Passwortlänge vs. Passwortkomplexität: Oder doch lieber Passwortstärke?

12. Mar 20248 min LesezeitTagsAuthentifizierungBrute-Force-AngriffIdentitäts- und ZugriffsmanagementPassphrasePasswort
Ein Komplexitätsbalken unterhalb des Kennworteingabefeldes zeigt die Qualität des Kennworts auf einem virtuellen Bildschirm an.

Seit Jahren sind Passwörterzugänge die meistgenutzte Methode für die Benutzerauthentifizierung auf verschiedenen Geräten und Systemen. Passwortzugangssysteme sind zu einem festen Bestandteil unserer täglichen Routine geworden. Sie sind fest in unser Leben integriert und dienen als vertrautes und weit verbreitetes Werkzeug, um sicheren Zugriff zu Portalen, Systemen oder Applikationen zu erhalten.

Durch die zunehmende Digitalisierung der Welt wird die Sicherheit von Passwörtern sowohl für Einzelpersonen als auch für Unternehmen zu einem immer wichtigeren Thema. Angesichts der leider ebenfalls rasant steigenden Zahl von Cyber-Bedrohungen und Datenschutzverletzungen ist es wichtig, die Bedeutung von Passwortsicherheit und die Logiken hinter Zugangssystemen besser zu verstehen und zu wissen, wie ein Passwort sensible Daten am besten schützen kann.

Wenn IT-Manager über die Sicherheit von Passwörtern diskutieren, dreht sich die Debatte oft darum, ob man sich auf die "Passwortlänge" oder die "Passwortkomplexität" konzentrieren sollte. In der Vergangenheit wurde Passwortsicherheit hauptsächlich mit langen Passwörtern in Verbindung gebracht. Dies ändert sich langsam, da immer mehr Experten die Komplexität von Passwörtern in den Vordergrund stellen, um den bestmöglichen Schutz für Benutzer und Unternehmen zu gewährleisten. Aber lassen Sie uns einen genaueren Blick auf beide Methoden werfen und herausfinden, was am wichtigsten ist: Länge, Komplexität oder vielleicht doch die Stärke des Passworts?

Was bedeutet Passwortlänge?

Die Länge eines Kennworts bezieht sich auf die Anzahl der Zeichen, die es enthält. Im Allgemeinen gelten längere Kennwörter als sicherer im Vergleich zu kürzeren Kennwörtern. Das liegt daran, dass längere Kennwörter eine größere Anzahl möglicher Kombinationen bieten, so dass es für Hacker schwieriger ist, sie durch Brute-Force-Angriffe zu knacken. Bei solchen Angriffen werden Tools eingesetzt, die unermüdlich alle möglichen Kombinationen von Schlüsseln ausprobieren, bis sie den „Jackpot“ knacken. Als Faustregel gilt, dass kürzere Kennwörter anfälliger sind, da sie eine geringere Anzahl möglicher Kombinationen aufweisen und damit leichtere Ziele für solche Angriffe darstellen.

Bis vor kurzem forderten die meisten Unternehmen ihre Benutzer auf, Passwörter mit mindestens 6 Zeichen zu erstellen. Im Laufe der Jahre sind die Anbieter digitaler Anwendungen dazu übergegangen, mindestens 8 Zeichen vorzuschreiben, und haben außerdem einige oder alle der folgenden zusätzlichen Regeln verbindlich eingeführt: Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Derzeit sind viele Organisationen dazu übergegangen, ein Minimum von 10 oder 12 Zeichen einzuführen, um die Sicherheit zu erhöhen.

Mehrere Experten empfehlen die Verwendung von Passwörtern, die mindestens 12 Zeichen lang sind. Es ist jedoch wichtig zu beachten, dass eine Erhöhung der Länge allein nicht ausreicht.

Ist die Methode der Passwortlänge heute noch die richtige Methode?

Experten sind der Meinung, dass die Passwortlänge alleine nicht gleichbedeutend mit Sicherheit ist. Warum ist das so?

Es stimmt, dass längere Passwörter die Sicherheit eines Kontos deutlich erhöhen. Sie bieten eine größere Anzahl möglicher Kombinationen und machen es für Hacker schwieriger, sie zu erraten oder zu knacken. Wenn Sie die Länge Ihres Kennworts erhöhen, erhöht sich der Zeit- und Arbeitsaufwand, der erforderlich ist, um es zu knacken, exponentiell. Hinter der Forderung nach längeren Passwörtern steckt die Vorstellung, dass Passwörter durch ihre Länge automatisch komplexer werden. Das ist nicht falsch, lässt aber den menschlichen Faktor außer Acht.

