Passwort: Die Länge ist wichtiger als Zahlen und Großbuchstaben

Die Kriterien für ein sicheres Passwort können die meisten von uns wohl im Schlaf aufzählen, eine Studie legt nun aber nahe, dass diese doch nicht so effektiv sind, wie angenommen. Passwörter müssen mindestens sechs Zeichen lang sein und folgende Elemente aufweisen: Groß- und Kleinbuchstaben (A–Z bzw. a–z), Ziffern (0–9) und Sonderzeichen (?_!@#). Auch wenn diese Kriterien weitestgehend bekannt sind, bedeutet dies nicht, dass sie auch von den meisten Nutzern beachtet werden, oder dass sie effektiv sind. Eine Studie hat nun ergeben, dass Ziffern und Groß- und Kleinbuchstaben nicht annähernd so effektiv sind, wie die Länge eines Passwortes.

Die Regeln verändern sich

In einer Studie des französischen Forschungsinstituts Eurecom hat Maurizio Filippone zusammen mit Matteo Dell’Amico vom Symantec Research Labs State-of-the-Art Techniken zum Erraten von Passwörtern getestet. Dabei sind sie zu dem überraschenden Ergebnis gekommen, dass Ziffern sowie Groß- und Kleinbuchstaben Passwörter kaum stärker machen. Längere Passwörter, sowie die Verwendung von Sonderzeichen, sind dagegen deutlich effektiver.

Doch wie kann das sein? Schließlich ist doch der Grundgedanke, je mehr unterschiedliche Zeichen man einsetzt, umso komplexer ist das Passwort und dadurch umso schwerer zu knacken. In der Theorie stimmt dies zwar, doch macht uns die Praxis mal wieder einen Strich durch die Rechnung.

Das Problem mit den bisherigen Kriterien liegt zum einen in der Umsetzung durch den Nutzer und zum anderen in der Weiterentwicklung von Software zum Erraten von Passwörtern. In der Theorie ist eine Mischung von Ziffern, Groß- und Kleinbuchstaben sowie Sonderzeichen eine gute Methode, um die Chancen zu verringern, dass eine Software das Passwort errät, indem sie systematisch jede Kombination von Zeichen und Ziffern ausprobiert.

Doch ganz so stumpf gehen aktuelle Software-Lösungen längst nicht mehr vor. Statt wie bisher einfach alle möglichen Kombinationen mehr oder weniger zufällig auszuprobieren, gehen die Software-Tools deutlich schlauer vor. Zu verdanken haben sie es einer Menge Leaks von Listen mit Millionen Passwörtern, wie etwa den rund 130 Millionen Passwörter umfassenden Leak von Adobe aus dem Jahr 2013. Aus diesen Listen lassen sich nämlich gängige Muster für den Aufbau von Passwörtern ableiten, die es den Software-Tools deutlich vereinfachen, ihren Job schnell zu erledigen.

Sicherheitsrisiko Passwort

Das Problem ist, dass die vorgegebenen Kriterien auf immer gleiche Arten umgesetzt werden. Schuld daran sind auch die Anzeigen, die beim Erstellen eines Passwortes angeben, wie sicher dieses ist, denn sie achten nur auf das Vorhandensein der entsprechenden Zeichen, nicht aber auf deren Mischung. Dell’Amico und Fillipone haben daher eine neue Messmethode zum Ermitteln der Passwortsicherheit erarbeitet, die genau das mit in Betracht zieht.

Sie nahmen sich eine Liste mit 10 Millionen geleakten Passwörtern, um damit Software zum Erraten von Passwörtern zu trainieren. Diese Software ließen sie dann eine Liste von Passwörtern generieren und haben daraus einen “Guessability Score” (also einen Erratbarkeitswert) erarbeitet. Diese Methode haben sie dann an 32 Millionen Passwörtern getestet, wie sie in ihrer Studie ausführlich beschreiben.

Groß- und Kleinbuchstaben sowie Ziffern sind für die Stärke eines Passwortes nicht so wichtig, da die Nutzer sie tendenziell immer gleich einsetzen: Großbuchstaben finden sich überwiegend am Anfang und Zahlen am Ende des Passwortes, wie Dell’Amico gegenüber MIT-Technology Review erklärt. Seiner Ansicht nach müssen wir Passwörter weniger vorhersehbar machen. Dies ist allerdings leichter gesagt als getan, wenn nicht mal große Webseiten ihre Anforderungen für sichere Passwörter den neuen Umständen anpassen können.

Ich habe einmal wahllos auf eBay geschaut und dort heißt es beispielsweise: Ein sicheres Passwort ist mindestens sechs Zeichen lang. Solche kurzen Passwörter gelten allerdings schon lange nicht mehr als Herausforderung für Passwort-Hacking-Tools, die dank günstiger und gewaltiger Rechenleistung mit Brute Force innerhalb kurzer Zeit derart kurze Passwörter knacken.

Der Sicherheitsforscher Mark Burnett bestätigt dann auch gegenüber Technology Review, dass auch die neuerarbeitete Methode nicht perfekt ist, dennoch ist sie seiner Ansicht nach die beste Methode, die er derzeit kennt. Sein Tipp ist, bei der nächsten Passwortvergabe einfach noch ein oder zwei Wörter dranzuhängen. Aber auch dies wird nur eine temporäre Lösung sein, denn die entsprechenden Tools werden immer klüger und unsere Passwörter immer länger, so dass sie inzwischen weitestgehend nutzlos sind.

Die Industrie muss sich hier bald etwas neues einfallen lassen – bis dahin können wir nur jedem Leser ganz dringend die Verwendung von Passwort-Managern wie 1Password, True Key oder die Open-Source-Alternative KeePass empfehlen, mit denen sich ellenlange Zufallspasswörter erstellen lassen, die man sich dann aber nicht merken muss.


Image (adapted) “Linux password file” by Christiaan Colen (CC BY-SA 2.0)


 

Schlagwörter: , , , , , , , , , ,
Daniel Kuhn

Daniel Kuhn

ist Wahl-Berliner mit Leib und Seele und arbeitet von dort aus seit 2010 als Tech-Redakteur. Anfangs noch vollkommen Googles Android OS verfallen, geht der Quereinsteiger und notorische Autodidakt immer stärker den Fragen nach, was wir mit den schicken Mobile-Geräten warum anstellen und wie sicher unsere Daten eigentlich sind. Mitglied des Netzpiloten Blogger Networks.

More Posts - Website - Twitter - Facebook - Google Plus