Passwortlänge beschränken


Überall liest man, dass Passwörter nicht sicher sind. Ein super Artikel von Dan Goodin "Why passwords have never been weaker—and crackers have never been stronger". Nachdem ich den Artikel gelesen habe, habe ich schon beinahe angefangen mir Gedanken über mein ganzen Online Accounts zu machen. Unterdessen habe ich mich wieder mit dem Gedanken abgefunden: "Mich trifft es schon nicht".

Twitter wurde gehackt, Evernote ist das letzte bekannte Opfer und wahrscheinlich werden in naher Zukunft weitere Opfer hinzukommen. So habe ich mir doch mal wieder die Mühe gemacht, meine Passwortstrategie zu überdenken und habe sogar angefangen, Passwörter von Diensten mal wieder zu ändern.

Das neue Passwort muss 6 bis 16 Zeichen lang sein.

Sorry, aber was sind das für Einschränkungen? Jeder Dienst sollte Kunden, welche längere Passwörter wählen mit Handkuss annehmen. Eigentlich sollten Kunden mit Passwort länger als 16 Zeichen einen Badge oder eine Prämie bekommen, aber nein, statt dessen, werde ich daran gehindert.

16 Zeichen ist eine beachtliche Länge, das gibt wenn man nur grosse und kleine Buchstaben verwendet immerhin 4.1 x 10^62 Möglichkeiten = eine Zahl mit 62 Nullen = unvorstellbar hoch und via Bruteforce aktuell nicht knackbar.

Adding a GPU card to a system undoubtedly helps, but not as much as many might imagine. An AMD Radeon 6970 still needs more than 10 days to brute force a seven-character passcode. And the wall barely budges even when significantly more powerful resources are brought to bear. Using an Amazon EC2 cloud system that combines the horsepower of more than 1,000 individual GPUs, it still takes about 10 days to brute-force an eight character password.

Und wenn mal etwas neues kommt?

Durch geschickte Listen wird diese Zahl jedoch drastisch nach unten reduziert, da viele Kombinationen ausgeschlossen werden können. Und was ist in 2-3 Jahren, wenn neue Technologien hinzukommen? Warum nicht schon heute hier keine Limite setzen, oder vielleicht bei 256 Zeichen?

PS: Ach wie schön und da wurden also wieder ein paar Passwörter gestohlen: Avast in Deutschland gehackt, tausende Benutzerdaten im Netz.