Seit 2013 gilt der erste Donnerstag im Mai als »World Password Day« - oder einfach nur der Welt-Passwort-Tag. In diesem Jahr fällt die Ehre auf den 1. Mai 2025.
Pünktlich dazu haben die Sicherheitsspezialisten von Hive Systems ihre jährliche Passworttabelle aktualisiert: Wie lange brauchen Angreifer, um euer Passwort zu knacken?
Als Berechnungsgrundlage dienen zwölf Nvidia Geforce RTX 5090, die als aktuell stärkste Consumer-GPU massig Leistung hat, um ein vergleichsweise schwaches Passwort zu knacken. Diesen Vorgang müsst ihr euch (stark vereinfacht) wie folgt vorstellen:
- Webseiten speichern eure echten Passwörter nicht direkt. Stattdessen benutzen sie eine spezielle Rechenformel (»Hashfunktion«), um das Passwort in einen durcheinandergebrachten Code (einen Hash) zu verwandeln. Wenn Hacker in die Systeme einer Firma einbrechen, stehlen sie diese Hashes – nicht die Klartext-Passwörter.
- Wenn ihr »meinpasswort« durch die Hashfunktion schickt, bekommt ihr immer denselben Code heraus. Aber: Man kann den Code nicht einfach zurück in »meinpasswort« verwandeln.
- Für die Mathematiker unter euch: Eine Hashfunktion ist in der Regel nicht injektiv (oder linkseindeutig).
- Weil Hacker den Hash entsprechend nicht einfach »entschlüsseln« können, sind leistungsstarke Computer gefragt, die Milliarden an Versuchen pro Sekunde durchführen können. Für jedes erratene Passwort berechnen sie den Hash. Wenn der Hash mit einem der gestohlenen Hashes übereinstimmt, wissen sie, dass sie das richtige Passwort gefunden haben.
34:39
Neue Spiele im Mai - Videovorschau für PC und Konsolen.
Ihr habt ein Passwort mit sechs Klein- und Großbuchstaben? Das ist in zwei Tagen weg
Für die nachfolgende Tabelle nimmt Hive Systems den bcrypt-Algorithmus als Hashfunktion ins Visier, der laut den Autoren inzwischen zu den beliebtesten Lösungen in diesem Gebiet zählt.
Die Tabelle, die ihr im Bild seht, geht übrigens vom bestmöglichen Szenario für das Opfer – und umgekehrt vom schlechtestmöglichen Szenario für Angreifer – aus. Das heißt auch, dass die Zeitangaben das Maximum darstellen, bis ein Passwort mit entsprechender Länge geknackt wird.
Erst im grünen Bereich gelten eure Passwörter laut Hive Systems als wirklich zukunftssicher. Ihr braucht also (mindestens) eine Zeichen- und Symbolkette von 13 verschiedenen Symbolen.
- Bevor euch die Aussage »56 Milliarden Jahre für mein Passwort ist doch vollkommen in Ordnung« durch den Kopf geht – bedenkt, dass diese Liste von der Performance von zwölf RTX 5090 ausgeht.
- Mit mehr Grafikkarten, Workstation-Lösungen verschwinden diese Jahre schnell wieder; dank exponentiell steigender Rechenleistung in den kommenden Jahren sinkt umgekehrt ebenfalls die benötigte Zeit. So können aus 56 Milliarden Jahren schon am Ende des Jahrzehnts nur noch wenige Wochen werden.
Die Passworttabelle geht zudem von einem »Blackbox«-Szenario aus: Die Angreifer müssen von null beginnen, um euren Hash zu knacken.
Natürlich gehen Hacker zu Beginn durch die Liste der meistgenutzten Passwörter, eine »Rainbow Table« oder gleich ein ganzes Wörterbuch, ehe sie sich möglicherweise an die wirklich zufälligen Kennwörter versuchen.
Zudem lassen sich auch vorhergehende Datenlecks abgleichen, denn wenn ihr dasselbe Passwort mehrfach verwendet, haben die Angreifer ebenfalls leichteres Spiel. In diesen Fällen sieht die Tabelle wie folgt aus:
Die Webseite »How Secure is my Passwort?« hat übrigens nicht nur eine Option, eure theoretische Passwortsicherheit zu testen, sondern auch einige Tipps, wie ihr euch bestmöglich schützen könnt.
- Auch hier wird euch zu einer Passwortlänge von mindestens 12 Zeichen geraten. 16 und mehr sind natürlich besser.
- Das US-amerikanische NIST (National Institute of Standards and Technology) empfiehlt inzwischen, einfach sinnbefreite Sätze als Passwort zu verwenden. Frei nach dem legendären XKCD-Comic: »KorrektesPferdBatterieStapel« wäre bereits ausreichend. Bitte nehmt nicht KorrektesPferdBatterieStapel, ich verwende das überall.
- Angesichts der zweiten Passworttabelle solltet ihr natürlich auch stets einzigartige Passwörter pro Konto verwenden. Sollte das aber irgendwann zu viel zu merken sein, gibt es Passwortmanager, die wiederum möglichst sicher geschützt werden wollen – dafür gibt es indes Möglichkeiten wie Passkeys.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.