Passwort-Check: Wie sicher ist Ihr Passwort?

howsecureismypassword.net zeigt Ihnen, wie sicher Ihr Passwort im Web ist, d.h.. wie schnell es (von einem handelsüblichen Heim-PC) geknackt werden könnte. Sieht so aus:

How Secure Is You Password?

Ausprobieren ist völlig harmlos, und hier ist howsecureismypassword.net durchaus erkenntnisfördernd, wenn Sie jemandem zeigen wollen, wie sich die Knackbarkeit mit der wachsenden Länge eines Passwortes ändert - und was da schon zwei Zahlen am Ende ausmachen können. Bereits während der Eingabe verändert sich die Anzeige der Sicherheit:

Passwortsicherheit: Links bei 5 Zeichen, rechts 12 Zeichen, die Site zeigt das live und verdeutlicht daher: 'halb so viele Zeichen' zu nehmen ist deutlich unsicherer als nur 'halb so sicher'

Aber Vorsicht: Ein 'intelligentes' Tool ist das nicht, das heißt, es reagiert nur auf die Länge des Passworts, nicht auf seine Qualität. Wie man sich qualitativ hochwertige Passwörter ausdenkt, lesen Sie im Beitrag Kennwörter/Passwörter. Wer sich keines ausdenken mag, erzeugt auf die Schnelle eines mit einem Passwort-Generator. Wer glaubt, lange Passwörter nehmen - das würden doch eh alle machen, lese diesen Beitrag; oder diesen. Shocking! Auch gut zu wissen: 10 oder 12 Stellen reichen möglicherweise nicht mehr, da SSDs  noch schnelleres knacken erlauben.

Passwort-Check: intellente Analyse

Aber es gibt durchaus Tools, die Passwörter intelligenter analysieren. Zum Beispiel (und beispielhaft gut, ich kenne jedenfalls keinen besseren)

Der Passwortcheck des Datenschutzbeauftragten des Kantons Zürich ist deutlich schlauer: die Länge allein zählt hier nicht ...

Das schöne an diesem Webtool ist, dass es auch gleich aufzeigt, wie es arbeitet und welche 'Passwortgewohnheiten' Minuspunkte bringen. Es lohnt sich wirklich, hier mal seine typischen Kennwörter durchzuprobieren, ich war überrascht, wie unsicher auch scheinbar cleveren Passwörter sind.

Ganz nett auch:

  • The Password Meter passwordmeter.com wäre gar nicht schlecht, so von der grafischen Aufarbeitung her, aber was nützt es, wenn so was wie admin1234567890 (schlecht: zu einfaches Wort plus zu einfache Ziffernfolge) es auf 91% Sicherheit bringt
  • rumkin.com/tools/password/passchk.php ... ferner liefen
  • Microsoft zum Thema Passwortsicherheit ... mit Link auf einen hauseigenen Passwortchecker (geht - bei mir - merkwürdigerweise nur im IEX; nicht im FF)
  • Passwortcheck der Schweizer cnlab ag www.cnlab.ch/codecheck/check.php - danke an Kommentartorin Maria Sah
  • acctis.com/password_strength.asp?loc=ge - ausnahmsweise ohne Hyperlink, etwas an dieser Seite gefällt mir nämlich nicht ...

Wie bei allen Passwort-Checkern gilt:
Auch sie sind eine Methode, Passwörter einzusammeln ... anders gesagt: Geben Sie dort lieber nicht ihr echtes Passwort ein. Denn alle Passwort-Test-Websites könnten einfach dazu genutzt werden (ja möglicherweise nur deshalb existieren), um Ihr Passwort abzuschöpfen. Trau schau wem. Der Teufel ist ein Eichhörnchen. Etc. Geben Sie daher bestenfalls strukturell 'so was ähnliches' wie Ihr Passwort ein, aber niemals Ihr aktuelles wirkliches Passwort. Und einen Passworttest, der Ihre E-Mail-Adresse abfragt, sollten Sie ebenfalls verlassen.

Hier noch was heiteres:

Das könnte Dich auch interessieren...

