiter an, Sie haben ein komplexes Passwort gewählt, das Sie sich auch merken können. Nun tritt aber der Fall auf, dass Sie es nach 3 Monaten durch ein neues Passwort ersetzen müssen – was tun Sie? Wählen Sie ein völlig neues, komplexes Passwort, das denselben Richtlinien entspricht oder gehen Sie den einfachen Weg und erweitern Ihr „altes“ Passwort durch ein zusätzliches Zeichen? Und was würden Sie tun, wenn Sie ein so komplexes Passwort gewählt haben, dass Sie es sich spontan nicht merken können? Schreiben Sie es sich dann auf? Hand aufs Herz – klebt Ihr hochkomplexes Passwort nicht vielleicht mit einem Post-it unter der Tastatur oder gar am Bildschirm?
Size matters.
Nehmen wir nun ein 8-stelliges Passwort, das den aktuellen Richtlinien entspricht – hier gibt es 2.724.905.250.390.625 mögliche Kombinationen aus Klein-/Großbuchstaben, Zahlen und Sonderzeichen. Die Zahl klingt erstmal sehr groß und sehr sicher. Wenn man nun aber hört, dass ein PC mit ungefähr 2.147.483.600 Zeichen pro Sekunde (Keys/sec) rechnet, ergibt sich daraus, dass das Passwort spätestens nach 1.268.883 Sekunden geknackt ist – umgerechnet sind das in etwa 14 Tage. 14 Tage, nach denen sowohl das hochkomplexe Passwort als auch das einfache Passwort mit 8 Stellen bereits geknackt sind.
Zum Vergleich: Für ein 10-stelliges Passwort benötigt ein Hacker in etwa 106.107 Tage – das sind umgerechnet 290 Jahre. Und das nur, weil wir unser Passwort um 2 Zeichen verlängert haben.
Diese Hack-Dauer betrifft das Hacken mit einem einzigen PC. Schließt man hier nun mehrere PCs zu einem BOT-Netzwerk zusammen, erhöht sich natürlich auch die Geschwindigkeit der Entschlüsselung.
Was bedeutet das nun für unsere Passwortrichtlinien?
An einem langen Passwort beißen sich Hacker deutlich länger die Zähne aus als an einem komplexen, kurzen Passwort. Denn jede Stelle, die das Passwort länger macht, erhöht die möglichen Kombinationen um ein Vielfaches.
Es gilt also der Grundsatz: Je länger das Passwort, desto besser. Kombiniert man diesen Grundsatz mit einer Liste der gesperrten und bereits geknackten Passwörter, so sollten unsere Daten auch bei einem nicht so komplexen Passwort sicher sein.
Zusätzlich kann man außerdem die Länge der Passwörter an die unterschiedlichen User-Kategorien anpassen. So reicht für einen User mit nur geringfügigen Berechtigungen z. B. ein 10-stelliges Passwort. Für einen User mit Standard-Berechtigungen ist bereits ein 12-stelliges Passwort empfehlenswert. Je höher die Berechtigungen der User werden, desto länger sollte auch das Passwort sein. So empfiehlt sich z. B. für einen Service-Account ein 32-stelliges Passwort.
Weiterhin wäre es sinnvoll, ein Konto zu sperren, wenn das Passwort bereits 15-mal hintereinander falsch eingegeben wurde.
Kurz und knapp zusammengefasst sehen die Empfehlungen also wie folgt aus:
User-Kategorie | Max. Alter | Min. Länge | Komplexität | Sperren nach |
Benutzer mit geringen Berechtigungen | - | 10 Zeichen | Nein | 15 Fehlversuchen |
Benutzer mit Standard-Berechtigungen | - | 12 Zeichen | Nein | 15 Fehlversuchen |
Benutzer mit hohen Berechtigungen | - | 16 Zeichen | Nein | 15 Fehlversuchen |
Benutzerkonto eines Dienstes | - | 32 Zeichen | Nein | 20 Fehlversuchen |
Administrator-Benutzerkonto | - | 20 Zeichen | Nein | 15 Fehlversuchen |
Die eingangs gestellte Frage können wir also mit einem klaren „nein“ beantworten. Die gängigen Passwortrichtlinien sind zu anfällig und sollten dringend überdacht bzw. überarbeitet werden.