Artikel/Download (pdf / 77KB)

 

Der Zusammenhang zwischen Passwortlänge und Brute-Force-Attacken

Brute-Force-Attacken sind Versuche eines Programms, das Passwort eines anderen Programms zu brechen, indem alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen ausprobiert werden. Daher ist ersichtlich, dass die Passwort-Länge/Passwort-Kombination den Zugriff auf Passwort-gesicherte Zugänge erschwert wenn nicht sogar unmöglich macht.

Wählt der Anwender ein Passwort, das bspw. nur aus sechs Kleinbuchstaben besteht, so steht fest, dass der derzeit (Stand: November 2008) schnellste Einzel-PC eines Privatanwenders ca. 75.000.000 (in Worten: 75 Millionen) Schlüssel in der Sekunde generieren kann (siehe: Link).

Speziell modifizierte Heimcomputer schaffen es aktuell (Stand: November 2008) sogar auf bis zu 166.000.000 Schlüssel in der Sekunde.

Der aktuell schnellste und einsatzbereite Supercomputer der Welt - der Blue Gene/L (Stand: November 2008) im Lawrence Livermore Institut (USA) - besitzt eine Leistung von 478,2 Teraflop. Dies entspricht umgerechnet in Rechenoperationen pro Sekunde, dass Blue Gene/L circa 6.3 Millionenmal schneller ist, als der schnellste Einzelplatz-Computer.

Bei einem Passwort, das aus lediglich sechs Kleinbuchstaben besteht, sind rein rechnerisch 308.915.776 verschiedene Buchstabenkombinationen möglich, so dass der genannte Einzelplatz-Computer im schlechtesten Fall nur 4 Sekunden benötigen würde, um alle Kombinationen auszuprobieren.
Die mathematische Regel zur Berechnung der Kombinationsmöglichkeiten lautet an diesem Beispiel:
Kombinationen = 26 (hoch 6)
= 26 * 26 * 26 * 26 * 26 * 26
= 308.915.776 / 75.000.000 Keys/sec
= 4.1 Sekunden

Würde man die Länge des Passwortes auf 7 Zeichen erhöhen, so erhält man:
Kombinationen = 26 (hoch 7)
= 26 * 26 * 26 * 26 * 26 * 26 * 26
= 8.031.810.176 / 75.000.000 Keys/sec 
= 107 Sekunden 
= 1 Minute 47 Sekunden

Erhöht man die Länge des Passwortes weiter auf 8 Zeichen, so erhält man:

Kombinationen = 26 (hoch 8)
= 26 * 26 * 26 * 26 * 26 * 26 * 26 * 26
= 208.827.064.576 / 75.000.000 Keys/sec 
= 2784 Sekunden 
= 48 Minuten

Würde man nun als Passwort einen Satz wie "meinnameisthase" - aus insgesamt 15 Kleinbuchstaben – verwenden, so erhält man:
Kombinationen = 26 (hoch 15)
= 1.677.259.342.285.725.925.376 / 75.000.000 Keys/sec
= ~ 22.363.457.897.143 Sekunden
= ~ 372.724.298.285 Minuten
= ~ 15.530.179.095 Tage
= ~ 42.548.435 Jahre

 

Im Vergleich jedoch zu dem Blue Gene/L Supercomputer würde dieser für das Passwort "meinnameisthase" ein wesentliches weniger an Zeit benötigen:

Kombinationen = 26 (hoch 15)
= 1.677.259.342.285.725.925.376 / 478 Teraflop 
= ~ 3.508.910 Sekunden
= ~ 58.481 Minuten
= ~ 2436 Tage
= ~ 6,6 Jahre

 

Weitere aktuelle bzw. in Zukunft verfügbare Supercomputer wie  „Roadrunner“ (ein IBM Hybridsystem mit mehr als 1,026 Billiarden Rechenoperationen pro Sekunde [1,026 PetaFLOPS]) im Rüstungsforschungsinstitut National Laboratory (LANL) benötigt für das Passwort-Beispiel "meinnameisthase" folgende Zeit:

Kombinationen = 26 (hoch 15)
= 1.677.259.342.285.725.925.376 / 1026 Teraflop 
= ~ 1.635.093 Sekunden
= ~ 27.251 Minuten
= ~ 1135 Tage
= ~ 3,1 Jahre

 

ProtectStar Research empfiehlt Anwendern, ein Passwort zu wählen, das aus folgenden Anforderungen besteht:


Passwortlänge:

- mindestens 10 Zeichen

 

zu verwendende Zeichen:

- Großbuchstaben (A, B, C, ... Z)

- Kleinbuchstaben (a, b, c, ... z)

- Zahlen (1, 2, 3, ... 9)

- Sonderzeichen (*, #, =, ... +)

 

zurück zu: INFORMATIONEN