Endlich keine kryptischen Passwörter mehr

Gestern habe ich mich mal wieder irgendwo im Internet in einem Forum angemeldet. Natürlich wurden sämtliche Hürden gemeistert, auch den optisch grausam verunstalteten Bestätigungscode vom Bitmap habe ich korrekt abgetippt. Nur mit dem Passwort wollte es nicht so recht klappen. Mein Standard-Password „Forum$$14“ war dem Betreiber nicht sicher genug. Großbuchstaben hätten gefälligst in der Mitte zu erscheinen. Zweimal das gleiche Sonderzeichen – und das auch noch hintereinander – sei ja nun wirklich das Letzte.

Ach, was solls, ich nehme „-.,mNbVcXy<„. Das ist die unterste Reihe einer QWERTZ-Tastatur, von rechts nach links gelesen. Das Passwort geht immer, hat keine fehleranfälligen Umlaute und kann nur von deutschsprachigen Hackern geknackt werden. Schließlich weiß jeder, dass die bösen Hacker alle aus dem Ausland kommen und die kennen den Trick nicht, weil sie eine andere Tastatur haben.

Doch der Forumsbetreiber ist nicht auf dem aktuellen Stand. Mit herkömmlichen Quad-Core-CPUs sind sogenannte Strong-Passwords zwar nur in einigen Monaten zu knacken, doch Abhilfe schaffen andere Multitalente. Neuere Grafikkarten von ATI und Nvidia brauchen nur einige Tage. Wem das zu lange dauert, der nimmt einfach eine Playstation mit Cell-Prozessor.

Ein Password, dass aus acht Zeichen besteht, hat immer nur eine Verschlüsselungsstärke von 64-Bit, auch wenn der darunterliegende Algorithmus mehr kann, beispielsweise 128-Bit. Eine weitere Reduktion der Verschlüsselungsstärke findet dadurch statt, dass realistisch gesehen, nur Zeichen verwendet werden, die man auf seiner Tastatur findet.

Eine zur „Crackstation“ umfunktionierte Playstation benötigt heute keine Wörterbuch-Attacke, um Passwörter mit acht Zeichen zu knacken. Endlich gibt es keinen Grund mehr, Passwörter zu verlangen, die ich mir unter die Tastatur kleben muss.