Wie sicher ist mein Passwort?

Dieser Beitrag wurde vor mehr als 8 Jahren veröffentlicht. Daher kann es sein, dass sein Inhalt oder ein Teil davon nicht mehr aktuell ist.

Im Internet gibt es viele, die an unsere Passwörter wollen, damit sie unsere Accounts hacken können. Ich bin davon bisher glücklicherweise verschont geblieben, doch ich habe auch seit geraumer Zeit immer ein sicheres Passwort. Doch was ist sicher? Man sagt ja ein gesunder Mix aus Zahlen, Klein und Großbuchstaben und Sonderzeichen ist sicher, das stimmt schon, doch geknackt werden kann es trotzdem.

Die Frage ist nun nur, wie lange das dauern würde. Bei einem Tag sollte man das Passwort auf jeden Fall ändern, denn so viel Ausdauer haben unsere geliebten Cracker. Bei einem Jahr wird es da schon schwieriger und man kann sich eigentlich sicher fühlen, doch es geht immer noch ein Stück besser.

Ich habe mein eigenes System hinter wichtigen Passwörtern. Ich kenne es nicht. Klingt vielleicht blöd, aber es ist sicher, denn wenn ich es nicht kenne, kann es auch niemand anderes kennen. Das erhöht die Passwortsicherheit extrem. Wie ich das mache? Ich merke mir einfach den Weg, den meine Hände auf der Tastatur zurücklegen und wann ich auf SHIFT drücken muss. Fragt nicht, warum ich es so mache, ich habe selbst keine Ahnung, wo ich das genau her habe.

Auf jeden Fall weiß ich durch die Seite howsecureismypassword.net jetzt, dass es gar nicht so falsch scheint, denn es würde wohl über eine Million Jahre dauern um es automatisiert zu knacken. Das würde sich nicht mal lohnen, wenn ich Bill Gates wäre.
Ein anderes Passwort von mir, welches ich für sicher hielt, welches nicht der Sicherheit meines wichtigen Passworts entspricht, braucht hingegen nur 4 Tage. Ein Sonderzeichen hinten dran und schon dauert es bereits 252 Tage.

Mich würde mal interessieren, wie lange man für eure Passwörter braucht.

13 Kommentare

  1. Oh man. Mein vermeintlich sicheres Passwort könnte man laut dieser Seite bereits nach 12 tagen knacken :o

    Da muss ich wohl noch ein bisschen arbeit reinstecken.

    Danke für den link!

    Auf diesen Kommentar antworten
    0
  2. wieso macht es bitte ein passwort sicherer, wenn man selbst nicht weiß, wie es geschrieben wird? wenn es nur zahlen sind dann ist es dadurch auch nicht sicherer und man sollte sein passwort eh nie verrraten!!!
    und die seite finde ich auch eher fragwürdig. ich wette die schicken die daten in irgendeine datenbank um dann die ganzen passwörter schneller zu knacken. sonst hätte die seite für den entwickler wohl wenig sinn.

    Auf diesen Kommentar antworten
    0
  3. Mein „Hauptpasswort“ braucht nur „About a year“, aber die für E-Mail und Truecrypt-Partitionen brauchen „About 24 septillion years“. Das für mittelwichtige „About 76 billion years“. Aber an alle kommt man mit hochintelligenten Wordlist-Attacken wahrscheinlich schneller ran. Ich will ja schon immer mal auf ganze Sätze als PW umsteigen. Die sind dann „About 9,571,860 nonillion years“. Mehr packt nen Integer glaub ich nicht :-D

    Meine für unwichtigeres sind "one of the 500 most common" und "about 15 hours".

    Auf diesen Kommentar antworten
    0
    • Hätte ja nicht erwartet, dass du ein Passwort nutzt, welches unter den 500 am häufigsten benutzen Passwörtern ist.

      Aber hochintelligente Wortlisten muss man auch erstmal haben. Und ich denke egal wie hochintelligent diese sind – ein Passwort welche mehr als eine Million Jahre dauern würde, kriegt man damit auch nicht in vertretbarer Zeit geknackt ;)

      Auf diesen Kommentar antworten
      0
  4. Mit "hochintelligent" meinte ich, dass nicht einfach Wörterbücher durchprobiert, sondern die Wörter auch mit variierender Groß-/Kleinschreibung durchgemischt und mit Trennzeichen kombiniert werden. Da würde man für meine Passwörter immernoch Trillionen von Jahre brauchen, aber nicht mehr 24 septillionen :)

    das mit den 500 hätte ich auch nicht gedacht. das dieses pw für ganz unwichtiges zeug in jedem wörterbuch steht und auch mit bruteforce in 5 minuten geknackt ist.

