Symbolbild für eine Passworteingabe

Passwort oder Pin? Rechnen wir doch mal nach 🔐

Für viele Menschen sind Passwörter ein Ärgernis! Ich kann das nicht ganz nachvollziehen – seit es Passwort Manager gibt hab ich mir über Passwörter eigentlich keine Gedanken mehr gemacht.

Heute geht es aber nicht um Passwortmanager sondern um die Frage warum Passwörter oft eine Mindestlänge und Sonderzeichen haben müssen.

Dazu machen wir hier ein bisschen Mathematik. Bevor wir den Rechenschieber holen aber ein paar Hintergrundinformationen. Eine der grössten Gefahren ein Passwort zu knacken sind so genannte „Brute Force Attacken„.

Bei einer „Brute Force Attacke“ wird in einem sehr kurzen Zeitraum ein Login mit unterschiedlichen Zahlen, Buchstaben und Sonderzeichen Kombinationen versucht. Ein effizienter Schutz gegen Brute Force sind möglichst lange und vielfältige Passwörter. Warum das so ist, kann man Anhand einfacher Rechenbeispiele nachvollziehen.

Möglichkeiten

Passwörter – egal wie lange sie sind, sind immer endlich. Es gibt keine unendlich lange Passwörter. Dieses Problem ist leider nicht lösbar und auch die grösste Schwachstelle von einem Passwort.

Nehmen wir als Beispiel einen 4-stelligen numerischen Pin. Viele von euch werden sowas auf ihrem Smartphone nutzen. Es gibt 10 mögliche Zeichen (0-9). Das gibt insgesamt nur 10’000 Kombinationsmöglichkeiten. Rechnen kann man das einfach: Anzahl Zeichen hoch Anzahl stellen.

104 = 10’000

Nur schon bei einem 5-stelligen Pin erhalten wir 100’000 Kombinationsmöglichkeiten. Bei einem 6-stelligen 1’000’000 mögliche Kombinationen.

105 = 100’000

1061’000’000

Wenn wir nun einen Schritt weitergehen und alphanumerische Pins erstellen. Sehen wir eine massive Veränderung der Möglichkeiten. Unser Alphabet hat 26 Gross- und Kleinbuchstaben das gibt 52 mögliche Zeichen. Wenn wir noch 10 weitere Sonderzeichen dazu nehmen (!, #, $, etc) kommen wir auf 62 verwendbare Zeichen für ein alphanumerisches Passwort. Zusätzlich gibt es noch die Zahlen 0-9 was insgesamt 72 mögliche Zeichen ergibt.

Wenn wir einen 4 stelligen Pin statt nur mit Zahlen auch mit Buchstaben und Sonderzeichen erstellen ergibt das beinahe 27 Millionen mögliche Pin Codes. Die Rechnung ist simpel:

724 = 26’873’856

Doch die Frage ist. Wie viele Zeichen braucht es um vor einer Brute Force Attacke sicher zu sein? Die Antwort kann man ebenfalls errechnen. Dazu fehlt und aber eine wichtige Zahl. Brute Force Attacken sind immer nur so schnell wie die Rechenkapazität (Prozessleistung) des Computers der den Angriff ausführt. Diese Prozessleistung nimmt von Prozessorgeneration zu Prozessorgeneration zu – aber dient hier erstmal als Veranschaulichung.

Derzeit können wir von einer durchschnittlichen Kapazität von 4 Milliarden Operationen pro Sekunde ausgehen. Um ein 4-stelliges Passwort bestehend aus Klein/Grossbuchstaben, Zahlen und Sonderzeichen zu knacken geht entsprechend schnell:

26’873’856 : 4’000’000’000 = 0.006718464 (Sekunden)

Wenn dein Passwort nur aus 4 Zeichen besteht ist es in viel weniger als einer Sekunde geknackt.

Ein zufriedenstellendes Ergebnis erhält man wohl bei 10 Stellen. Ich rechne im unteren Rechenbeispiel die Sekunden in Jahre um – um ein vorstellbareres Ergebnis zu erhalten. 31’556’926 Sekunden entsprechen genau einem Jahr.

(7210) : (4’000’000’000 x 31’556’926) = 29.65 (Jahre)

Wer alles im Mathematik Unterricht (ich weiss ist schon ewig her) aufgepasst hat, wird festgestellt haben das wir hier mit Exponentialfunktionen rechnen. Das bedeutet durch das hinzufügen einer einzelnen zusätzlichen Stelle im Passwort erreichen wir komplett andere Werte. Wenn das Passwort 11-stellen statt 10 hat ergibt das folgendes:

(7211) : (4’000’000’000 x 31’556’926) = 2135 (Jahre)

Bei mehr als 2’000 Jahren um ein Passwort zu knacken – dürften wir zurzeit wohl von einem „sicheren“ Passwort sprechen. Jedenfalls sicher im mathematischen Sinn.

Falls ihr euch also wieder einmal darüber aufregt, dass ein Passwort schrecklich viele Vorgaben hat. Dann denkt an diesen kleinen Beitrag und die Rechenbeispiele zurück 😉

Welche APPs nutze ich auf meinem 📱 Smartphone?
Microsoft Office für OS X 👩🏼‍💻 unterstützt den Dark Mode

3 Kommentare

  1. Peter

    Soweit richtig. Aber: Im Beispiel wird vorausgesetzt, dass ein Offline-Angriff ausgeführt wird. Nur in diesem Fall kann die volle Rechenleistung einesetzt werden.
    Wenn ich Deinen e-Mail Account hacken will, gibt es drei Szenarien:
    1. Der (smarte) Mailprovider bricht nach mehreren erfolglosen Versuchen ab. Sense.
    2. Der (dumme) Provider lässt beliebig viele Versuche zu. die 4*10^6 Ops/sec gelten dann nicht mehr, da die Antwortzeit des Servers bestimmend ist, optimistisch 10 ms, was dann nur noch 1*10^2 Ops/sec sind. Ein 10-stelliges Passwort widersteht dann (auch mit kombinierter Rechenleistung von hunderten von PC’s) mehr als 10 Jahre. Lange genug.
    3. Social engineering. Bei einem eigenen Versuch mit 14 Journalisten (sensibilisiert aus einem Workshop) sind 8 von ihnen in die Falle gegangen und haben sich eine (supponierte) Backdoor eingefangen.
    .
    Daraus folgt: Wenn du ein Zufallsziel bist, genügen für ein Mailpasswort 8 kombinierte Zeichen, Als High-Value-Target hilft nur Vorsicht.
    .
    Und noch etwas: Wenn du in einer Liste mit geleakten Passwörtern stehst und es nicht merkst? Pech.

    Antworten
  2. Samuel Rüegger

    Ja wenn du auf einer Liste stehst hast du natürlich Pech. Daher ist es sinnvoll für alle möglichen Dienste ein unterschiedliches Passwort zu verwenden. Oder halt den Einsatz eines Passwort Managers 😉

    Antworten
  3. Peter

    Auch richtig. Eigentlich wollte ich nur darauf hinweisen, dass die übliche Regel «mach-das-Passwort-noch-viel-laenger» zu kurz greift.

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.