Passwörter, die nur aus Zahlen bestehen, werden selbst vom langsamsten Computer in etwas mehr als einem Tag erraten. Um jedoch Passwörter, die sich aus Groß- und Kleinbuchstaben, sowie Zahlen und häufigen Symbolen zusammensetzen, zu erraten, braucht selbst ein ganzes Rechnernetzwerk mindestens zweieinhalb Monate.
Das Bewusstsein um diese Werte hat womöglich bei einigen dazu geführt, dass wir Passwörter wie „J4fS<2“ gemeinhin als sicher eingestuft und vielleicht das früher übliche „123“ als Passwort endlich aufgegeben haben.
Nun habe ich bei Thomas Baekdal eine FAQ-Liste zum Thema „Usability of Passwords“ entdeckt, die nicht nur erklärt, wo die Schwachstellen bei uns Usern liegen, sondern auch, wie Serveradministratoren und Programmierer uns mit Restriktionen zu unsicheren Passwörtern regelrecht zwingen. Ebenso klärt der Artikel auf, wie Passwortattacken durchgeführt werden und mit welchen Mitteln selbst hochverschlüsselte Passwörter erraten werden können.
Alle, die mit Passwörtern arbeiten, sollten sich Baekdals Artikel durchlesen, um die grundlegenden Ablaufschemata hinter Logins zu verstehen und letztlich festzustellen, wie wenig auch die restriktivsten Sicherheitsvorgaben diverser IT-Abteilungen eigentlich bringen.
Darüber hinaus, und das ist der wesentlichste Punkt dieser Liste, gibt Baekdal Tipps für sichere Passwörter und erklärt dabei die Logik und die falsche Logik bisheriger Tabellen zur Passwortsicherheit. Nach Lektüre dieses Artikels stellt man schon mal die oben verlinkte Tabelle durch das nunmehr neue Wissen in Frage…
Thomas Baekdals Artikel mündet in der Beantwortung der Frage, ob ein Passwort wie „this is fun“ sicherer sein kann als „J4fS<2“, wo uns doch jahrelang genau das Gegenteil vermittelt wurde. Eines vorweg: Ja!