Naja, der Satz hat auch so seine Tücken, wenn man nicht alles bedenkt.
Hier mal ein paar Hinweise, wie ein sicheres Passwort aufgebaut sein sollte.
Aufbau eines sicheren Passworts
Ein relativ sicheres Passwort sollte aus einer Mischung von Großbuchstaben, Kleinbuchstaben und Ziffern bestehen. Es kann/sollte folgende Spezialzeichen enthalten:
& ! ? * ' $ % : + , - < = # " . @ ; > / ) (
Die Verwendung von Steuerzeichen (z.B. CONTROL-Sequenzen) und Umlauten ist zwar möglich, wird aber nicht empfohlen, da dies zu unerwünschten Effekten führen kann. Es ist noch anzumerken, daß bei UNIX-Passwörtern nur die ersten acht Zeichen berücksichtigt werden, längere Zeichenfolgen werden abgeschnitten.
Es sollte kein Wort einer bekannten Sprache sein (z. B. Englisch, Deutsch oder Französisch). Außerdem sollte man für zwei Accounts nie dasselbe Passwort benutzen! Gute Passwörter sollten also einen Mittelweg zwischen nicht erratbaren Zeichenfolgen und noch merkbaren Zeichenfolgen darstellen.
Doch wie lang sollte ein Passwort sein? Generell kann man sagen, daß eine Mindestlänge von 8 Zeichen für die meisten Sicherheitsanforderungen sinnvoll ist: 8 Zeichen bedeuten 191707312997281 Kombinationen bei der Zeichenklasse a-z, A-Z, und 0-9 (= 62 Zeichen). Das würde bei einer Million Kombinationen pro Sekunde eine Maximalzeit von ca. 53252 Stunden, also fast 6 Jahre bedeuten.
In höheren Sicherheitsbereichen (etwa Fimen-Netze oder dergleichen) sollte man auf 10 Zeichen Mindestlänge erhöhen (= 713342911662882601 Kombinationen, entspricht etwa 22600 Jahre).
Nachfolgend zur Einschätzung der Sicherheit der Passwortlänge eine kleine Tabelle mit 62 möglichen Zeichen (a-z, A-Z und 0-9) für das Passwort und einer angenommenen Computerleistung des Angreifers von 1 Millionen Kombinationen pro Sekunde:
Passwortlänge.......................
maximal benötigte Zeit
3 Zeichen.................................0,2 Sekunden
5 Zeichen.................................14 Minuten
8 Zeichen.................................6 Jahre
10 Zeichen...............................22620 Jahre
12 Zeichen...............................84168853 Jahre
15 Zeichen...............................19104730610573 Jahre
Doch nun kommt die Ernüchterung. Alle diese Angaben sind sogenannte Maximalzeiten! Maximalzeit bedeutet: wenn jemand in der angegebenen Geschwindigkeit versucht, das Passwort zu knacken, und erst die allerletzte eingegebene Zeichenkombination die richtige ist, dann dauert es so lange wie angegeben. Aber theoretisch könnte ja auch schon die allererste eingegebene Zeichenkombination richtig sein. Dann hat es nur eine hunderttausendstel Sekunde gedauert, um das Passwort zu knacken - trotz 15 Zeichen. Es kann also durchaus sein, daß der Angreifer ein Passwort innerhalb weniger Sekunden herausgefunden hat. Doch zwischen der Maximalzeit und der theoretischen Chance, ein beliebiges Passwort mit nur wenigen Versuchen zu knacken, liegt der für potentielle Angreifer ziemlich ungemütliche "mittlere Bereich", der in der erdrückenden Mehrheit aller Fälle relevant ist - also der Bereich zwischen mehreren Tagen und einigen Jahren.
Es kommt natürlich auch auf die Rechenleistung des Angreifers an: hier wurde mit einer Millionen Kombinationen pro Sekunde gerechnet. Andere, bessere, später gebaute Rechner schaffen vielleicht das Millionenfache.
Zusammenfassend kann man sagen, daß ein gutes Passwort folgende Bedingungen erfüllen muß:
- es sollte eine Länge von mindestens 8 Zeichen besitzen,
- es sollte aus einer Mischung von Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen bestehen,
- Leerzeichen sind nicht zulässig,
- man sollte es sich leicht merken können, damit man es nicht aufschreiben muß,
- es sollte kein Wort einer bekannten Sprache sein,
- es sollte keine Tastaturfolge wie z.B. "qwerty" oder "asdfgh" sein,
- das Passwort sollte man schnell eingeben können, damit es niemand beim Eintippen mitlesen kann,
- das Passwort sollte für andere Benutzer sinnlos sein.
Das gewählte Passwort sollte ebenfalls keine offenkundig mit Ihrer Person verbundene Information enthalten. Name, Telefonnummer, Geburtsjahr, Kosename der Freundin usw. als Komponente eines Passwortes sind also fehl am Platz. Generell sind auch Einträge aus Wörterbücher zu vermeiden, da diese leicht mit modernen Passwort-Suchprogrammen erkannt werden können und auch das Erraten der Passwörter erleichtern.
Das Passwort sollte geändert werden sobald man vermutet, daß jemand das Passwort wissen könnte. Dazu reicht es aus, daß man vermutet, daß jemand das Passwort wissen könnte, es muß noch kein Einbruch vorliegen.
Gruß Holgi
P.S.: Sorry für die kleine Ausschweifung
P.P.S.: Das Programm was John empfiehlt kann ich auch nur empfehlen. Vor allem, man kann sich die Daten anschleißend auch auf CD brennen, un niemand kann was damit anfangen.
