Passwort-Check: Wie sicher ist mein Passwort?
Das Passwort wird nicht erfasst oder gespeichert
Ein Computer würde ca. benötigen, um Dein Passwort zu knacken!
Analyse & Erläuterung: Die Berechnung geht von einem Zeichensatz mit 80 möglichen Zeichen aus. Das Passwort enthält insgesamt verschiedene Zeichen . Unter Berücksichtigung der Länge weist das Kennwort eine Entropie (Informationsdichte) von auf.
Dein Passwort im Detail-Check:
k
k
k
k
k
k
k
k
k
k
Wie funktioniert der Passwort-Check?
Der Passwort-Checker berechnet die Zeit, die ein leistungsfähiger Computer benötigen würde, das eingegeben Passwort mit einer sogenannten Brute-Force-Attacke zu knacken.
Bei einer solchen Attacke geht der Computer alle möglichen Zeichen-Kombinationen durch, um das richtige Passwort herauszufinden.
Um ein möglichst realistisches Ergebnis zu erhalten, berücksichtigt das Tool viele verschiedenen Variablen:
Rechenpower
Das Tool geht von 20 Milliarden Kombinationen pro Sekunde aus, die der Computer durchgehen kann, um das Passwort zu knacken.
Zugegeben, das ist ein recht hoher Wert, der nur mit einem professionellen Setup erreicht werden kann. Im Zweifel steht dem Angreifer also etwas weniger Rechenpower zur Verfügung.
Zeichensatz
Die Größe des Zeichensatzes (engl. „character set“) ist entscheidend für die Zeit, die der Computer braucht, um das Passwort zu knacken.
Der Zeichensatz ergibt sich ganz einfach aus den Zeichen, die für das Passwort verwendet werden dürfen (Buchstaben, Zahlen, Sonderzeichen und Umlaute).
Grundsätzlich gilt:
Je größer der Zeichensatz, desto mehr Zeichen muss der Computer für jede einzelne Stelle des Kennworts durchgehen und desto mehr Zeit wird benötigt.
Während Groß- und Kleinbuchstaben sowie Zahlen fast immer zugelassen sind, gibt es bei den erlaubten Sonderzeichen und Umlauten je nach System durchaus große Unterschiede.
Um ein realistisches Ergebnis zu erhalten, haben wir uns für einen durchschnittlich großen Zeichensatz mit 80 Zeichen entschieden (26 Großbuchstaben, 26 Kleinbuchstaben, 10 Zahlen, 18 Sonderzeichen inkl. Umlaute).
In der Praxis kann der zugelassene Zeichensatz kleiner, aber auch deutlich größer sein.
Häufig verwendete Wörter
Darüber hinaus wird berücksichtigt, ob das Passwort häufig verwendete Zeichenfolgen wie z.B. „passwort“ oder bekannte Wörter aus einem Wörterbuch enthält.
Das ist für eine akkurate Berechnung enorm wichtig, da Angreifer in der Realität auch Wörterbücher und Listen mit häufig verwendeten Phrasen abfragen lassen, um den Prozess zu beschleunigen.
Und wenn ein Teil des Kennworts bekannt ist, reduziert sich die Komplexität des Passwort drastisch.
Verwendete Zeichen sind unbekannt
Um verzerrte Ergebnisse vorzubeugen, führt der Passwort-Checker alle Berechnungen so durch, als ob er das Passwort nicht kennen würde. Das klingt erstmal logisch, ist aber nicht selbstverständlich!
Andere Tools berechnen die Zeit nämlich auf Basis der tatsächlich verwendeten Zeichen. Das heißt, dass das Tool weiß, dass das Passwort „adpwtrc“ nur aus Kleinbuchstaben besteht. Das reduziert den Zeichensatz auf 26 (da 26 Kleinbuchstaben) und damit auch die Zeit, die der Computer braucht, um das Kennwort zu knacken.
Da der Angreifer in der Praxis aber nicht weiß, aus wie vielen verschiedenen Zeichen das Passwort besteht, entspricht diese Vorgehensweise nicht der Realität.
Der Angreifer muss immer alle erlaubten Zeichen (also den vollständigen Zeichensatz) durchgehen – selbst wenn das Passwort tatsächlich nur aus Kleinbuchstaben bestehen sollte. Das bedeutet für die Berechnung, dass man für jede Stelle immer von allen erlaubten Zeichen ausgehen muss.
Die einzige Vorbereitung, die der Angreifer treffen kann, ist, sich vorher über die erlaubten Zeichen zu informieren und seine Software auf diesen Zeichensatz anzupassen.
Wenn das System z.B. keine Umlaute erlaubt, muss er diese Zeichen schon einmal nicht abfragen lassen.
Länge des Passworts ist unbekannt
Gleiches gilt für die Länge des Passworts. Denn auch diese ist dem Angreifer in der Praxis nicht bekannt.
Er muss also nicht nur die richtigen Zeichen herausfinden, sondern auch die richtige Länge! Das schraubt die möglichen Kombinationen noch einmal deutlich in die Höhe.
Das Tool geht bei der Berechnung davon aus, dass das Passwort zwischen 10-30 Zeichen lang ist. Die minimale und maximale Länge des Kennworts kann ein Angreifer in der Praxis durch eine entsprechende Recherche herausfinden.
