Auch lange Passwörter können geknackt werden: So schützt man sich

30.09.2023

Passwörter mit bis zu 15 Zeichen gehören zu den am häufigsten kompromittierten Zugangscodes. Man kann sich aber schützen.

"Es kommt auf die Länge an" war bislang immer ein guter Rat beim Erstellen eines sicheren Passworts. Doch die Sicherheitsfirma Specops Software hat herausgefunden, dass auch vermeintlich lange Passwörter nicht 100-prozentige Sicherheit bieten. Dafür untersuchte das Unternehmen die Länge von 800 Millionen Passwörtern, die in den vergangenen Jahren kompromittiert wurden.

Meist geknacktes Passwort ist 8 Zeichen lang

Es stellte sich heraus: Das häufigste geknackte Passwort ist nicht etwa ein, oder 2 Zeichen, sondern 8 Zeichen lang. Das liegt wohl daran, dass die Standardlänge eines Passworts in Active Directory 8 Zeichen lang ist. Der Verzeichnisdienst von Microsoft ist einer der zentralen Komponenten von Windows-basierten Netzwerken. Zudem ist "password" als leider eines der am häufigsten verwendeten Passwörter ebenso 8 Zeichen lang.

So lang sind die meist geknackten Passwörter

Die Länge der am häufigsten geknackten Passwörter in einer Rangliste:

Das Sicherheitsunternehmen gibt allerdings Entwarnung. Es gelte immer noch, dass mit der Länge eines Passwortes auch dessen Sicherheit zunimmt. 85 Prozent der geknackten Passwörter seien weniger als 12 Zeichen lang. Werden Zahlen mit Kleinbuchstaben, Großbuchstaben und Sonderzeichen im Passwort vermischt, fährt man mit einem 10-, 11- oder 12-stelligen Passwort in der Regel sehr gut.

So lange braucht man, um entsprechende Passwörter zu knacken.

© Specops Software

Komplexes Passwort ist nur die halbe Miete

Ein komplexes Passwort ist allerdings nur die halbe Miete. Ein großes Risiko bleiben weiterhin Phishing-Versuche, bei denen Nutzer*innen etwa durch falsche E-Mails verleitet werden, Passwörter von sich aus zu verraten. Datenlecks großer Unternehmen stellen ebenso eine Gefahr dar - egal ob die Passwörter dort verschlüsselt sind oder nicht. Sind Angreifer*innen nämlich erst an den Datensatz gekommen, haben sie alle Zeit der Welt, um die Codes zu entschlüsseln.

➤ Mehr lesen: Was tun, wenn ich auf eine Phishing-Mail hereingefallen bin?

Wie kann man sich also schützen? Zunächst sollte man für jeden Dienst ein separates Passwort wählen, das lang und kompliziert genug ist. Sollte es bei einem Dienst zu Datenlecks kommen, sollte man auch das jeweilige Passwort ändern. Ob man selbst von so einem Leck betroffen ist, kann man etwa auf der Webseite haveibeenpwned.com nachsehen.