Das schöne Thema zu Passwortlänge, dessen Zwang auf Sonderzeichen usw. finde ich auch immer wieder spannend.
Aus meiner Sicht bringt ein Zwang von Sonderzeichen und/oder ein Zwang von Groß/Kleinbuchstaben, Ziffern erst einmal wenig wenn zugleich die Passwortlänge nur auf mindestens 8 Zeichen gefordert wird.
Betrachtet man den mathematischen Zusammenhang mit Blick auf die Entropie, also die Anzahl der möglichen Kombinationen zur Basis 2 fällt folgendes auf.
Nehmen wir als Beispiel an wir zwingen den Benutzer auf ein Passwort mit Minimum 8 Zeichen und ihn zusätzlich dazu Sonderzeichen darin zu verwenden dann sind wir uns alle einig, dass wenn hier kein Passwortmanager im Gebrauch ist der User auch nur die Mindestanzahl von Zeichen wählt und nicht freiwillig mehr als die geforderten 8 Zeichen verwendet. Zum einen damit er sich das Passwort in irgendeiner Form merken kann bzw. es nicht ewig dauert um es einzugeben (mal von einer virtuellen Bildschirmtastatur abzusehen).
Gehen wir nun davon aus wir haben die Möglichkeit folgende Zeichen aus dem zur Verfügung stehenden ASCII-Code einzugeben und konzentrieren uns dabei auf die 95 druckbaren Zeichen wobei wir das Leerzeichen ignorieren.
- 10 Ziffern (0-9)
- 52 Buchstaben (A-Z und a-z)
- 32 Sonderzeichen (ohne Leerzeichen)
Somit können wir aus 94 Zeichen wählen.
Dann haben wir folgendes Szenario:
Bei einer Zeichenlänge von 8 ergibt sich somit eine mögliche Anzahl an Kombinationen --> 94^8=6.09E15
Daraus wiederum eine Entropie von ln (6.09E15) / ln (2) => 53
Nun nehmen wir an wir definieren eine minimale Passwortlänge von 16 Zeichen und geben keinen Zwang an Sonderzeichen vor:
- Verwendet der User nur Ziffern (0-9) ergibt sich eine Anzahl an Kombinationen von 10^16=1E16 und somit eine Entropie von 53
Wenn wir beides miteinander vergleichen fällt sofort auf, dass ein Passwort mit Sonderzeichen und einer Länge von 8 Zeichen nicht besser bzw. durch brute-force nicht schwerer zu berechnen ist als ein Passwort mit einer Länge von 16 welches allein aus den Ziffern von 0-9 besteht.
Die Entropie ist in beiden Fällen näherungsweise (nach mathematischer Rundung) gleich.
Und nun sollte jeder selbst einmal darüber nachdenken ob ein Zwang von Sonderzeichen bzw. eine minimale Anzahl an Zeichen tatsächlich Sinn macht wenn sie zu klein gewählt ist. Bei den meisten Usern mit Sicherheit, denn wie es so oft im Leben der Fall ist muss man viele Menschen zu ihrem Glück (hier zu ihrer Sicherheit) mit solchen Regeln zwingen.
Wenn man sich einmal Gedanken über die Kombinatorik gemacht hat wird man schnell feststellen, dass ein Passwort welches z.B. allein aus Buchstaben bzw. Wörtern besteht, sich leicht merken kann und eine größere Entropie erreicht werden kann.
Hier als Gedankenexperiment:
Wir wählen 5 Wörter mit jeweils 4 Buchstaben die wir aus dem Lexikon frei wählen ohne darüber nachzudenken.
Wenn wir nun die Wörter zusammenlegen und auf die Leerzeichen verzichten so ergibt sich ein Passwort aus 20 Zeichen allein aus Kleinbuchstaben (a-z). Nun berechnen wir die Entropie --> ln(26^20) / ln (2) = 95
Bei 2^95 Möglichkeiten bedarf es bereits längeren Rechenoperationen.
Betrachtet man die Möglichkeit mit einem Mix aus Klein und Großbuchstaben (a-z, A-Z) so ergibt sich eine Entropie von 115.
Fassen wir das ganze zu einem Ergebnis zusammen:
a.) Aus meiner Sicht bringt ein Zwang von Sonderzeichen recht wenig wenn die minimale geforderte Länge zu gering gewählt wird.
b.) Eine minimale Länge von z.B. 20 Zeichen ohne jeglichen Zwang auf Sonderzeichen bietet allein schon eine bessere Entropie allein bei Einhaltung der minimal geforderten Länge des Administrators im Vergleich zu 8 Zeichen mit Zwang auf Sonderzeichen.
ABER:
Es gibt auch sicher Kritik zu dieser mathematischen Darlegung weil das schwächste Glied im System wie so oft der Mensch ist. Und aus Bequemlichkeit kann es schnell dazu führen, dass ein User Wörter wählt die evlt. von Dritten (Freunde, Bekannte, Kollegen) leicht erraten werden können wenn man nicht vorsichtig damit umgeht.
Und die Administratoren möchten sich mit solchen "starken" Passwortregeln mit einer Mindestzeichenlänge und den Einsatz von Sonderzeichen nur selbst einen späteren Aufwand ersparen sollte doch einmal ein Passwort eines Users geknackt worden sein.
Somit auch der Zwang den Großteil der Benutzer zu ihrem Glück zwingen zu müssen.
Aber wie es oft der Fall ist, fühlen sich die meisten Benutzer durch solche zwanghaften Passwortregeln durch Administratoren in eine Ecke gedrängt anstatt sich einmal selbst Gedanken darüber zu machen warum dies der Fall ist. Der Administrator möchte keineswegs die User mit solchen Spielregeln nerven. Es ist nicht nur ein Spiel eines Administrators sondern ein gewisser Schutz der damit einhergehen kann wenn man eine große Kombinatorik erzwingt.
Im Zeitalter von Passwortdatenbanken und Generatoren und Auto-Type Sequenzen ist das heute alles kein Problem Passwörter mit einer großen Zeichenlänge und somit einer hohen Entropie zu erstellen ohne sie sich alle merken zu müssen.
Und zu guter Letzt für alle die bis zum Ende meiner Zeilen durchgehalten haben noch ein passender Comic der den Vergleich zweier Passwörter mit unterschiedlicher Länge und Komplexität bzw. Entropie zeigt.
<Password Strength>https://xkcd.com/936/
