Das Forschungsteam von Specops hat zehn Millionen zufällige Passwörter aus der Liste mit über 1 Milliarde kompromittierten Passwörtern, die vom Specops Passwort-Auditor verwendet wird, analysiert und festgestellt, dass nur 1,5 % dieser zehn Millionen Passwörter als „stark“ und damit sicher gelten können. Dabei handelt es sich um echte kompromittierte Passwörter, die von Specops erfasst wurden und auf die Microsoft-anwendende Unternehmen ihr eigenes Active Directory jetzt sofort und gratis scannen können.
Die Ergebnisse zeigen, dass Organisationen ihren Benutzern immer noch die Erstellung schwacher Passwörter ermöglichen, die Hackern als einfache Angriffsroute dienen könnten. Diese Analyse fällt mit der jüngsten Hinzufügung von über 13 Millionen kompromittierten Passwörtern zu Specops Breached Password Protection zusammen. Diese Passwörter stammen aus einer Kombination von Daten aus unserem Honeypot-Netzwerk und aus Bedrohungsanalysen.
Die praktische Regel, die Specops zum Definieren eines „starken“ Passworts verwendet hat, lautet wie folgt:
Starkes Passwort = mindestens 15 Zeichen lang und mindestens zwei verschiedene Arten von Zeichen
Warum „15+ Zeichen“?
Exponentielles Wachstum von Kombinationen. Jedes zusätzliche Zeichen multipliziert den Schlüsselraum mit der Größe des vgewählten Alphabets.
Für ein 15-stelliges Passwort, das ausschließlich aus Kleinbuchstaben besteht, gibt es 26¹⁵ ~ 1,7 × 10²¹ Möglichkeiten.
Springt man auf 16 Zeichen, erhält man 26¹⁶ ~ 4,4 × 10²² Möglichkeiten – eine 26-fache Steigerung des zum Knacken erforderlichen Brute-Force-Aufwands. Selbst bei Anlagen, die Billionen von Vermutungen pro Sekunde verarbeiten, erhöht sich die erwartete Crack-Zeit bei einer Eingabe über 15 Zeichen von Stunden auf Jahre. Sobald Sie gemischte Zeichenklassen einführen, erhöht sich der Aufwand erneut erheblich.
Warum „mindestens zwei Zeichentypen“?
Ein langes Passwort mit 15 Zeichen desselben Typs (z. B. alle in Kleinbuchstaben) ist leichter zu knacken als eines, das Ziffern oder Symbole enthält. Grenzkosten vs. Sicherheitsgewinn. Wenn wir beispielsweise einem Kleinbuchstabenalphabet Ziffern hinzufügen, erweitert sich dessen Größe von 26 auf 36 Zeichen. Dies erhöht den Schlüsselraum zusätzlich zum Längengewinn um (36/26)¹⁶ ~ 2,5×.
“Tiefenverteidigung”: Selbst wenn ein Angreifer einen Angriff auf Basis einer Wortliste oder eines Maskenangriffs (der auf gängige Muster abzielt) optimiert, wird er durch die Einführung gemischter Klassen wieder in den Bereich der Brute-Force-Angriffe zurückgedrängt.