7 Antworten

  1. Markus sagt:

    Hallo,

    ich denke, dass die Sicherheit von Passwörtern bei Privatpersonen nicht in erster Linie von zu einfachen/kurzen Zeichenketten bedroht wird.

    Die größte Bedrohung geht von Phishing oder Social-Engineering Angriffen aus. Dazu kommt, dass aus Gründen der (verständlichen) Bequemlichkeit viele Nutzer ein einziges Passwort für zahlreiche Anwendungen verwenden.
    So wird ein per Phising-Seite geklautes Passwort zum Zugang für Facebook und G-Mail missbraucht. Komplexe Passwörter schützen hier vor keineswegs.

    Ein langes, kompliziertes Passwort biete gegenüber Bruteforce Attacken ("ausprobieren") eine ausreichende Hürde, jedoch ist dies meines Wissens nach nicht die übliche Angriffsachse für Kriminelle. Phising dagegen lässt sich automatisch und breit gefächert anwenden.

    Da immer mehr Anwendungen ins Netz verlagert werden oder dort entstehen, nimmt die Anzahl an Passwörtern, die wir uns merken müssen, stetig zu. Unmöglich, sich dabei immer verschiedene, komplexe Passphrasen zu merken.

    Um den Druck durch Phising o.ä. zu mindern, muss auf Seiten der Anbieter viel stärker auf Verschlüsselung und Signierung der Kommunikation geachtet werden. Zusätzlich können weitere Wege der Benutzer-Identifikation genutzt werden, bspw Einmal-Passwörter per SMS von Facebook oder auch der neue ePA.

    Der Nutzer muss sich der Gefahr des Passwort-Diebstahls stärker bewusst sein. Wer im Jahr 2010 noch auf einen Mail-Link klickt, um aufgrund einer "Sicherheitsaufforderung" anschließend sein G-Mail Passwort dort einzugeben, handelt grob fahrlässig.
    Um der Passwortflut entgegen zu kommen, gibt es einen riesigen Pool an Freeware Passwort-Manager. Diese können auch dabei helfen, lange und komplexe Passphrasen zu generieren und verwalten.

    Ich denke, die Sicherheit eines Passworts wird nicht allein durch seine Länge bestimmt, oder die angebliche Zeit, die benötigt wird um es zu "knacken". Viele Faktoren können die Sicherheit bzw Unsicherheit eines Passworts beeinflussen.

    Markus

    • Andreas sagt:

      Danke für die gedankenreichen Ausführungen! Dem stimme ich zu, allerdings sollte es in diesem Post eben wirklich nur darum gehen, einfach mal ein Bewusstsein für die Unsicherheit zu kurzer Passwörter zu entwickeln bzw. es mit Hilfe dieser doch hübschen Web-App anderen vor Augen zu führen. Wobei ich allerdings auch nicht unterschätzen würde, wie viele Brute-Force-Angriffe tatsächlich stattfinden (an meinem GMX-Konto fummelt dauernd jemand rum) - und zu kurze Passwörter (Name der Hauskatze, etc.) sind eben auch ein Element der Gefährdung durch Social-Engineering-Angriffe.

      Des weiteren möchte ich, auch wenn es vielleicht etwas abwegig erscheint, anmerken, dass lange Passwörter auch eine gewisse Hemmung nach sich ziehen, sie einzugeben - etwa weil man sie erst einem Passwortbuch nachschlagen muss. Das gibt dem potentiellen Opfer einer Phishing-Attacke einige weitere Minuten, um darüber nachzudenken, ob das jetzt wirklich sinnvoll ist oder eben vielleicht eine Attacke. Ich will also wirklich nicht lange Passwörter als Allheilmittel preisen, für wichtig halte ich sie dennoch.

      Zu Phishing siehe http://unsicherheitsblog.de/tag/phishing/

      Freeware-Passwort-Manager: Ich gebe zu, ich habe paranoide Hemmungen, denen meinen Passwörter anzuvertrauen. Gibt es denn gute?

