Das Passwort ist das Authentifizierungsmittel Nummer 1. Es schützt unsere Geräte vor fremden Zugriff, aber auch digitale Konten wie bspw. das E-Mail-Konto werden durch ein eigenes Passwort geschützt. Das Passwort tritt in verschiedenen Formen auf, die häufigsten sind jedoch ein wirkliches Passwort oder ein 4-stelliger PIN. Wir haben uns diese beiden Verfahren näher angeschaut um so festzustellen, ob der 4-stellige Code genug Sicherheit bietet.
PIN oder Passwort: Anzahl der Code-Möglichkeiten
Ein sogenannter Brute-Force-Angriff zielt darauf ab, alle Möglichkeiten auszuprobieren. Dementsprechend ist ein Gerät am besten gegen diese Angriffsart geschützt, wenn es möglichst viele Möglichkeiten gibt.
4-stellige PIN-Code:
Der PIN-Code bietet 4 Stellen an, die der Benutzer frei vergeben kann, um sein eigenen PIN-Code zu erstellen. Pro Stelle hat der Nutzer also 10 Möglichkeiten, nämlich die Ziffern “0” – “9”. Diese 10 Möglichkeiten müssen wir nun mit den 10 Möglichkeiten der anderen Stellen multiplizieren, um die Anzahl der Möglichkeiten zu erhalten, die das System zur Verfügung stellt:
Anzahl-Möglichkeiten (PIN-Code) = 10 * 10 * 10 * 10 = 10.000
Passwort-Möglichkeiten:
Die Anzahl der Möglichkeiten des klassischen Passwortes hängt logischerweise von der Anzahl der Stellen ab. Für den Vergleich mit dem 4-stelligen PIN-Code berechnen wir zunächst die Anzahl der Möglichkeiten für ein 4-stelliges Passwort. Pro Stelle hat der Nutzer nun nicht mehr nur 10 Möglichkeiten sondern etwa 72! Zu diesen 72 Zeichen gehören alle Buchstaben des Alphabetes, mit jeweils der Groß- und Kleinschreibung (ohne Umlaute). Neben diesen (26 * 2 = 52) Zeichen kommen noch 10 Sonderzeichen dazu und die 10 Ziffern, die wir schon aus dem PIN-Code kennen.
Um nun die Anzahl der Möglichkeiten eines 4-stelligen Passwortes zu berechnen gehen wir genauso vor wie bei dem PIN-Code Beispiel, jedoch nun mit 72 Möglichkeiten pro Stelle:
Anzahl-Möglichkeiten (4-stelliges Passwort) = 72 * 72 * 72 * 72 = 26.873.856
Alleine diese Darstellung zeigt schon den Unterschied der Anzahl der Möglichkeiten, wenn wir als Nutzer den kompletten Zeichensatz zur Verfügung haben. Im Folgenden schauen wir uns nun ein Beispiel an, welches verdeutlichen soll, wie wichtig es ist ein möglichst langes Passwort zu wählen.
Wir gehen von einem schnellen Computer aus, welcher rund 2 Milliarden Instruktionen pro Sekunde schafft. Laut Wikipedia schafft einer der aktuellsten Prozessoren deutlich mehr Instruktionen pro Sekunde, aber für unser Beispiel reicht die Vereinfachung aus.
Um ein 4-stelligen PIN-Code zu knacken, braucht der Computer mit 2 Milliarden Instruktionen pro Sekunde rund: 10.000 / 2.000.000.000 = 0,000005 Sekunden (Anmerkung: Ein Lidschlag dauert ca. 0,4 Sekunden).
Ein 4-stelliges Passwort zu knacken dauert in diesem Beispiel: 26.873.856 / 2.000.000.000 = 0,013437 Sekunden
Obwohl ein 4-stelliges Passwort ca. 2700mal mehr Möglichkeiten bereitstellt als der 4-stellige PIN-Code ist kein Vorteil geboten, da beide Versionen in unter 1 Sekunde geknackt werden.
Wie lang sollte ein Passwort gewählt werden?
Grundsätzlich bietet ein längeres Passwort bezüglich eines Brute-Force-Angriff eine bessere Sicherheit. Es gibt mehrere Möglichkeiten, sich diese langen Passwort zu merken, eine Möglichkeit ist die Verwendung eines Passwort-Managers.
Wir bleiben bei unserem Beispiel und berechnen, wie lange der Angreifer bräuchte, um ein 6-stelliges Passwort und im Vergleich ein 10-stelliges Passwort zu knacken:
Dauer für (6-stelliges Passwort) = 72 * 72 * 72 * 72 * 72 * 72 / 2.000.000.000 = 69,657 Sekunden
Dauer für (10-stelliges Passwort) = 72 * 72 * 72 * 72 * 72 * 72 * 72 * 72 * 72 * 72 / 2.000.000.000 = 21.666 Tage
Der Unterschied zwischen einem 6-stelligen und 10-stelligen Passwort beträgt ca. 59 Jahre. Jede weitere Stelle würde diesen Abstand exponentiell vergrößern. Durch dieses Beispiel haben wir gezeigt, welchen Unterschied ein langes Passwort macht.
Bin ich mit einem langen PIN oder Passwort sicher?
Gegen einen Brute-Force-Angriff ist man mit einem langen Passwort gut geschützt. Eine weitere Schutzmaßnahme, die in vielen Smartphones vorhanden ist, ist das Sperren nach bspw. 10 Fehlversuchen etc. Solche Mechanismen sorgen dafür, dass ein Brute-Force-Angriff nur schwer durchzuführen ist.
Neben diesem Angriffsvektor gibt es jedoch unzählige weitere, die darauf abzielen Ihr Passwort zu knacken. Social Engineering oder auch Phishing-Seiten können benutzt werden um Ihre Passwörter zu knacken.
Abschließend können wir festhalten, dass es viele Betrugsmaschen gibt, die versuchen unsere Passwörter zu stehlen, aber sobald wir als Nutzer die Möglichkeit haben unser Gerät bzw. Konto mit einem langen Passwort zu schützen, sollten wir diese Variante dem 4-stelligen PIN-Code definitiv vorziehen.
