Datenschutz-Glossar

Passwortstärke

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist Passwortstärke?

Passwortstärke ist das Maß für die Sicherheit eines Passworts, typischerweise basierend auf Länge, Komplexität und Einzigartigkeit. Die Stärke eines Passworts wird oft in Bezug darauf beschrieben, wie lange es dauern würde, dieses Passwort mithilfe aktueller Software- und Hardware-Tools korrekt zu erraten (oder zu “knacken”).

Was macht ein Passwort stark?

Ein starkes Passwort ist eines, das schwer zu erraten ist. Ein Attribut, das dazu beitragen kann, dieses Ziel zu erreichen, ist die Länge des Passworts—je mehr Zeichen das Passwort hat, desto schwerer ist es zu erraten. Beispielsweise erhöht das Hinzufügen von zwei weiteren Buchstaben zu einem 8-Buchstaben-Passwort die Schwierigkeit, das Passwort zu erraten, um das 650-fache. Die meisten Websites setzen eine Mindestlänge von 8 Zeichen fest, aber Sicherheitsexperten empfehlen oft eine Länge von mindestens 14 bis 16 Zeichen, um zu verhindern, dass ein Computer es schnell errät.

Ein zweiter Bestandteil der Passwortstärke ist die Vielfalt der verwendeten Zeichen. Deshalb schlagen Websites oft vor—oder verlangen sogar—dass Passwörter Großbuchstaben, Zahlen und Sonderzeichen enthalten. Je größer die Vielfalt der Zeichen ist, desto mehr Möglichkeiten stehen einem Hacker zur Verfügung und desto schwerer ist das Passwort zu erraten. Wenn ein Passwort nur Kleinbuchstaben verwendet, bedeutet das, dass jedes Zeichen eine von 26 Möglichkeiten sein kann. Aber wenn jedes Zeichen auch Großbuchstaben, Zahlen und Sonderzeichen sein könnte, erhöht sich die Vielfalt der Möglichkeiten für jedes Zeichen auf etwa 70.

Ein langes Passwort zu verwenden, das eine Vielzahl von Zeichenarten enthält, ist gut; unvorhersehbar zu sein, ist noch besser. Das Erstezeichen zu kapitalisieren oder mit “!” zu enden, ist vorhersehbares Verhalten, das ein Hacker ausnutzen kann, um seine Chancen zu verbessern, ein Passwort zu erraten. Eine effektivere Strategie ist es, Großbuchstaben, Zahlen und Sonderzeichen an unerwarteten Stellen des Passworts zu platzieren. Beispielsweise macht das Ändern von “johnsmith” zu “JohnSmith1!” es zwar schwerer zu erraten, aber weniger vorhersehbar ist die Verwendung von Zeichenvarietäten in etwas wie “john6?SMITH” oder sogar “sMITH6?john”.

Wie kann ich starke Passwörter generieren?

Der beste Weg, die Vorhersehbarkeit menschlichen Verhaltens zu beseitigen, ist die Verwendung von zufällig generierten Passwörtern. Du kannst diese von Online-Tools erhalten, die von cybersecurity Organisationen bereitgestellt werden, oder als Teil eines password manager. Die Verwendung eines Passwort-Managers hat auch den Vorteil, dass das Passwort für dich gespeichert wird. Dies ist besonders hilfreich, da zufällig generierte komplexe Passwörter praktisch unmöglich zu merken sind.

Wenn du ein Passwort brauchst, an das du dich erinnern kannst (z. B. das Passwort zum Entsperren deines Passwort-Managers), ist ein ausgezeichneter Trick, mehrere nicht zusammenhängende Wörter aneinander zu reihen, die insgesamt 18 oder mehr Buchstaben ergeben, und dann eine kleine Geschichte oder ein mentales Bild zu erstellen, das dir hilft, dich zu erinnern. Zum Beispiel ist “snowingreadpillowupstairs” ein sehr starkes, 25 Zeichen langes Passwort, das man sich durch eine Geschichte wie “Wenn es schneit, gehe ich gerne nach oben, um im Bett zu lesen” merken kann. Eine weitere Alternative ist das Zusammenfügen eines kurzen Satzes. So könnten wir zum Beispiel “ILike2GoUpstairs&Read” verwenden.

Wenn du Passwörter ohne Generator erstellst, ist es wichtig, keine persönlichen Informationen zu verwenden. Verwende keine Geburts- oder Jahrestage, Familien- oder Tiernamen oder aktuelle oder frühere Adressen. Einige dieser Informationen sind öffentlich verfügbar—oder können in einem data breach verfügbar werden—was das Passwort leicht erratbar macht.

Wie knacken Hacker Passwörter?

Die beliebteste Methode, ein “Brute-Force-Angriff”, versucht systematisch jede mögliche Zeichenkombination, bis es gelingt, sich anzumelden. Der Prozess kann damit beginnen, wahrscheinliche Möglichkeiten auszuprobieren (z.B. “default” oder “admin”), dann zu allen realen Wörterbuchwörtern und beliebten Passwörtern zu wechseln, die aus der Analyse von Daten-Leaks ermittelt wurden (z.B. “acbd134”, “qwerty” oder “password1”). Wenn diese Vermutungen erschöpft sind, geht der Prozess weiter, alle möglichen Kombinationen von Buchstaben, Zahlen und Symbolen durchzugehen.