  2. Markus sagt:

    Hallo,
    mir war gar nicht bewusst, dass es zu solchen Attacken auf Mail-Konten kommt. Scheinbar haben einige sehr viel Zeit für einen solchen Unsinn. Wie macht sich so etwas bemerkbar?

    Zu Passwort-Manager:
    Ich habe mich auch lange gesträubt, einem Programm sämtliche Passwörter anzuvertrauen. Hab dann doch angefangen mich nach Lösungen umzusehen, da die Flut an Passphrasen einfach zu groß wurde. Welche Programme sicher oder unsicher sind, kann ich als Laie nicht wirklich beantworten. Meine Wahl – für die ich mittlerweile die Hand ins Feuer legen würde – viel auf KeePass, ein OpenSource Programm von Dominik Reichl. Ich nutze das Tool nunmehr als Universal-Datenbank zum Speichern aller wichtiger Daten, Lizenzen, Passwörter etc. http://keepass.info/index.html Nicht das einzige Programm dieser Art, aber auf jeden Fall einen Test wert.
    Da ich an mehreren Arbeitsplätzen mit verschieden Betriebssystemen (es gibt eine Plattform übergreife Version) arbeite, habe ich den Passwort-Container in einem Onlinespeicher, so dass ich von überall darauf zugreifen kann.
    Mein größtes Hemmnis bei der Verwendung von Passwortprogrammen war die Tatsache, dass ein Masterpasswort alles andere zugänglich macht – also ähnlich unsicher wirkt, wie die Verwendung eines einzelnen Passworts für alle Angelegenheiten. Auf den zweiten Blick überwiegen für mich aber die Vorteile: das Masterpasswort kann sehr lang und komplex gewählt werden und zum Absichern kann zusätzlich eine Schlüsseldateien und der Windows-Account verwendet werden.

    Wie bei jedem Sicherheitskonzept gibt es sicher auch bei der Verwendung von Passwortmanagern Risiken - letzten Endes ist wahrscheinlich das Bauchgefühl entscheidend, ob und welches Programm man für derartige Zwecke einsetzt.

    • Andreas sagt:

      Wegen des Problem mit dem Masterpasswort habe ich jahrelang die Passwörter nach Genres aufgeteilt in verschiedenen Containern aufbewahrt, nach dem Motto: Wird ein Siegel gebrochen, trifft es nur eine Handvoll von Accounts. Aber letztlich habe ich inzwischen so viele Container, dass es ein unvernünftiges Maß annimmt....

      Danke jedenfalls für den KeePass-Hinweis, werde ich mal ausprobieren.

  3. Markus sagt:

    Als passender Ausklang der Diskussion ein kurzer Artikel bei chip.de den ich gerade entdeckt habe.

    http://www.chip.de/news/Ausgesperrt-Jeder-Dritte-vergisst-seine-Passwoerter_45444565.html

  4. Maria Sah sagt:

    Leider ist gerade der Passwortcheck seit Jahren derselbe. Die inzwischen bei neueren Unix/Linux-Varianten verbesserten Algorhythmen erlauben auch Passworte von weit über 8 Zeichen Länge. Und auch bei Windows müsste sich in dieser Hinsicht etwas getan haben.
    Inzwischen kann ich diesen Passwortcheck nur noch als völlig veraltet betrachten, es sei denn es gehe um das Passwort eines ebenso alten Systems.
    Zudem gibt es Passworte, von denen das Tool offentsichtlich überfordert ist und etwa das Fehlen von Zeichenkategorien bemängelt, obwohl die ganz eindeutig enthalten sind.
    Der Test von CNLAB weist zumindest letztere Schwäche nicht auf.
    https://www.cnlab.ch/codecheck/check.php

    • Andreas sagt:

      Ja, sich mit 10 Zeichen zufrieden zu geben mag offline problematisch sein.

      Doch CNLAB gibt mir selbst bei startrekstarwars, asdfgh123456 und keinpasswort ein STRONG aus - Hauptsache, 12 Zeichen. Die Worterkennung ist aber ganz allgemein bei allen schwach...