Als Empfehlung für gute Passwörter liest man häufig, dass ein gutes Passwort

• mindestens 8 Zeichen lang sein sollte.
• aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern bestehen sollte.
• nach einem möglichst komplexen Muster gebildet werden sollte.

Ein gutes Passwort wäre somit zum Beispiel:

f8$)?,G3

Liest man dann weiter, so folgen meist die Empfehlungen:

• Niemals für verschiedene Dienste das gleiche Passwort verwenden.
• Passwörter nicht auf Zetteln oder in Dateien auf einem Computer notieren.
• Passwörter unbedingt in regelmäßigen Abständen ändern.

Ein typischer Computernutzer kommt heute wahrscheinlich leicht auf 10-20 oder sogar noch deutlich mehr Passwörter, die er oder sie sich auf diese Weise merken müsste. Damit ist die Umsetzung der obigen Forderungen für die meisten Nutzer völlig unrealistisch.

Als Konsequenz werden dann meist:

• Viel zu einfache Passwörter verwendet, in denen dann oft auch noch leicht zu erratende persönliche Daten wie Namen oder Geburtstage vorkommen.
• Das gleiche Passwort mehrmals bei verschiedenen Diensten verwendet.
• Passwörter nie oder viel zu selten geändert.
• Passwörter in einfachen Textdateien auf unsicheren Computern gespeichert.

Ein einfacher Ausweg aus dem beschriebenen Dilemma ist es, sogenannte Passphrasen statt Passwörter zu verwenden. Im Folgenden sollen nun solche Passphrasen und deren Eigenschaften genauer betrachtet werden.

Das primäre Ziel eines sichereren Kennwortsystems ist die Vielfalt der Kennwörter. Sie möchten, dass Ihre Kennwortrichtlinie viele verschiedene und schwer zu erratende Kennwörter umfasst. Hier sind ein paar Empfehlungen, wie Sie Ihre Organisation am besten schützen können.

• Beibehalten einer Mindestlänge von vierzehn Zeichen
• Legen Sie keine Anforderungen an die Zeichenzusammensetzung fest. Beispiel: *&(^%$
• Fordern Sie kein obligatorisches periodisches Zurücksetzen der Kennwörter für Benutzerkonten.
• Verbieten Sie gängige Kennwörter, um die anfälligsten Kennwörter von Ihrem System fernzuhalten.
• Schulen Sie Ihre Benutzer, ihre organization Kennwörter nicht für nicht arbeitsbezogene Zwecke wiederzuverwenden.
• Erzwingen Sie die Registrierung für die mehrstufige Authentifizierung
• Aktivieren von Risikobasierten Multi-Factor Authentication-Herausforderungen

Hier finden Sie einige Kennwortanleitungen für Benutzer in Ihrer Organisation. Informieren Sie Ihre Benutzer über diese Empfehlungen und setzen Sie die empfohlenen Kennwortrichtlinien auf Organisationsebene durch.

• Verwenden Sie kein Kennwort, das einem auf anderen Websites verwendeten Kennwort entspricht oder ähnlich ist.
• Verwenden Sie kein einzelnes Wort wie beispielsweise Kennwort, und keinen häufig verwendeten Ausdruck, z. B. Ichliebedich
• Machen Sie Kennwörter schwer zu erraten, auch von Personen, die viel über Sie wissen, z. B. die Namen und Geburtstage Ihrer Freunde und Familie, Ihre Lieblingsbands und Ausdrücke, die Sie verwenden möchten

Wie viele mögliche Passwörter (PIN 4-stellig) gibt es bei der EC-Karte?

a) wenn man sich an gar nichts mehr erinnern kann?

Man muss immer Anzahl der Möglichkeiten pro Stelle betrachten (Variation mit Zurücklegen).

10*10*10*10 = 10⁴ = 10000

b) wenn man noch weiß, dass unter den richtigen Ziffern genau eine 3 war?

Da die Ziffer 3 nur genau einmal vorkommt, gibt es für die verbleibenden Stellen noch 9 (statt vorher 10) mögliche Ziffern (in jeweils 4 Anordnungen), somit gilt:

4 * 9^3 = 2.916.

c) wenn man noch weiß, dass diese eine 3 definitiv an der dritten Stelle stand?

Da sicher ist, dass die 3 an der dritten Stelle stand, sucht man hier nun die Anzahl der möglichen Ziffernkombinationen für 3 aus 10 (eine Stelle ist ja bekannt und fällt somit komplett weg) im Modell der Variation ohne Zurücklegen.

Es ergibt sich: 9^3 = 729.

Wie versuchen Banken, dennoch eine gewisse Sicherheit zu garantieren?

Nach 4 falschen Versuchen wird zumeist die Karte eine Zeit lang (z.B. 2 Tage) gesperrt.

Wie viele achtstellige Passwörter gibt es über dem Alphabet der 95 sinnvoll über die Tastatur einzugebenden ASCII-Zeichen? Wie lange würde ein Brute-Force-Angriff im sogenannten Worst-Case dauern, wenn ein Angreifer Hundert Milliarden (100 000 000 000) Passwörter pro Sekunde testen kann?

95^8 = 6 634 204 312 890 625 / 100 000 000 000 = 66 342,04312890625s = 1105,7 min = 18,43 h

=⇒ https://www.passwortcheck.ch