Der Begriff Brute Force kommt aus dem englischen und heißt frei übersetzt "Rohe Gewalt". Bei diesem Ansatz wird versucht, ein Passwort zu knacken, indem man alle Möglichkeiten von Zeichenkombinationen durchprobiert. Das hat den großen Vorteil, dass es technisch sehr einfach zu implementieren ist. Nachteil dabei ist natürlich, dass die Anzahl an Möglichkeiten, die durchprobiert werden müssen, mit steigender Länge des Passworts exponentiell ansteigt.

Ein paar Rechenbeispiele

Sehen wir uns zuerst kurz an, wie viele Passwort-Kombinationen es bei diversen Passwortlängen und verwendeten Zeichensätzen gibt (bei allen Statistikern und Mathematikern, die ich hier jetzt langweile, möchte ich mich gleich im Vorhinein entschuldigen):

• Nehmen wir an, Sie verwenden für Ihr Passwort nur Kleinbuchstaben. Bedeutet, es gibt für jede Passwortstelle 26 Möglichkeiten. Ist Ihr Passwort jetzt acht Zeichen lang, ergibt das 26 hoch 8 Möglichkeiten (also so um die 200 Milliarden). Verwenden Sie zwei Buchstaben mehr, erhöht sich dieser Wert gleich mal auf über 140 Billionen.

• Nehmen wir weiters an, Sie verwenden sowohl Groß- als auch Kleinbuchstaben. Dadurch erhöht sich die Berechnungsbasis auf 52. Bei acht Zeichen ergibt das dann bereits 53 Billionen Möglichkeiten, zehn Buchstaben ergeben fast 145 Billiarden Möglichkeiten.

• Noch besser wirds, wenn man Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen verwendet. Je nach Zeichensatz erhöht sich die Zeichenbasis dadurch auf etwa 70 Zeichen, die zur Auswahl stehen. Bei zehn Zeichen Passwortlänge erhalte ich sagenhafte 2.824.752.490.000.000.000 Möglichkeiten. Also fast drei Trilliarden Möglichkeiten.

Was ist Sicherheit

Wenn man sich diese Rechnungen ansieht, müsste man doch davon ausgehen, dass 200 Milliarden Passwortkombinationen ausreichen müssten, um die eigenen Mails abzusichern. Nun... diese Illusion muss ich Ihnen jetzt leider nehmen. Ein moderner Einzelrechner mit den passenden Algorithmen kann nämlich pro SEKUNDE über zwei Milliarden Kombinationen durchprobieren. Und hier liegt das Problem begraben. Durch die unglaubliche Menge (die sich nochmal erhöht, wenn man Rechnerverbünde darauf loslässt) an Versuchen pro Sekunde sind kurze Passwörter per Brute Force sehr schnell geknackt. Damit Sie nicht selbst rechnen müssen, hier ein kleiner Überblick:

Sie sehen also: je länger ein Passwort ist, desto sicherer wird es. Und zwar exponentiell. Mit 12 Zeichen Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen sind Sie im Normalfall zumindest so sicher, dass nicht jeder 12-Jährige mit dem PC seines Papas ihr Passwort knacken kann. Die Betonung liegt aber natürlich auch hier auf "Normalfall". Wenn jemand mit einem großen Rechnerverbund (zB einem Großrechenzentrum) auf Ihr Passwort losgeht, sieht die Situation auch gleich wieder düsterer aus.

Zusätzliches Problem: Wörterbücher

Ein zusätzliches Problem ergibt sich weiters durch die Verwendung von ganzen Wörtern im Passwort. Bei Brute-Force-Attacken sind die Algorithmen nämlich mittlerweile so intelligent, dass zuerst diverse Wörterbücher durchprobiert werden (auch in verschiedenen Kombinationen zueinander). Dadurch erhöht sich die Trefferwahrscheinlichkeit zusätzlich noch einmal. Deshalb können Sie sich als kleine Merkhilfe vielleicht immer im Hinterkopf bewahren: "hund1" ist ein schlechtes Passwort. "katze2" ist auch nicht viel besser. "Zgzoi87--.zt1Gr" hingegen ist super, sollte ab sofort jetzt aber auch nicht mehr verwendet werden, da es online sichtbar ist und dadurch vielleicht schon bald in einen Algorithmus eingebaut wird.

Fazit

So wirklich sicher sind Passwörter wahrscheinlich nie. Sie können aber extrem viel an Sicherheit hinzufügen, wenn Sie sich gute, starke Passwörter aussuchen.