Das Knacken von Passwörtern ist eine der häufigsten und erfolgreichsten Angriffsmethoden von Hackern, um sich Zugriff auf sensible Daten zu verschaffen. Der wesentliche Grund dafür besteht in der häufig ungeschickten Wahl von Passwörtern. Diese ist dafür verantwortlich, dass Passwörter oft entweder leicht zu erraten sind oder mittels einfacher Angriffsverfahren geknackt werden können. Der gröbste Fehler besteht darin, ein leicht zu erratendes Wort zu wählen. Wer den Vornamen des Ehepartners oder den Namen des Hundes als Passwort wählt, kann ebenso gut auf ein Passwort verzichten. Solche Passwörter sind leicht zu erraten. Dennoch sind sie in der Praxis weit verbreitet.

Keine realen Wörter als Passwort wählen

Keinen wesentlich besseren Schutz bieten andere Wörter, die in Wörterbüchern zu finden sind. Ein Wörterbuch-Angriff ist eine der einfachsten Methoden, um einen Passwortschutz zu überwinden. Dabei werden einfach alle Wörter aus einem Wörterbuch ausprobiert. Auch die Ergänzungen um eine Ziffer werden von diesen Angriffssystemen ausprobiert, weswegen dieses recht verbreitete Vorgehen keine wesentliche Verbesserung darstellt. Pinguin1 ist als Passwort nicht wesentlich besser geeignet als Pinguin.

Sonderzeichen im Passwort nutzen

Ein wenig Mathematik: Stehen für Passwörter m unterschiedliche Zeichen zur Verfügung und besteht das Passwort aus n Zeichen, so existieren mⁿ mögliche Passwörter, die ein Angreifer ausprobieren müsste. Sind Buchstaben, Ziffern und Sonderzeichen zulässig, stehen etwa 50 Zeichen zur Verfügung. (Falls zwischen Groß- und Kleinbuchstaben unterschieden wird, sind es noch erheblich mehr.) Für ein Passwort aus 8 Zeichen existieren dann 50 ⁸ Möglichkeiten, also etwas mehr als 39 Billionen.

Ein Rechner, der pro Sekunde 30 Mio. Passwörter ausprobieren kann, benötigt dann mehr als zwei Wochen, um alle Kombinationen zu testen. Ein realistischer Wert, sofern der Angreifer einen handelsüblichen Rechner nutzt. Angenommen, der Angreifer errät zutreffend, dass im Passwort nur Buchstaben verwendet werden. In diesem Fall stehen nur noch 26 Zeichen zur Verfügung, wodurch sich die benötigte Zeit auf wenig mehr als eine Stunde reduziert. Werden zusätzlich noch Ziffern eingesetzt, ist ungefähr ein Tag erforderlich. Hacker wissen, dass viele User keine Sonderzeichen nutzen und setzen daher häufig diese beschleunigten Verfahren ein. Ihre Erfolgsquote dabei ist so gut, dass sich für sie der erhebliche Aufwand nicht lohnt, Passwörter mit Sonderzeichen in der Attacke zu berücksichtigen. Bereits ein %, & oder § im Passwort steigert die Sicherheit daher erheblich.

Weitere Tipps zur Passwort Generierung

Grundsätzlich sollte für unterschiedliche Systeme nicht dasselbe Passwort genutzt werden. Auch dieser Fehler wird von vielen Usern begangen. Die Folgen können gravierend sein: Knackt ein Angreifer das Passwort des E-Mail Kontos, kann er damit zugleich im Web auf fremde Rechnung einkaufen. Ein zweites Problem besteht darin, dass sich besonders sichere Passwörter schlecht merken lassen. Eine mögliche Lösung kann beispielsweise darin bestehen, aus irgendeinem Wort den ersten, dritten, fünften usw. Buchstaben zu nutzen und dazwischen die Sonderzeichen zu verwenden, die sich auf der Tastatur über den entsprechenden Ziffern befinden. Dies ist nicht die optimale Lösung! Diese bestünde darin, die Wahl der einzelnen Zeichen des Passworts ohne jedes System zufällig vorzunehmen. Es ist allerdings ein annehmbarer Kompromiss, um ein gutes Passwort zu generieren und es sich auch merken zu können.