Passwort-Check: Wie sicher ist mein Passwort?
Das Passwort wird nicht erfasst oder gespeichert
Ein Computer würde ca. benötigen, um Dein Passwort zu knacken!
Analyse & Erläuterung: Die Berechnung geht von einem Zeichensatz mit 80 möglichen Zeichen aus. Das Passwort enthält insgesamt verschiedene Zeichen . Unter Berücksichtigung der Länge weist das Kennwort eine Entropie (Informationsdichte) von auf.
Das Passwort im Detail-Check:
k
k
k
k
k
k
k
k
k
k
Wie funktioniert der Passwort-Check?
Der Passwort-Checker berechnet die Zeit, die ein Computer benötigen würde, das eingegeben Passwort mit einer sogenannten Brute-Force-Attacke zu knacken. Bei einer solchen Attacke geht der Computer alle möglichen Zeichen-Kombinationen durch, um das richtige Passwort herauszufinden.
Um ein möglichst realistisches Ergebnis zu erhalten, berücksichtigt das Tool viele verschiedenen Variablen:
Die Rechenpower
Das Tool geht von 20 Milliarden Kombinationen pro Sekunde aus, die der Computer durchgehen kann, um das Passwort zu knacken. Dies ist ein hoher Wert, der nur bei einem professionellen Setup erreicht werden kann. Im Zweifel steht dem Angreifer also etwas weniger Rechenpower zur Verfügung.
Der Zeichensatz
Die Größe des Zeichensatzes (engl. „character set“) ist entscheidend für die Zeit, die der Computer braucht, um das Passwort zu knacken. Der Zeichensatz ergibt sich ganz einfach aus den Zeichen, die für das Passwort verwendet werden dürfen (Buchstaben, Zahlen, Sonderzeichen und Umlaute).
Grundsätzlich gilt natürlich: Je größer der Zeichensatz, desto mehr Zeichen muss der Computer für jede einzelne Stelle des Kennworts durchgehen und desto mehr Zeit wird benötigt.
Während Groß- und Kleinbuchstaben sowie Zahlen fast immer zugelassen sind, gibt es bei den erlaubten Sonderzeichen und Umlauten durchaus große Unterschiede.
Um ein realistisches Ergebnis zu erhalten, habe ich mich für einen durchschnittlich großen Zeichensatz mit 80 Zeichen entschieden (26 Großbuchstaben, 26 Kleinbuchstaben, 10 Zahlen, 18 Sonderzeichen inkl. Umlaute).
In der Praxis kann der zugelassene Zeichensatz aber auch deutlich größer sein.
Häufig verwendete Wörter
Darüber hinaus wird berücksichtigt, ob das Passwort häufig verwendete Phrasen wie z.B. „Passwort“ oder bekannte Wörter aus einem Wörterbuch enthält.
Das ist für eine akkurate Berechnung enorm wichtig, da Angreifer in der Realität auch Wörterbücher und Listen mit häufig verwendeten Phrasen abfragen lassen, um den Prozess zu beschleunigen. Und wenn ein Teil des Kennworts bekannt ist, reduziert sich die Komplexität des Passwort drastisch.
Die verwendeten Zeichen sind unbekannt
Um verzerrte Ergebnisse vorzubeugen, führt der Passwort-Checker alle Berechnungen so durch, als ob er das Passwort nicht kennen würde. Das klingt erstmal logisch, ist aber nicht selbstverständlich!
Andere Tools berechnen die Zeit nämlich auf Basis der tatsächlich verwendeten Zeichen. Das heißt, dass das Tool weiß, dass das Passwort „napoleon“ nur aus Kleinbuchstaben besteht. Das reduziert die Zeichen-Zahl auf 26 (da 26 Kleinbuchstaben) und damit auch die Zeit, die der Computer braucht, um das Kennwort zu knacken. Denn in diesem Fall muss der Computer für jede Stelle ja „nur“ 26 Zeichen durchgehen.
Da der Angreifer in der Praxis aber nicht weiß, aus wie vielen verschiedenen Zeichen das Passwort besteht, entspricht diese Vorgehensweise nicht der Realität. Der Angreifer muss immer alle erlaubten Zeichen (also den vollständigen Zeichensatz) durchgehen – selbst wenn das Passwort tatsächlich nur aus Kleinbuchstaben bestehen sollte. Das bedeutet für die Berechnung, dass man für jede Stelle immer von allen erlaubten Zeichen ausgehen muss.
Die einzige Vorbereitung, die der Angreifer treffen kann, ist, sich vorher über die erlaubten Zeichen zu informieren und seine Software auf diesen Zeichensatz anzupassen.
Die Länge des Passworts ist unbekannt
Gleiches gilt für die Länge des Passworts. Denn auch diese ist dem Angreifer in der Praxis nicht bekannt. Er muss also nicht nur die richtigen Zeichen herausfinden, sondern auch die richtige Länge! Das schraubt die möglichen Kombinationen noch einmal deutlich in die Höhe.
Das Tool geht bei der Berechnung davon aus, dass das Passwort zwischen 10-30 Zeichen lang ist. Die minimale und maximale Länge des Kennworts kann ein Angreifer in der Praxis durch eine entsprechende Recherche herausfinden.
