10 Jahre Passwort Sicherheit - Cyber Security Blog von Patrick Neumann

Warum benötigt man mindestens 9 Zeichen um die Passwort Sicherheit zu gewährleisten?

Passwörter werden nicht verschlüsselt sondern es wird ein Hash Wert für ein Passwort erstellt. Der Unterschied zu einer Verschlüsselung liegt daran dass man mit keinem Schlüssel zurück auf das Passwort rechnen kann. Mann kann nur versuchen ein Passwort zu erraten. Dazu gibt es einfache Programme (HashCat, Mimikatz, etc.) die das machen.

Allerdings benötigt man dafür Rechenleistung. Jedes Jahr werden die Rechner immer Schneller. Daher müssen die Sicherheitskriterien immer wieder angepasst werden.

Wieviel Zeit benötigt ein Rechner für das Brute Forcen bzw. erraten eines Passwortes?

Die Zeit für das Brute Forcing ist nicht nur von der Länge, vom Zeichensatz und den eingesetzten Algorithmen und deren Parametern abhängig, sondern auch von der Rechnerkapazität.

Daher ist eine genaue Angabe von Zeiten sehr schwierig.

Die Zeit kann aber über folgende Formel berechnet werden.

Annahme die GPU kann 100 Millionen Hashes pro Sekunde

Die Anzahl der Kombinationen beträgt damit:

10⁴ = 10.000 Kombinationen

Zeit =

Anzahl der KombinationenHashes pro SekundeAnzahl der KombinationenHashes pro Sekunde

10.000100.000.00010.000100.000.000 = 0,0001 Sekunden

Mit dieser Formel lässt sich somit jede beliebige Zeit anhand der Leistung (Hashes pro Sekunde) und Länge und Zeichensatz (Anzahl der Kombinationen) berechnen.

Hier wird zuerst eine Mathematische Methode beschrieben, um die theoretische Aussage der Passwort Komplexität zu berechnen.

Es werden 3 Beispiele angeführt.

10 Jahre entsprechen 315.576.000 Sekunden

Für eine maximale Zeit von 315.576.000 Sekunden und einer Anzahl von 100.000.000 Hashes pro Sekunde werden also mindestens 3.15576e+16 Kombinationen benötigt (31.557.600.000.000.000).

Die Länge je Zeichensatz kann durch folgende Formel berechnet werden:

L = log₍_A_nzahl_Zeichen_im_Zeichensatz₎(Zeit)

Beispiele für verschiedene Passwort Längen in den verschiedenen Zeichensätzen:

Ziffern 0-9 (10 Zeichen):

L=log₍₁₀₎(31.557.600.000.000.000) ≈≈ 16

Groß und Kleinbuchstaben (52 Zeichen):

L=log₍₅₂₎(31.557.600.000.000.000) ≈≈ 9,4

Alle Zeichen inkl. Sonderzeichen (95 Zeichen):

L=log₍₉₅₎(31.557.600.000.000.000) ≈≈ 7,7

Es wird also je nach Zeichensatz eine Länge von 8 bis 16 Zeichen benötigt, wenn man nach diesen Berechnungen und den Beispielangaben (Hashes pro Sekunde) folgt.

Allerdings werden von verschiedenen Institutionen andere Empfehlungen herausgegeben die ich wie folgt anführen möchte.

NIST:

Die NIST empfiehlt eine Maximale Zeichenlänge von 8 Zeichen (Stand Oktober 2024).
https://pages.nist.gov/800-63-3/sp800-63b.html

Anmerkung: Diese Zeichenlänge reicht jedoch laut HIVE nicht mehr aus.

HIVE:

Fazit für Ihre Passwort Sicherheit:

Es wird eine Zeichenlänge von mindestens 9 Zeichen und ein Zeichensatz von mindestens Groß und Kleinschreibung verlangt, um auf eine Sicherheit von mindestens 10 Jahren zu kommen.