    Auf diesen Kommentar antworten
    0
  5. Ups, der letzte Satz im Kommi eben war nicht vollständig. „das dieses pw für ganz unwichtiges zeug in jedem wörterbuch steht und auch mit bruteforce in 5 minuten geknackt ist, wusste ich, aber ich hätte es vielleicht an position 1000 der häufigsten passwörter oder so eingeschätzt.“

    Auf diesen Kommentar antworten
    0
  6. Achtung:
    one trillion != 1 Trillion
    one billion != 1 Billion

    Bei meinem Truecrypt-Passwort sind es 25 Milliarden (25 billion) Jahre, bei meinem unwichtigen 30 Sekunden (ist nur gegen Noobs) sowie bei meinem nicht mehr verwendeten ~ 1 Sekunde.
    Aber macht euch keine Hoffnungen, mein aktuelles Password braucht 25 Milliarden Jahre! :-D

    Gruß, Max

    Auf diesen Kommentar antworten
    0
    • Es hat auch niemand behauptet, dass wir der Meinung sind, dass das englische trillion auch die deutsche Trillion ist. Aber du hast durchaus recht. Ich finde das deutsche System mit Millarden und Billarden eh schwachsinnig.

      Ich wüsste gar nicht, wie ich ein Passwort generieren sollte, welches in 30 Sekunden oder darunter geknackt werden könnte. Aber ich nutze eh immer Leetspeak für meine Passwörter.

      Gruß
      Wishu

      Auf diesen Kommentar antworten
      0
  7. "Es hat auch niemand behauptet, dass wir der Meinung sind, dass das englische trillion auch die deutsche Trillion ist."
    Ich wollte es der Vollständigkeit halber halt anmerken. So Fehler können einem ganz leicht unterlaufen.
    Allerdings finde ich die deutsche Steigerung mit -lion und -liard besser als das englische System, denn hier müssen wir uns viel mehr Prefixes merken.

    Ein einfaches Passwort? Ganz einfach: 6 oder 7 Zeichen, und nur alphanumerisch.

    Übrigens: Das Teil hat extreme Probleme mit Sonderzeichen, wie ich eben festgestellt habe (http://howsecureismypassword.net/faq/#works). Wenn es die Sonderzeichen korrekt erkennen würde, würde ich nicht 25 Milliarden Jahre, sondern noch erheblich mehr haben. So ist das natürlich klar.

    *Eigenwerb*: Hier findet sich übrigens ein böses Tool, mit dem man theoretisch Passwörter bruteforcen könnte:
    Link von Wishu entfernt (s. Erklärung)

    Gruß, Max

    Auf diesen Kommentar antworten
    0
    • Ich habe den Link zu dem Tool mal entfernt. Man findet es sicherlich auch schnell so, wenn man es braucht. Allerdings möchte ich das nicht unbedingt noch vereinfachen.
      Du solltest dir vielleicht auch überlegen ob es wirklich so sinnvoll ist, ein solches Tool zu verbreiten.

      Gruß
      Wishu

      Auf diesen Kommentar antworten
      0
      • Ich wüsste nicht, warum es unsinnvoll sein sollte.

        Denn: Man kann es nicht nur als Generator dafür benutzen, sondern auch als Benchmarktest für den eigenen Prozessor.

        Übrigens: Schönes neues Design!

        Gruß, Max

        Auf diesen Kommentar antworten
        0
        • Unsinnvoll – gefällt mir ^^'

          Es gibt viele andere Benchmarks, welche nicht für andere Gefährlich sind. Ich möchte nicht behaupten, dass man es nicht auch sinnvoll einsetzen kann, doch wird der Gedanke bei den meisten wohl eher negativ sein.

          Danke für das Kompliment ^^

          Auf diesen Kommentar antworten
          0

Weitere Kommentare sind auf diesem Blog nicht mehr möglich.