Wie akkurat ist das Ergebnis?
Das Ergebnis, also die Zeit, die ein Computer benötigen würde, das eingegebene Passwort zu knacken, ist trotz des sorgfältigen mathematischen Designs natürlich nur eine Annäherung an die Realität.
Wie schnell das Passwort tatsächlich geknackt werden kann, hängt vor allem von zwei Faktoren ab:
1) Größe des Zeichensatzes:
Je größer der erlaubte Zeichensatz ist, desto länger braucht ein Computer, um das Passwort zu knacken. Das liegt ganz einfach daran, dass er für jede Stelle mehr Zeichen berücksichtigen bzw. ausprobieren muss.
Ein Beispiel für das Passwort „margaretthatcheris110%sexy“:
Bei einem Zeichensatz von 80 würde der Computer ca. 1 Quadrilliarden Jahre benötigen und bei einem Zeichensatz von 90 würde er bereits 16 Quadrilliarden Jahre benötigen.
Diese große Differenz kommt zustande, weil der Computer für jede einzelne Stelle 10 Zeichen mehr ausprobieren muss und sich die Zahl an Kombinationsmöglichkeiten exponentiell erhöht.
2) Rechenpower:
Je mehr Rechenpower dem Angreifer zur Verfügung steht, desto mehr Kombinationsmöglichkeiten, kann er pro Sekunde ausprobieren und desto schneller wird er das Passwort knacken können.
Ein Beispiel mit 80 möglichen Zeichen für das Passwort „margaretthatcheris110%sexy“:
Während der Computer bei 10 Milliarden Kombinationen pro Sekunde ca. 2 Quadrilliarden Jahre benötigen würde, halbiert sich die Zeit bei 20 Milliarden Kombinationen pro Sekunde auf „nur“ noch 1 Quadrillarden Jahre.
Tipps für ein sicheres Passwort
Zunächst solltest Du vor allem darauf achten, ein möglichst langes Passwort zu wählen. Und mit lang meine ich so lang wie möglich!
Denn nur weil sich Menschen Passwörter wie z.B. „W?y63TK#“ schlecht merken können, heißt das nicht, dass sie sicher sind. Im Gegenteil! Um dieses Passwort zu knacken, benötigt ein Angreifer nur ca. 3-6 Tage.
In erster Linie geht es immer um die Länge des Passworts. Denn mit jeder weiteren Stelle erhöht sich die Zahl an möglichen Kombinationen exponentiell!
Viele Menschen scheuen sich vor einem langen Passwort mit der Begründung, es sich nicht gut merken zu können. Doch auch lange Passwörter kann man sich sehr einfach merken – manchmal sogar besser als kurze!
Der Trick liegt darin, anstatt mit Wörtern oder wirren Zeichenfolgen einfach mit ganzen Sätzen zu arbeiten und diese dann mit ein paar Zahlen und Sonderzeichen zu vermischen.
Auch der bekannte Whistleblower und IT-Experte Edward Snowden rät in einem Interview, ganz Sätze zu verwenden.
Er sagt:
„The best advice here is to shift your thinking from passwords to pass phrases. Think about a common phrase that works for you that’s too long to brute force and also make them unlikely to be in the dictionary.“
Als gutes Beispiel nennt er folgendes Passwort: „margaretthatcheris110%sexy“
Die Verwendung von Sätzen ergibt vor allem dann Sinn, wenn Du Dir das Passwort tatsächlich selbst merken musst. Wenn Du aber z.B. einen Passwort-Manager nutzt und Dir nicht jedes Passwort einzeln merken musst, kannst Du auch eine zufällige Zeichenfolge wählen.
Für die Erstellung solcher zufälligen Passwörter kannst Du auch unseren praktischen Passwort-Generator nutzen, der individuelle Kennwörter erstellt, die nur schwer zu knacken sind.
Sonstige Vorgaben & Hinweise
Die immer noch weit verbreitete Vorgabe 8 Zeichen ist tatsächlich ein wenig veraltet. Denn in Kombination mit Wörterbucheinträgen und häufig verwendeten Passwörtern kann es ein Leichtes sein, ein Kennwort mit 8 Stellen zu knacken. Das renommierte Hasso-Plattner-Institut empfiehlt mittlerweile sogar mehr als 15 Zeichen.
Außerdem solltest Du natürlich darauf achten, dasselbe Passwort nicht mehrmals zu verwenden und keine offensichtlichen Bezüge zu Deiner Person einzubauen (z.B. Dein Geburtsjahr).
Einer der einfachsten und sichersten Wege ist natürlich die Verwendung eines Passwort-Managers. Dort kannst Du alle Passwörter speichern und mit einem sogenannten Master-Passwort schützen. In der Praxis musst Du Dir dann nur noch dieses eine Master-Passwort merken.
Außerdem füllen die Passwort-Manager die Passwort-Felder im Browser und in Apps automatisch aus. Das spart gerade bei sehr langen Passwörtern Zeit.
Für Privatpersonen werden die Passwort-Manager oft sehr günstig oder sogar kostenlos angeboten (z.B. Dashlane oder 1Password).