Da die Benutzer sich ihre Passwörter leicht merken wollen, haben sie vorhersehbare Passwörter wie z. B. "Password" verwendet, das das Kriterium der Länge von 8 Zeichen erfüllt. Als die Anbieter nach längeren Passwörtern mit 12 Zeichen und einer Kombination aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen fragten, hängten viele Benutzer einfach Standardmuster an, z. B. "123$", um die 12 Zeichen zu erreichen, z. B. "Passwort123$".

Selbst wenn die Anforderungen an die Länge eines Kennworts und die Kombination erfüllt sind, sind solche leicht vorhersehbaren Kennwörter bei weitem nicht sicher, was das Problem mit den Kriterien für die Kennwortlänge verdeutlicht. Heutzutage sind Hunderte dieser häufig verwendeten und vorhersehbaren oder beliebten Passwörter bekannt, wurden kompromittiert und können leicht auf so genannten Listen mit gehackten oder kompromittierten Passwörtern im Internet gefunden werden. Hacker kaufen sich lesbare Listen dieser geleakten Passwörter für wenig Geld auf Marktplätzen im Dark Net. Sie nutzen diese bekannten und beliebten Kennwörter, um im Trial and Error Verfahren einfach beliebige Kombinationen von Nutzernamen mit den beliebtesten Passwörtern auszuprobieren (sogenannte „Wörterbuchmethode“). Die Investition und das Ergebnis war umso lohnender für einen Hacker in je mehr Nutzerkonten er einbrechen konnte.

Zusammenfassend lässt sich sagen, dass lange Passwörter großartig sind, aber nur, wenn sie nicht vorhersehbar sind und daher aus Sicht der Hacker komplex sind. Ein langes Passwort allein bietet noch keine ausreichende Sicherheit. Werfen wir also einen Blick auf die Kriterien der Passwortkomplexität.

Was ist Passwortkomplexität?

Die zufällige Kombination von alphanumerischen Zeichen und Symbolen macht ein Passwort komplex. Dies kann eine äußerst wirksame Strategie zum Schutz vor Hackern sein. Durch die Erstellung von Passwörtern, die nicht konventionellen Mustern folgen, werden Wörterbuchangriffe, die mit gängigen Wortkombinationen durchgeführt werden, unwirksam und zeitaufwändig, wodurch die Sicherheit der Benutzerkonten gewährleistet wird.

Die Komplexität von Passwörtern bezieht sich auf die Einzigartigkeit und Unvorhersehbarkeit eines Passworts und nicht auf die Länge eines Passworts. Eine bestimmte Länge ist jedoch auch ein Mindestkriterium für ein gutes, komplexes Passwort. Auch wenn die Komplexität eines Passworts nicht unbedingt eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen erfordert, ist ein komplexes Passwort oft eine Mischung aus diesen Komponenten und kann die Sicherheit ebenfalls deutlich erhöhen. Die obige Argumentation mit "Password123$" zeigt jedoch beispielhaft, dass ein Mix nicht immer gleichbedeutend mit Komplexität ist. Und die Länge eines guten und komplexen Passworts kann auch sein Problem sein. Komplexe Passwörter sind auch schwieriger zu merken und können dazu führen, dass Benutzer sie aufschreiben oder für mehrere Konten wiederverwenden - beides gefährdet die Sicherheit.

Wenn Sie mehr darüber erfahren möchten, wie Sie sich lange und komplexe Passwörter merken können, lesen Sie unseren Artikel über Passwortmanager und Passphrasen.

Komplexe Passwörter bieten eine zusätzliche Sicherheitsebene, da sie es Hackern erschweren, sie durch Brute-Force-Angriffe oder automatisierte Tools zu knacken, aber nur, wenn sie lang genug sind. Daher haben sowohl die Passwortlänge als auch die Passwortkomplexität ihre Vorzüge. Doch lassen Sie uns einen Blick auf die jüngsten Entwicklungen in diesem Bereich werfen.

Die NIST-Empfehlungen

Das in den USA ansässige National Institute of Standards and Technology (NIST) hat wertvolle Hinweise zur Passwortsicherheit gegeben. Ihre Untersuchungen zeigen, dass bei der Erstellung sicherer Passwörter Länge, Einzigartigkeit und Unvorhersehbarkeit zusammen die Schlüsselfaktoren sind und als der "neue" Komplexitätsfaktor betrachtet werden sollten. Die Entwicklungen zeigen, dass die Priorisierung der Faktoren Länge, Einzigartigkeit und Unvorhersehbarkeit von Passwörtern das neue Komplexitätskriterium darstellt und die Sicherheit von Passwörtern erhöht, anstatt sich ausschließlich auf komplexe Kombinationen im Sinne von schwer zu merkenden Kombinationen zu konzentrieren.

