Passwort: Auf die Länge kommt es an

In der aktuelle Ausgabe 10/2009 der herrlich unrhythmisch und nie zu früh erscheinenden DuD (Datenschutz und Datensicherheit) findet sich ein Artikel von Dirk Fox zu „Mindestlängen von Passwörtern und kryptografischen Schlüsseln“ (620-623). Der technische Fortschritt fordert seinen Preis; Stichworte „Rainbow Tables“ und hilfreiche Grafikprozessoren. Aus der Dauer einer „Brute Force“-Suche nach Windows-Passworten mit „Rainbow Crack“ ergibt sich – vereinfacht gesagt – die Konsequenz:

Wenn nicht durch geeignete technische Maßnahmen sicher ausgeschlossen werden kann, dass jemals eine Windows-Passwort- Hash-Tabelle – die SAM-Datei – in die Hände eines Unberechtigten fällt, dann müssen Passwörter mindestens 10 Zeichen lang sein – selbst bei monatlichen Passwortwechseln und komplexen Passwörtern.
Werden nur Buchstaben oder Buchstaben mit (mindestens) einem Sonderzeichen oder einer Ziffer verwendet, wie in zahlreichen Passwort-Policies gefordert, ist eine Mindestlänge von 11 Zeichen erforderlich. Gute Passwörter dieser Länge erfordern jedoch ausgefeilte Merkregeln.

Erfreulicherweise ist der Artikel als PDF neben anderen Schätzchen auf der Publikationsseite von secorvo abrufbar. Zum Thema dort  auch „Fox, Dirk; Schaefer, Frank: Passwörter – fünf Mythen und fünf Versäumnisse, Datenschutz und Datensicherheit (DuD), 7/2009, S. 425-429.“ – mindestens ebenso lesenswert, u.a. zum „Mythos Passwortkomplexität“:

Komplexitätsregeln führen in der Praxis häufig dazu, dass sich der zu berücksichtigende Suchraum für einen Angreifer verkleinert. Zudem ist eine größere Passwortmindestlänge deutlich wirkungsvoller als die Erzwingung eines (vermeintlich) komplexeren Passworts.

Sag ich doch: Auf die Länge kommt es an.

Werbung