Es kommt dar­auf an, was man unter kom­pli­ziert ver­steht. Ich emp­finde ein Pass­wort als kom­pli­ziert, wenn ich es mir nicht mer­ken kann. Auf vie­len Web­sei­ten trifft man die Mode an, dass min­des­tens ein Buch­stabe gross resp. klein geschrie­ben sein und min­des­tens eine Zahl vor­kom­men muss. Wirk­lich müh­sam wird es dann, wenn man auch noch Son­der­zei­chen zu ver­wen­den hat. Wich­ti­ger als eine Viel­falt an Zei­chen ist die Länge des Passworts.

Der Hin­ter­grund für diese Pass­wort­vor­ga­ben ist der­je­nige, dass durch den Zwang von Gross- und Klein­schrei­bung, Zah­len und Son­der­zei­chen der sog. pass­word space (detail­lierte Infos: NIST white­pa­per) mas­siv erwei­tert wird. Das erschwert oder ver­un­mög­licht im bes­ten Fall soge­nann­tes brute for­cing. Bru­tefor­ce­pro­gramme bie­ten stan­dard­mäs­sig die Mög­lich­keit an, Pass­wör­ter nur aus Zah­len, aus Klein­buch­sta­ben, Gross­buch­sta­ben oder Son­der­zei­chen zu gene­rie­ren oder dann diese unter­schied­li­chen Grup­pen von Zei­chen zu kom­bi­nie­ren. Je mehr Kom­bi­na­ti­ons­mög­lich­kei­ten, desto län­ger geht dann eine Brut­for­ce­at­ta­cke. Dazu kom­men nament­lich noch Ver­zö­ge­run­gen, bei der Berech­nung der Hash­werte der gene­rier­ten Pass­wör­ter und allen­falls zeit­li­che Limi­ten der Pass­wort­ab­frage selbst.

Bes­ser als kom­pli­zierte Pass­wör­ter wären kom­plexe Pass­wör­ter. Mit kom­plex meine ich in ers­ter Linie nicht-tri­viale und ins­be­son­dere lange Passwörter.

Ein kom­pli­zier­tes Pass­wort wäre zB “143#StGB-” und ein kom­ple­xes “heute-ist-fas­nacht-heute-ist-fas­nacht”. Beim zwei­ten Bei­spiel braucht man sich nur “heute-ist-fas­nacht” zu mer­ken und dass die­ses Pass­wort ver­bun­den mit einem Bin­de­strich zwei­mal ein­zu­tip­pen ist. Auf Grund der Länge von 37 Zei­chen ist eine erfolg­rei­che Bru­tefor­ce­at­ta­cke auf “heute-ist-fas­nacht-heute-ist-fas­nacht” sehr viel unwahr­schein­li­cher, als auf “143#StGB-” mit neun Zei­chen, obschon nur Klein­buch­sta­ben und ein Son­der­zei­chen ver­wen­det wurde.

Wenn man das kom­plexe Pass­wort noch in Schwei­zer­deutsch schreibt (“höt-esch-fas­nacht-höt-esch-fas­nacht”) kann man sogar noch Stan­dard­wör­ter­buch­at­ta­cken in Hoch­deutsch abschwä­chen und benutzt gleich­zei­tig noch ein Son­der­zei­chen (“ö”).

Fragt man also danach, wann ein Pass­wort sicher ist, ist die Ant­wort: Es kommt dar­auf an. Diese Ant­wort ist nicht nur bei Juris­ten beliebt, son­dern auch bei Sicherheitsfachleuten.

Der grös­sere Angriffs­vek­tor von Daten­ver­ar­bei­tungs­sys­te­men als das Aus­nut­zen von Sicher­heits­lü­cken ist das Steh­len und anschlies­sende Benut­zen von Creden­ti­als. Wenn diese Creden­ti­als auf ver­schie­de­nen Platt­for­men gleich­zei­tig benutzt wer­den, ist nicht nur die ursprüng­li­che Orga­ni­sa­tion betrof­fen, von der die Creden­ti­als gestoh­len wur­den son­dern jeder wei­tere Dienst, auf dem man sich damit ein­log­gen kann. Wer also das glei­che kom­plexe oder mei­net­we­gen auch kom­pli­zierte Pass­wort über­all benutzt, schwächt die Sicher­heit die­ses Pass­worts enorm, egal wie kom­plex oder kom­pli­ziert es ist.

Zu den Tod­sün­den von Unter­neh­men (oder jedem ande­ren Betrei­ber) gehört das Abspei­chern von Klar­text­pass­wör­tern. Wenn Sie bei einem Betrei­ber nach einem Klick auf “Pass­wort ver­ges­sen” ihr Pass­wort im Klar­text per Email erhal­ten, dann wis­sen Sie, was es geschla­gen hat. Betrei­ber, die Klar­text ver­wen­den, ver­let­zen klar ihre Siche­rungs­pflich­ten, die ihnen das Daten­schutz­ge­setz und die Daten­schutz­ver­ord­nung auferlegen.

Für Inter­es­sierte: Ein Essay von Bruce Schneier zum Angriffs­vek­tor von gestoh­le­nen Zugangs­da­ten mit diver­sen wei­ter­füh­ren­den Links.