Typische Passwortfehler und die Mindestlänge für Passwörter

So gefährlich falsch werden Passwörter benutzt

24.10.2020
Von  und
Hans-Christian Dirscherl ist Redakteur der PC-Welt.
Arne Arnold arbeitet seit über 15 Jahren bei der PC-WELT als Redakteur in den Bereichen Software und Internet. Sein Schwerpunkt liegt auf dem Thema Sicherheit für Endanwender bei PC und Mobil-Geräten.
Aus Sicherheitsgründen sollte man jedes Passwort nur für einen einzigen Zugang verwenden. Doch die Realität sieht anders aus.
So gefährlich werden Passwörter benutzt
So gefährlich werden Passwörter benutzt
Foto: Rawpixel.com - shutterstock.com

Aus Sicherheitsgründen sollte man jedes Passwort lediglich für einen einzigen Zugang verwenden. Die Realität sieht jedoch anders aus. So haben Mitarbeiter des Balbix Threat Research Teams des Sicherheitsunternehmens Balbix herausgefunden, dass ein- und dasselbe Passwort im Durchschnitt für 2,7Konten/Zugänge eingesetzt wird. Etwas über acht unterschiedliche Passwörter nutzt ein User durchschnittlich insgesamt für alle seine Zugänge/Log-ins.

Die fatale Folge: Wird einer dieser Zugänge geknackt und fällt deshalb das Passwort in fremde Hände, kann der Angreifer auch die anderen Konten, die mit diesem Passwort geschützt sind, kapern. Aus diesem Grund sollten Sie nie ein Passwort mehrmals verwenden.

Ein weiteres Ergebnis dieser Untersuchung ist, dass 99 Prozent sämtlicher Mitarbeiter in Unternehmen ein- und dasselbe Passwort für unterschiedliche private oder berufliche Zugänge benutzen. Diese Vermengung von privaten und beruflichen Accounts macht das Ganze noch gefährlicher. So kann ein erfolgreicher Hackerangriff auf ein Forum oder ein soziales Netzwerk dazu führen, dass Angreifer ein Passwort erbeuten, das auch für wichtige Unternehmenskonten verwendet wird. Auf diese Weise können sie dort dann auch einen entsprechend großen Schaden anrichten.

Passwortmanager
Passwortmanager

Das Balbix Threat Research Team wertete dafür zufällig ermittelte Daten von über 10 000 Benutzern aus mehreren Dutzend unterschiedlichen Unternehmen aus verschiedenen Industriezweigen aus.

So lang muss ein Passwort sein: Je länger ein Passwort ist, desto länger braucht man, um es durch einfaches Ausprobieren aller Möglichkeiten zu knacken. Diese häufig verwendete Methode wird Brute Force genannt, also "Rohe-Gewalt-Methode". Offizielle Empfehlungen für die Passwortlänge sehen meist zehn Zeichen vor. In diesem zehn Zeichen langen Passwort sollen große und kleine Buchstaben, Ziffern und Sonderzeichen enthalten sein, sodass der Zeichensatz, aus dem das Passwort schöpfen kann, ebenfalls möglichst groß ist. Bei einem Zeichensatz mit 72 Zeichen aus 48 Buchstaben (groß und klein), zehn Ziffern und 14 Sonderzeichen ergeben sich die folgenden Möglichkeiten für ein zehnstelliges Passwort: 72 hoch 10 = 3.743.906.242.624.487.424. Versucht man, dieses Passwort mit einer Rechenkraft von vier Milliarden Berechnungen pro Sekunde zu knacken, benötigt man im längsten Fall 29,6 Jahre. Bei einem Passwort mit elf Zeichen können es 2135 Jahre sein, bei einem Passwort mit 15 Zeichen rund 65 Milliarden Jahre.

Unsere Empfehlung: Verwenden Sie ein Passwort mit 16 Zeichen oder mehr. Es geht bei dieser Länge weniger um Schutz gegen Brute Force als um Wörterbuchattacken oder Angriffe mit Rainbow Tables auf den Hashwert des Passworts. Infos zu weiteren Knackmethoden.

(PC-Welt)