Sichere Passwörter

[CarlosCM]

Da uns oft gefragt wird, wie sicher eine ZIP Datei, einen CD-Kopierschutz oder sonstige Passwörtersysteme sind, hier für alle mal eine "pi mal Daumen" Berechnung.

Sagen wir, wir hätten eine ZIP Datei mit einen Passwortschutz.
Sollte jemand böshaftig diese Datei öffnen wollen, stehen ihm mehrere Programme zur Verfügung. Alle diese Programme haben einen "Brute Force" Mechanismus, dh sie versuchen so lange Passwörter zu raten, bis eins davon das richtige ist.

Hierzu gibt es zwei Methoden:
* die erste (und schnellste) sind Programme, die mit Hilfe eines Wörterbuchs ein bekanntes Wort nach dem anderen ausprobieren. Wörter wie Gott, Teufel, Erde, Passwort, Ich usw werden sehr häufig verwendet.
* die zweite (und sicherste) Methode wird von Programmen benuzt, die eine Buchstabe nach der anderen ausprobieren. Sie fangen also bei "A" an und gehen bis "ZZZZZZZZZZZZZZZZZZZZZZZZ..." usw. Nach diesen System sind, mit genug Zeit, alle Passwörter zu knacken.

Wegen dieser Tatsache, das einzige vernünftige Schutz sind Systeme, die nach 3 mal falsch eingetipptes Passwort sich selbt blockieren. Geldautomaten und Handys sind hierbei die bekanntesten Beispielen.

Da die meisten Dateien solch ein System nicht unterstützen, sind früher oder später alle Passwörter knackbar. Trotzdem, ein Passwort das aus eine wirkürliche Zahlen- und Buchstabenkombination besteht würde länger brauchen, um geknackt zu werden, als ein längeres, dafür bekanntes Wort. Je länger diese Zahlenkombination ist, umso länger wird das Knackprogramm brauchen, das Passwort rauszufinden.

Sagen wir, das Programm braucht 1 Milisekunde pro Buchstabe. So lange wurde er dann für die folgende Passwörter brauchen:
Z = 40 Milisekunden (alle Buchstaben + alle Zahlen + alle Sonderzeichen)
ZZ = 1600 Milisekunden = 1,6 Sekunden
ZZZ = 64 Sekunden
ZZZZ = 2560 Sekunden = 42 Minuten
ZZZZZ = 1706 Minuten = 28 Stunden
ZZZZZZ = 1137 Stunden = 47 Tage
ZZZZZZZ = 1896 Tage = 5,3 Jahre
ZZZZZZZZ = 213 Jahre

Dieses Programm wurde also 213 Jahren brauchen, um ein 8-stelliges Passwort knacken zu können.

Sagen wir, wir hätten ein sehr schnelles Programm mit einem Cluster von Rechnern. Dieser wurde ein 3-stelliges Passwort in 1 milisekunde knacken:

ZZZ = 1 Milisekunde
ZZZZ = 40 Milisekunden
ZZZZZ = 1600 Milisekunden = 1,6 Sekunden
ZZZZZZ = 64 Sekunden
ZZZZZZZ = 2560 Sekunden = 42 Minuten
ZZZZZZZZ = 1706 Minuten = 28 Stunden
ZZZZZZZZZ = 1137 Stunden = 47 Tage
ZZZZZZZZZZ = 1896 Tage = 5,3 Jahre
ZZZZZZZZZZZ = 213 Jahre

Hierfür würde ein 11-stelliges Passwort nötig sein, um dieses Programm und die Rechnern für zwei Jahrhunderte zu beschäftigen.

Sichert also eure Daten mit langen Passwörter, wird keiner die Zeit finden, diese zu knacken. Benutz dafür Namen, die euch schnell wieder einfallen, wie eurer Schule (Herrmann_Hesse_Gymnasium = 24 Buchstaben) oder Arbeitsplatz, der Name euren Strassen (Robert_Koch_Allee = 17 Buchstaben) oder wenn ich kein Job habt und unter einer Brücke lebt, einfach euren Namen und Geburstdatum (Carlos_22_Juli_1978 = 19 Buchstaben).

[hasibuzi]

Öhm, ich würde davon abraten irgendwelche Namen, Geburtstage oder ähnliches als Passwort zu verwenden. Die Zeiten die Carlos erwähnt gelten nur, wenn man das Passwort per "brute force" also durch Ausprobieren aller möglichen Buchstaben/Zahlenkombinationen knacken will. Wenn jemand deinen Namen kennt geht das dann natürlich viel schneller. Normalerweise verwendet ein PW-Knacker lange Listen mit Namen, Orten ect. das führt dann schon mal schneller ans Ziel.

Am sichersten ist es, man denkt sich einen Satz aus, und nimmt von dem die Anfangsbuchstaben. Wenn man dann noch jeden 2. Buchstaben groß schreibt und eventuell sogar noch einige Buchstaben durch Zahlen ersetzt ist man auf der sicherern Seite.

Also vielleicht: "Ich mag ganz doll sichere Passwörter" wir dann zum

"1mGdSp" Passwort. Und da stimmt dann wieder Carlos Rechnung.