Wie akkurat ist das Ergebnis?
Das Ergebnis, also die Zeit, die ein Computer benötigen würde, das eingegebene Passwort zu knacken, ist trotz des sorgfältigen mathematischen Designs natürlich nur eine Annäherung an die Realität.
Wie schnell das Passwort tatsächlich geknackt werden kann, hängt vor allem von zwei Faktoren ab:
1. Größe des Zeichensatzes:
Je größer der erlaubte Zeichensatz, desto länger braucht ein Computer, um das Passwort zu knacken. Schließlich muss er für jede Stelle mehr Zeichen berücksichtigen bzw. ausprobieren.
Ein Beispiel für das Passwort „margaretthatcheris110%sexy“:
Bei einem Zeichensatz von 80 würde der Computer ca. 1 Quadrilliarden Jahre benötigen, bei einem Zeichensatz von 90 sind es bereits 16 Quadrilliarden Jahre!
Diese große Differenz kommt zustande, weil der Computer für jede einzelne Stelle 10 Zeichen mehr ausprobieren muss und sich die Zahl an Kombinationsmöglichkeiten exponentiell erhöht.
2. Rechenpower:
Je mehr Rechenpower dem Angreifer zur Verfügung steht, desto mehr Kombinationsmöglichkeiten, kann er pro Sekunde ausprobieren und desto schneller wird er das Passwort knacken können.
Ein Beispiel mit 80 möglichen Zeichen für das Passwort „margaretthatcheris110%sexy“:
Während der Computer bei 10 Milliarden Kombinationen pro Sekunde ca. 2 Quadrilliarden Jahre benötigen würde, halbiert sich die Zeit bei 20 Milliarden Kombinationen pro Sekunde auf „nur“ noch 1 Quadrillarden Jahre.
Tipps für ein sicheres Passwort
Zunächst ist es sehr wichtig, zu verstehen, dass es bei der Erstellung von Passwörtern nicht auf die (vermeintliche) Komplexität, sondern auf die Länge ankommt.
Nur weil der Mensch sich das Passwort „M?x#3W9“ schlecht merken kann, heißt das nicht, dass es auch sicher ist – im Gegenteil! Um dieses Passwort zu knacken, benötigt ein Angreifer nur ca. 17 Minuten.
Viel wichtiger ist die Länge des Passworts. Denn mit jeder weiteren Stelle erhöht sich die Zahl an möglichen Kombinationen exponentiell.
Auf Grundlage der aktuell verfügbaren Rechenleistung, sollte Dein Passwort mindestens 14 Zeichen beinhalten, um Angreifern das Leben schwer zu machen.
Viele Menschen scheuen sich vor einem langen Passwort mit der Begründung, es sich nicht gut merken zu können. Doch auch lange Passwörter kann man sich sehr einfach merken – manchmal sogar besser als kurze!
Der Trick liegt darin, anstatt mit Wörtern oder wirren Zeichenfolgen einfach mit ganzen Sätzen zu arbeiten und diese dann mit ein paar Zahlen und Sonderzeichen zu vermischen.
Auch der bekannte Whistleblower und IT-Experte Edward Snowden rät in einem Interview, ganz Sätze zu verwenden.
Er sagt:
„The best advice here is to shift your thinking from passwords to pass phrases. Think about a common phrase that works for you that’s too long to brute force and also make them unlikely to be in the dictionary.“
Als Beispiel nennt er folgendes Passwort: „margaretthatcheris110%sexy“
Die Verwendung von Sätzen ergibt vor allem dann Sinn, wenn Du Dir das Passwort tatsächlich selbst merken musst. Wenn Du aber z.B. einen Passwort-Manager nutzt und Dir nicht jedes Passwort einzeln merken musst, kannst Du natürlich auch zufällige Zeichenfolgen wählen.
Für die Erstellung solcher zufälligen Passwörter kannst Du auch unseren praktischen Passwort-Generator nutzen, der individuelle Kennwörter erstellt, die nur schwer zu knacken sind.
Sonstige Vorgaben & Hinweise
Die immer noch sehr weit verbreitete Vorgabe von 8 Zeichen ist tatsächlich ein wenig veraltet.
In Kombination mit Wörterbucheinträgen und häufig verwendeten Passwörtern kann es ein Leichtes sein, ein Kennwort mit 8 Stellen zu knacken. Das renommierte Hasso-Plattner-Institut empfiehlt mittlerweile sogar mehr als 15 Zeichen.
Außerdem solltest Du natürlich darauf achten, dasselbe Passwort nicht mehrmals zu verwenden und keine offensichtlichen Bezüge zu Deiner Person zu verwenden (z.B. das Geburtsjahr).
Einer der einfachsten und sichersten Wege ist natürlich die Verwendung eines Passwort-Managers. Dort kannst Du alle Passwörter speichern und mit einem sogenannten Master-Passwort schützen. In der Praxis musst Du Dir dann nur noch dieses eine Master-Passwort merken.
Außerdem füllen die Passwort-Manager die Passwort-Felder im Browser und in Apps automatisch aus – das spart viel Zeit.
Für Privatpersonen werden die Passwort-Manager oft sehr günstig oder sogar kostenlos angeboten (z.B. Dashlane oder 1Password).