• IT-Karriere:
  • Services:

Wie lang sollte ein Passwort sein?

Da wohl kein Anbieter öffentlich einräumen will, beim Hashen nicht State of the Art vorzugehen, waren die Antworten erwartbar. "Wir setzen immer das sicherste Hashverfahren ein, um unsere Nutzerdaten immer bestmöglich zu schützen. Ein Gesetzesverfahren ändert daran gar nichts, da Systembetreiber jederzeit auch davon ausgehen müssen, dass eventuell Daten anderweitig abhandenkommen können und darum zu schützen sind", schrieb Mailbox.org. Auch 1&1 setzt nach eigenen Angaben "jederzeit die neuesten sicheren Verfahren" ein.

Stellenmarkt
  1. Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU), Erlangen
  2. Melitta Business Service Center GmbH & Co. KG, deutschlandweit

Über eine größere Stellschraube verfügen die Anbieter jedoch bei den Passwortvorgaben. So könnten sie vorschreiben, dass die Nutzer generell Passwörter mit mehr Zeichen verwenden. Einem von Troy Hunt vor zwei Jahren erstellten Überblick zufolge variieren die Vorgaben bei 15 großen Diensten zwischen eins (Wikipedia) und acht (Google, Yahoo, Microsoft, Twitch). Neun der Dienste schrieben mindestens sechs Zeichen vor. Damit setzen nur die wenigsten der Dienste eine Empfehlung der US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) um, wonach Passwörter mindestens acht Zeichen lang sein sollten.

"Besser 12 oder mehr"

Laut Nist sollten die Vorgaben an Länge und Komplexität der Passwörter jedoch nicht zu hoch sein, damit Nutzer diese nicht auf unsichere Weise aufschreiben oder abspeichern. Passwortmanager können dabei helfen, längere und komplexere Passwörter zu verwenden.

GMX und Web.de schreiben beispielsweise unter Verweis auf das Nist achtstellige Passwörter vor, empfehlen auf ihren Webseiten "besser 12 oder mehr" zu verwenden. "Denn je länger Ihr Passwort, desto schwerer ist es zu knacken", heißt es zur Begründung. Auch Mailbox.org schreibt acht Zeichen vor.

Abgleich mit geleakten Passwörtern sinnvoll

Ebenso wichtig wie die Mindestlänge eines Passwortes dürfte der Abgleich mit bereits geleakten Passwörtern sein. So empfiehlt das Nist, die von Nutzern gewählten Passwörter mit Listen bereits kompromittierter Passwörter abzugleichen, die bei früheren Datenlecks bekannt geworden sind. Als Basis für einen Abgleich hat Hunts Dienst HaveIBeenPwned schon eine halbe Milliarde geleakter Passwort-Hashes bereitgestellt.

Ein solcher Abgleich wird von den angefragten Anbietern noch nicht eingesetzt. Mailbox.org stellt allerdings seinen Nutzern den Dienst HaveIBeenPwned bereit, damit diese darüber informiert werden, ob ihr Account in einer geleakten Datenbank auftaucht.

Posteo verwies darauf, dass die E-Mail-Dienste nach einer Gerichtsentscheidung zu Gmail zwar nicht mehr zu den Telekommunikationsdiensten zählen und daher derzeit von der Gesetzesänderung zur Bestandsdatenauskunft betroffen wären. Es gibt allerdings auch Pläne der Bundesregierung, E-Mail-Anbieter per Gesetzesänderung dem Telekommunikationsgesetz (TKG) zuzuordnen. Dann würden andere Regelungen zur Herausgabe von Bestandsdaten gelten.

Welches Fazit lässt sich daher ziehen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nicht jedes Passwort ist schon stark gehashtWelche Behörde soll die Passwörter cracken? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Top-Angebote
  1. 418,15€
  2. 515,65€
  3. (u. a. Asus TUF-RTX3080-10G-GAMING 10GB für 739€, MSI GeForce RTX™ 3080 GAMING X TRIO 10GB...
  4. (u. a. GIGABYTE GeForce RTX 3080 Eagle OC 10G für 699€, ASUS GeForce RTX 3080 TUF GAMING für...

peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...


Folgen Sie uns
       


Probefahrt mit Citroën Ami: Das Palindrom auf vier Rädern
Probefahrt mit Citroën Ami
Das Palindrom auf vier Rädern

Wie fährt sich ein Elektroauto, das von vorne und hinten gleich aussieht und nur 7.000 Euro kostet?
Ein Hands-on von Friedhelm Greis

  1. Zulassungsrekord Jeder achte neue Pkw fährt elektrisch
  2. Softwarefehler Andere Marken laden gratis an Teslas Superchargern
  3. Lucid Motors Elektrolimousine Lucid Air kostet 170.000 US-Dollar

6G-Mobilfunk: Wie 115 Gigabit/s per Funk über 100 m übertragen wurden
6G-Mobilfunk
Wie 115 Gigabit/s per Funk über 100 m übertragen wurden

Die Funkverbindung wurde mit 300 GHz hergestellt. Dabei muss nur eine Photodiode mit dieser Frequenz arbeiten. Der Rest ist clevere Technik und Mathematik.
Von Frank Wunderlich-Pfeiffer

  1. Telekommunikation Warum US-Tech-Firmen so heiß auf Jio sind
  2. 450 MHz Bundesnetzagentur legt sich bei neuer Frequenzvergabe fest
  3. Funkverschmutzung Wer stört hier?

Immortals Fenyx Rising angespielt: Göttliches Gaga-Gegenstück zu Assassin's Creed
Immortals Fenyx Rising angespielt
Göttliches Gaga-Gegenstück zu Assassin's Creed

Abenteuer im antiken Griechenland mal anders! Golem.de hat das für Dezember 2020 geplante Immortals ausprobiert und zeigt Gameplay im Video.
Von Peter Steinlechner


      •  /