Wer die Wahl hat, hat die Qual. Für viele Leute ist ein leidiges Thema. Sie wollen sich irgendwo registrieren und werden gebeten ein Passwort zu wählen. Meistens wird dann schnell eines der Standardpasswörter gewählt, die sich schon seit Jahren bewährt haben und einfach zu merken sind.

Laut einem Artikel der PC-Welt gehören die nachfolgenden Passwörter zu den Top 5 der schlechtesten Passwörter des Jahres 2014.

  1. 123456
  2. password
  3. 12345
  4. 12345678
  5. qwerty

Doch wie definiert sich ein Passwort und gibt es berechenbare Passwörter? Um es vorweg zu sagen alle Passwörter sind berechenbar und alles was man dazu benötigt ist ein wenig Mathematik.

Die Passwortlänge

Wenn man sich einmal mit der Länge eines Passwortes beschäftigt, dann gelangt man auch zum BSI, welches 12 Zeichen für sichere Passwörter empfiehlt. Die Länger eines Passwortes ergibt sich nun aus der Anzahl verwendeter Zeichen.

Der Zeichenvorrat

Der Zeichenvorrat oder auch Alphabet ist neben der Passwortlänge ein weiterer wichtiger Faktor. Einfach gesagt beschreibt er die Anzahl zur Verfügung stehender Zeichen. Die Zeichen können dabei aus Klein- und Großbuchstaben, aus Zahlen von 0-9 und aus allen Sonderzeichen, wie z.B. !, ?, (, [, <, bestehen.

Berechenbare Passwörter – Zusammenhang Passwortlänge und Zeichenvorrat

Aus den Werten Passwortlänge und Zeichenvorrat erhält man die maximale Anzahl aller möglichen Kombinationen. Dieser sogenannte Schlüsselraum K lässt sich durch die Formel  K = A^L beschreiben. L entspricht dabei der Passwortlänge und A dem verwendeten Alphabet. Ein kleines Beispiel hilft dies besser zu verstehen. Stellen wir uns als Alphabet nur alle Kleinbuchstaben vor, also 26 Zeichen, bei einer Passwortlänge von fünf. Damit würden wir auch  K = 26^5 = 11.881.376 Kombinationen kommen. Klingt für den Anfang nicht schlecht, aber beschäftigen wir uns mal mit komplexeren Kombinationen und der Frage “Was ist sicherer, ein größer Zeichenvorrat oder längeres Passwort?”.

  1. Passwort beginnt mit drei Kleinbuchstaben und hat dann zwei Zahlen
  2. Passwort der Länge vier mit Großbuchstaben und mindestens einer Ziffer
  3. Passwort mit vier Buchstaben, drei Ziffern und zwei Sonderzeichen (20 Sonderzeichen stehen zur Verfügung)

Für das erste Beispiel können wir zwei Teilalphabete aufstellen A1 = 26 und A2 = 10. Da das Passwort aus der Kleinbuchstaben und zwei Zahlen besteht, lassen sich die Längen L1 = 3 und L2 = 2 definieren. Die Formel für die Berechnung der möglichen Kombinationen lautet nun  K = A1^{L1} \cdot A2^{L2} = 26^3 \cdot 10^2 = 1.757.600 . Im zweiten Beispiel definieren wir wieder die selben Teilalphabete, jedoch sind die Längen diesmal anders, so ergeben sich L1 = 3-4 und L2 = 0-1. In einer Formel ausgedrückt sieht das Ganze wie folgt aus:  K = (A1 + A2)^4 - A1^4 = (26 + 10)^4 - 26^4 = 1.222.640. Das letzte Beispiel ist etwas komplexer. Wir haben die drei Teilalphabete A1 = 52, A2 = 10 und A3 =20. Die Längen definieren sich als L1 = 4, L2 = 3 und L3 = 2. Um zu bestimmen wie viele Möglichkeiten es gibt, stellen wir die Formel  K = (A1^4 \cdot A2^3 \cdot {7\choose 4}) \cdot A3^2 \cdot {9 \choose 2} = 3.685.054.464.000.000 auf.

Nun zurück zu unserer Frage zum Thema Zeichenvorrat versus Passwortlänge. Dafür schauen wir uns die nachfolgenden Beispiele an.

  •  K = 34^15 = 9.3795878551873643905024 \times 10^{22}
  •  K = 60^15 = 4.70184984576 \times 10^{26}
  •  K = 34^20 = 4.261655511456885005249781170176 \times 10^{30}

Wie sich anhand dieses Beispiels erkennen lässt, ist die Länge des Passwortes wichtiger als das Alphabet.

Fazit

Es ist durchaus sinnvoll eher auf ein langes Passwort zu setzen, als auf eines das ein großes Alphabet hat. Weiterhin sollte man gucken, dass das eigene Passwort in keinem Wörterbuch steht oder sogar in der Liste der schlechtesten Passwörter. Es gibt einige Tricks sich ein starkes, aber leicht zu merkendes Passwort zu erstellen. So kann man zum Beispiel einen einfachen Satz, wie „Mein Name ist Max Mustermann und ich wurde 1992 geboren.“, nehmen und erhält so das Passwort MNiMMuiw1992g. Bei dieser Methode sind alle Möglichkeiten offen.