Hier erhalten Sie einen umfassenden Überblick über die Theorie zu Passwörtern. Wenn Sie lediglich ein Gefühl dafür bekommen wollen, wie sicher Ihr eigenes Passwort ist, dann verwenden Sie den Dialog Passwort-Qualitätsmesser.
Die Bedeutung von PasswörternPasswörter sind für alle IT-Systeme von Bedeutung, die Schnittstellen für den Benutzerzugriff anbieten. Hierzu gehören insbesondere PCs im privaten und gewerblichen Bereich sowie Dienste wie E-Mail oder Online-Banking. Die Anmeldung an diesen IT-Systemen erfolgt durch die Eingabe eines Benutzernamens und dem dazugehörigen Passwort.
Das IT-System kann nur anhand der eingegebenen Daten entscheiden, ob ein rechtmäßiger Zugriff erfolgt oder nicht. Kommt also ein unbefugter Dritter in den Besitz einer gültigen Kombination aus Benutzername und Passwort, so kann er sich scheinbar rechtmäßig an dem IT-System anmelden, Daten unbemerkt mitlesen oder manipulieren und somit großen Schaden anrichten.
Die Sicherheit von Passwörtern ist demnach ein wichtiger Grundsatz für die Sicherheit heutiger IT-Systeme.
Die Sicherheit von PasswörternDamit die Benutzung von Passwörtern tatsächlich sicher ist, gilt es im Wesentlichen zwei Faktoren zu beachten.
a) Zunächst sollte darauf geachtet werden, dass die Wahl eines sicheren Passworts erfolgt. Als sicheres Passwort bezeichnet man solche Passwörter, die von einem unbefugten Dritten nicht ohne erheblichen Aufwand zu erraten sind. Diese Bedingung verlangt beispielsweise, dass man keine Wörter aus Wörterbüchern als Passwörter verwendet. Auch viele andere Wörter sind als Passwörter ungeeignet. So zum Beispiel Eigennamen, Variationen des jeweiligen Benutzernamens oder andere simple Passwörter. All diese einfachen Passwörter können mit der Hilfe bestimmter Programme innerhalb von Sekunden erraten werden.
Einen Anhaltspunkt für die Wahl sicherer Passwörter gibt der Dialog Passwort-Qualitätsmesser.
b) Auch die sichere Aufbewahrung von Passwörtern spielt eine wichtige Rolle. Die sichere Aufbewahrung umfasst einerseits, dass man seine Passwörter nicht aufschreibt, sodass sie für unbefugte Dritte nicht sichtbar sind. Andererseits gehören zur sicheren Aufbewahrung technische Maßnahmen, die das Ermitteln der Passwörter für unbefugte Dritte möglichst schwierig gestalten. Hierzu gehört zum Beispiel der Einsatz von Hashfunktionen und PKCS#5, wenn Passwörter über öffentliche Netze übertragen werden oder in Passwortdateien abgelegt werden.
Passwortlänge, Passwortraum und PasswortentropieKlammert man die unsachgemäße Handhabung und Aufbewahrung von Passwörtern aus, so hängt die Sicherheit von Passwörtern im Wesentlichen von der Länge des Passworts, der Größe des Passwortraums und der Entropie des Passworts ab.
Die Passwortlänge übt einen großen Einfluss auf die Sicherheit eines Passworts aus. Ist ein Passwort zu kurz, so kann es verhältnismäßig einfach erraten werden. Kurze Passwörter sind schlechte Passwörter. Allgemein gilt: Je länger ein Passwort ist, desto besser.
Dass die Passwortlänge ein sehr wichtiger Faktor für die Sicherheit von Passwörtern ist, wird in einem Artikel von Roger A. Grimes zum Thema Passwort-Cracking aus dem Jahre 2007 unterstrichen. Es geht dort unter anderem darum, was für die Sicherheit von Passwörtern wichtiger ist - die Länge oder die Kompliziertheit. Grimes argumentiert, dass man wirkliche Kompliziertheit in Passwörtern nur schwer erreicht. Es sei dagegen einfacher und zuverlässiger, seine Passwörter zu verlängern, wenn man die Sicherheit erhöhen will.
Der Passwortraum ist die Menge an Passwörtern, die sich aus der verfügbaren Menge an Zeichen dem Alphabet bilden lassen. Geht man beispielsweise von einem Alphabet mit 52 Buchstaben (Groß- und Kleinschreibung) und zehn Ziffern aus, dann erstreckt sich der Passwortraum bei einer Passwortlänge von acht Zeichen über 62^8, das heißt über etwa 200 Billionen mögliche Passwörter. Vergrößert man das Alphabet um zehn weitere Zeichen (z.B. durch Sonderzeichen), dann vergrößert sich der Passwortraum auf mehr als das Dreifache. Allgemein gilt: Je größer der Passwortraum ist, desto besser.
Dass der Passwortraum bei der Wahl eines Passworts ausreichend groß sein sollte, geht aus einem Artikel in der Zeitschrift PC-WELT hervor (Ausgabe 8/2007). Dort heißt es, dass ein aktueller Rechner pro Sekunde durchschnittlich 25 Millionen verschiedene Passwörter ausprobieren kann. Stellt man sich nun vor, dass der Passwortraum nur aus etwa zwei Milliarden Passwörtern besteht (beispielsweise bei einer Passwortlänge von nur sechs Zeichen und einem Alphabet bestehend aus Kleinbuchstaben und den zehn Ziffern), dann dauert das vollständige Durchsuchen des Passwortraums weniger als 90 Sekunden.
Zum Vergleich: Geht man von dem weiter oben genannten Passwortraum von etwa 200 Billionen Passwörtern aus, dann würde das vollständige Durchsuchen des Passwortraums bereits über 100 Tage dauern. In Kombination damit, dass man sein Passwort alle drei Monate ändert (dies wird zum Beispiel in großen Firmen durch spezielle Lösungen erzwungen), ist ein solcher Passwortraum eigentlich groß genug. Dabei sollte man aber im Hinterkopf behalten, dass sich Angriffe gegen Passwörter parallelisieren lassen und bestimmte Institutionen (Geheimdienste) über deutlich mehr Rechenleistung verfügen als der durchschnittliche Computerbenutzer.
Die Passwortentropie ist ein Maß dafür, wie "zufällig" ein Passwort aus dem vorgegebenen Passwortraum ausgewählt wird. Man kann die Entropie eines Passworts basierend auf gewissen Hypothesen exakt bestimmen.