Diese Logik ist durchaus schlüssig, denn längere Passphrasen sind schwerer zu knacken und für den Einzelnen leichter zu merken als eine zufällige Zusammenstellung von Zeichen. Das NIST hat sogar noch mehrere andere Empfehlungen für Unternehmen ausgesprochen, die sie umsetzen sollten. Zu diesen Vorschlägen gehören unter anderem:

  • Die Kriterien Groß- und Kleinschreibung sowie Sonderzeichen sollten nicht erzwungen werden. Es ist nicht notwendig und hat keinen Einfluss auf die Sicherheit eines Passworts.
  • Passwörter sollten aus mindestens 15 Zeichen bestehen.
  • Gehen Sie von Passwörtern zu Passphrasen über, die es erleichtern, sich lange Passwörter zu merken.
  • Eine Änderung des Passworts sollte nur verlangt werden, wenn Ihr Netzwerk möglicherweise kompromittiert wurde, oder wenn der Benutzer glaubt, dass ein Passwort einem Dritten bekannt ist.
  • Um die Online-Sicherheit Ihres Portals zu erhöhen, ist es wichtig, alle neuen Passwörter mit einer umfassenden Liste von häufig kompromittierten Passwörtern abzugleichen.
  • Erlauben und unterstützen Sie nicht die Verwendung von Passwort-"Hints".
  • Sorgen Sie für eine nahtlose Benutzererfahrung, indem Sie darauf verzichten, Konten nach mehreren fehlgeschlagenen Anmeldeversuchen zu sperren. Diese Praxis frustriert nicht nur echte Benutzer, sondern spielt auch böswilligen Hackern in die Hände, die diese Schwachstelle ausnutzen, um Netzwerke mit falschen Passwörtern zu überschwemmen.

Was kommt als nächstes? Passwortstärke!

Die Digitalisierung erfordert einen besseren Zugangsschutz, doch die beliebteste Zugangsmethode ist immer noch die Verwendung von Passwörtern. Gleichzeitig haben Hacker - beschleunigt durch die ständige Weiterentwicklung der Technologie - ihre Methoden zur Kompromittierung von Benutzerkonten professionalisiert.

Folglich hat sich der Stand der Technik bei der Passwortsicherheit von der Passwortlänge hin zur Passwortkomplexität verschoben. Heutzutage sind beide Methoden in Kombination mit Einzigartigkeit und Unvorhersehbarkeit sowie der Nichtexistenz auf einer gehackten Passwortliste die neue Best Practice. Bei Engity nennen wir es einfach "Passwortstärke", denn das ist es, was heute bei der Passwortsicherheit zählt. Auch wenn es auf den ersten Blick unbequem erscheinen mag, erhöhen diese Maßnahmen unsere Online-Sicherheit und schützen unsere sensiblen Daten.

Trotz alledem verwendet die überwiegende Mehrheit der Unternehmen nur eine Art Längenkriterium für Passwörter (oft nur 6 oder 8 Zeichen) in Kombination mit einer Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. In Anbetracht des Risikos, kompromittiert zu werden, ist dies nicht akzeptabel. Es zeigt jedoch, dass die meisten verantwortlichen Manager sich nicht bewusst sind, dass ihr Handeln (oder Nichthandeln) ihre IT-Infrastruktur gefährden kann und dass sie möglicherweise von Hackern angegriffen werden.

Wir bei Engity sind der Meinung, dass die Sicherheit von Passwörtern essentiell ist und nicht dem Benutzer allein überlassen werden sollte. Aus diesem Grund haben wir standardmäßig einen Passwortstärke-Checker integriert und empfehlen eine Passwortstärke, die befolgt werden sollte. Gleichzeitig haben wir einen Check implementiert, der prüft, ob ein gewähltes Passwort bereits geknackt wurde und Teil einer gehackten Passwortliste ist.

Wenn Sie als Nutzer unsicher sind, ob ein gewähltes Passwort stark ist und das verwendete Portal Sie bei der Überprüfung nicht unterstützt, können Sie gerne unsere Demo nutzen, um die Stärke des gewählten Passworts zu überprüfen. Registrieren Sie sich einfach und Sie werden im Rahmen des Registrierungsprozesses zu einem starken Passwort geführt.