In diesem Artikel wird gezeigt, wie man mit Hilfe einer einfachen Formel berechnen kann, wie viele mögliche Kombinationen bei einem Brute-Force-Angriff auf ein Passwort möglich wären. Je mehr Zeichen in dem Passwort enthalten sind, umso schwieriger wird es für den Angreifer, den Hash mit einem Brute-Force-Angriff zu knacken.
Bei einem Brute-Force-Angriff auf einen Hash werden alle möglichen Kombinationen durchprobiert. Je länger das Passwort und umso mehr Sonderzeichen man verwendet, umso mehr mögliche Kombinationen gibt es.
Berechnen der möglichen Kombinationen
Um die Anzahl der möglichen Kombinationen zu berechnen, müssen wir erst einmal ermitteln, welche Zeichen in unserem Passwort enthalten sind. Als Beispiel nehmen wir nun mal das Passwort MyPassword123
. In diesem Passwort sind Kleinbuchstaben, Großbuchstaben und Zahlen enthalten. Die Zeichen a-z
, A-Z
und 0-9
ergeben schon mal insgesamt 62
verschiedene Zeichen. Hätte das Passwort also nur eine Stelle, dann müsste man nur 62
verschiedene Kombinationen durchgehen. Unser Passwort hat aber 13
Stellen.
Wenn wir jetzt die Anzahl der möglichen Kombinationen ermitteln wollen, dann müssen wir [Zeichen] ^ [Passwortlänge]
berechnen. In unserem Fall wäre das also 62 ^ 13
. Das ^
steht für Hochrechnung. Wenn wir das Ergebnis nun berechnen, dann hat unser Passwort insgesamt 200.028.539.268.669.788.905.472
mögliche Kombinationen.
Als weiteres Beispiel nehmen wir nochmal ein einfacheres Passwort. Unser neues Beispielpasswort lautet nun abc123
. In diesem Passwort sind 36
mögliche Zeichen enthalten (a-z
und 0-9
). Die Passwortlänge beträgt 6
Zeichen. Unsere Rechnung wäre also 36 ^ 6
. Ausgerechnet ergibt das insgesamt 2.176.782.336
mögliche Kombinationen. Für dieses schwache Passwort würde die Knackzeit weniger als 2 Sekunden betragen. Aus diesem Grund sollte das Passwort mindestens 8 - 10 Stellen sowie Groß- und Kleinbuchstaben enthalten.
Berechnen der Passwort-Knackzeit
Im vorherigen Abschnitt ging es darum, wie man ermitteln kann, wie viele mögliche Kombinationen ein Passwort hat. Mit diesem Wert können wir nun auch berechnen, wie lange es dauern würde, um das Passwort zu knacken. Um dies zu berechnen müssen wir erst einmal wissen, wie viele Berechnungen unser Rechner pro Sekunde durchführen kann. Falls wir mit der Grafikkarte arbeiten haben wir schon mal einen enormen Vorteil.
Als Beispiel-Rechenleistung nehmen wir mal 4 Milliarden Berechnungen pro Sekunde. Um nun zu berechnen, wie viele Sekunden der Vorgang dauern würde, müssen wir [Kombinationen] / [Rechenleistung]
rechnen. Mit dem Ergebnis dieser Rechnung kann man dann weiterarbeiten und zum Beispiel die Minuten, Stunden oder Jahre berechnen.
Grundlegendes zur Passwortsicherheit
Wie oben bereits erwähnt, sollte ein Passwort mindestens 8 - 10 Stellen enthalten. Dabei sollten mindestens Groß- und Kleinbuchstaben und evtl. auch noch Zahlen und Sonderzeichen vorkommen. Am allerwichtigsten ist aber, dass das Passwort in keiner Wordlist zu finden ist. Das längste Passwort bringt nichts, wenn es in einer Wordlist vorkommt. Eine Worldlist wird bei Dictionary-Angriffen (Wörterbuchattacken) verwendet.
In dieser Wordlist stehen Millionen von Wörtern, die häufig benutzt werden. Stellt deshalb sicher, dass euer Passwort nicht in einer Wordlist vorhanden ist und gebt euer Passwort auch nicht auf irgendwelchen Phishing-Seiten ein. Das beste Passwort bringt nichts, wenn der Benutzer es ohne nachzudenken auf einer Phishing-Webseite eingibt.