Dieser gewaltige Aufwand wird nicht von einer einzelnen Person durchgeführt, die manuell Vermutungen auf einer Tastatur eingibt. Jedoch kann es von einem einzelnen Hacker mit ausgeklügelter Software und einem hochwertigen Heimcomputer erreicht werden. Mit dieser Ausstattung ist es möglich, ein 8-stelliges Passwort mit nur Kleinbuchstaben in wenigen Sekunden zu knacken. Ein 8-stelliges Passwort, das Klein- und Großbuchstaben, Zahlen und Sonderzeichen verwendet, könnte ein paar Stunden dauern. Wenn dieselbe Knack-Software auf einem High-End-Computer, einem botnet (ein Netzwerk aus verbundenen und koordinierten Computern) oder über Cloud-Computing eingesetzt wird, ist der Prozess noch schneller, um Ihr bestes 8-stelliges Passwort zu knacken. Zum Beispiel bedeutet das Mieten von Cloud-Computing für nur eine kurze Zeit, dass ein Hacker diese gleichen 8-stelligen Passwörter sofort (wenn alle Kleinbuchstaben) oder in etwa 15 Minuten (wenn das Passwort eine Vielzahl von Zeichen verwendet) knacken kann. Im Gegensatz dazu würde das Passwort “sMITH6?john” mehr als 10 Jahre dauern, um es zu knacken, und “ILike2GoUpstairs&Read” würde Billionen von Jahren dauern.

Gehashte Passwörter (bei denen das Passwort selbst verwendet wird, um seinen eigenen eindeutigen Code zu erstellen), die bei einem Datenleck offengelegt wurden, werden einer ähnlichen Brute-Force-Attacke unterzogen. Wenn der Hacker das verwendete Hash-Schema kennt, kann er alle möglichen Passwörter durch denselben Passwortvalidierungsprozess lokal (d.h. auf seinem Computer) laufen lassen und die Vermutungen mit den tatsächlich gespeicherten Hashes online abgleichen. Wenn von den Websites, die deine Passwörter speichern, keine Best Practices verwendet werden, kann dieses Verfahren mehrere Passwörter auf kompromittierten Daten in einem einzigen Durchlauf durch den Knackvorgang knacken.

Warum sollte ich für jede Anmeldung ein anderes Passwort erstellen?

Wenn ein Hacker dein Passwort für ein Konto knackt, wird er dasselbe Passwort bei anderen Konten ausprobieren und hoffen, dass du es anderswo verwendet haben—eine gängige Praxis namens “Credential Recycling”. Wenn dein Passwort auf verschiedenen Websites dasselbe ist, bedeutet dies, dass der Hacker sofort Zugriff auf mehrere Konten hat, indem er einfach ein Passwort knackt. Hacker werden diese bekannte Gewohnheit ausnutzen, indem sie Datenbanken angreifen, die sie für weniger sicher halten, wie z.B. ein Forum für einen lokalen Club. Wenn sie in der Lage sind, in ein Konto auf einer Website mit weniger Sicherheit einzubrechen, erhalten sie ein Passwort, das sie dann bei höherwertigen Zielen wie Bankwebsites ausprobieren können.

Selbst wenn in deinen Konten nichts passiert, falls du erfährst, dass ein wiederholtes Passwort Teil einer Datenverstoß ist, musst du dieses Passwort überall dort ändern, wo es verwendet wird—der Reinigungsaufwand ist größer, besorgniserregender und muss unter Zeitdruck abgeschlossen werden. Es ist weniger stressig, wiederverwendete Passwörter proaktiv zu ändern, bevor jemals ein Verstoß auftritt.

Es ist besonders wichtig, dein E-Mail-Passwort stark und einzigartig zu machen. Wenn ein Hacker in der Lage ist, dein E-Mail-Passwort zu knacken, kann er jedes andere Passwort ändern, das durch Klicken auf “Passwort vergessen” und Folgen der in dein E-Mail-Posteingang gesendeten Reset-Verfahren zurückgesetzt werden kann.

Alle deine Passwörter im Auge behalten

Das Verwalten von Dutzenden von einzigartigen, komplexen Passwörtern ist eine gewaltige Aufgabe. Ein Passwort-Manager ist ein nützliches Werkzeug, um dabei zu helfen. Ein guter Passwort-Manager kann alle Login-IDs und Passwörter speichern und diese Informationen über Geräte wie deinen Laptop und dein Telefon synchronisieren. Ein Passwort-Manager bietet auch zusätzlichen Schutz, weil du dich damit anmelden kannst, ohne die Informationen tatsächlich einzugeben, wodurch die Informationen außerhalb des Pfads von allen keyloggers bleiben. Passwort-Manager können eigenständige Programme, browser extensions oder eine in deinen Browser eingebaute Funktion sein, zum Beispiel im Brave Browser.

Während ein Passwort-Manager dir hilft, Passwörter im Auge zu behalten, die nicht merkbar sind, ist es wichtig, ein starkes Passwort zu wählen, das du dir merken kannst, um den Passwort-Manager zu sichern. Dies ist eine hervorragende Situation, um ein Passwort zu verwenden, das aus mehreren hintereinander gereihten Wörtern besteht.

Wenn du starke Passwörter verwendest, müssen sie nicht geändert werden, es sei denn, du denkst, dass sie kompromittiert wurden. Häufige Änderungen können zu Frustration und Fehlern führen, ohne die Sicherheit zu erhöhen.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.