Wie lang sollte ein Passwort sein?

Da wohl kein Anbieter öffentlich einräumen will, beim Hashen nicht State of the Art vorzugehen, waren die Antworten erwartbar. "Wir setzen immer das sicherste Hashverfahren ein, um unsere Nutzerdaten immer bestmöglich zu schützen. Ein Gesetzesverfahren ändert daran gar nichts, da Systembetreiber jederzeit auch davon ausgehen müssen, dass eventuell Daten anderweitig abhandenkommen können und darum zu schützen sind", schrieb Mailbox.org. Auch 1&1 setzt nach eigenen Angaben "jederzeit die neuesten sicheren Verfahren" ein.

Stellenmarkt
  1. IT Service- und Projektmanager (m/w/d)
    Heidelberg Engineering GmbH, Heidelberg
  2. Senior Software-Entwickler:in Java / JavaScript lexoffice (m/w/d)
    Haufe Group, Freiburg im Breisgau
Detailsuche

Über eine größere Stellschraube verfügen die Anbieter jedoch bei den Passwortvorgaben. So könnten sie vorschreiben, dass die Nutzer generell Passwörter mit mehr Zeichen verwenden. Einem von Troy Hunt vor zwei Jahren erstellten Überblick zufolge variieren die Vorgaben bei 15 großen Diensten zwischen eins (Wikipedia) und acht (Google, Yahoo, Microsoft, Twitch). Neun der Dienste schrieben mindestens sechs Zeichen vor. Damit setzen nur die wenigsten der Dienste eine Empfehlung der US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) um, wonach Passwörter mindestens acht Zeichen lang sein sollten.

"Besser 12 oder mehr"

Laut Nist sollten die Vorgaben an Länge und Komplexität der Passwörter jedoch nicht zu hoch sein, damit Nutzer diese nicht auf unsichere Weise aufschreiben oder abspeichern. Passwortmanager können dabei helfen, längere und komplexere Passwörter zu verwenden.

GMX und Web.de schreiben beispielsweise unter Verweis auf das Nist achtstellige Passwörter vor, empfehlen auf ihren Webseiten "besser 12 oder mehr" zu verwenden. "Denn je länger Ihr Passwort, desto schwerer ist es zu knacken", heißt es zur Begründung. Auch Mailbox.org schreibt acht Zeichen vor.

Abgleich mit geleakten Passwörtern sinnvoll

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Ebenso wichtig wie die Mindestlänge eines Passwortes dürfte der Abgleich mit bereits geleakten Passwörtern sein. So empfiehlt das Nist, die von Nutzern gewählten Passwörter mit Listen bereits kompromittierter Passwörter abzugleichen, die bei früheren Datenlecks bekannt geworden sind. Als Basis für einen Abgleich hat Hunts Dienst HaveIBeenPwned schon eine halbe Milliarde geleakter Passwort-Hashes bereitgestellt.

Ein solcher Abgleich wird von den angefragten Anbietern noch nicht eingesetzt. Mailbox.org stellt allerdings seinen Nutzern den Dienst HaveIBeenPwned bereit, damit diese darüber informiert werden, ob ihr Account in einer geleakten Datenbank auftaucht.

Posteo verwies darauf, dass die E-Mail-Dienste nach einer Gerichtsentscheidung zu Gmail zwar nicht mehr zu den Telekommunikationsdiensten zählen und daher derzeit von der Gesetzesänderung zur Bestandsdatenauskunft betroffen wären. Es gibt allerdings auch Pläne der Bundesregierung, E-Mail-Anbieter per Gesetzesänderung dem Telekommunikationsgesetz (TKG) zuzuordnen. Dann würden andere Regelungen zur Herausgabe von Bestandsdaten gelten.

Welches Fazit lässt sich daher ziehen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nicht jedes Passwort ist schon stark gehashtWelche Behörde soll die Passwörter cracken? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...



Aktuell auf der Startseite von Golem.de
Pornhub, Youporn, Mydirtyhobby
Gericht bestätigt Zugangsverbot für Pornoportale

Die Landesmedienanstalt NRW hat zu Recht gegen drei Pornoportale mit Sitz in Zypern ein Zugangsverbot verhängt.

Pornhub, Youporn, Mydirtyhobby: Gericht bestätigt Zugangsverbot für Pornoportale
Artikel
  1. Elektrisches Showcar: Maybach hat Solarzellen und durchsichtige Motorhaube
    Elektrisches Showcar
    Maybach hat Solarzellen und durchsichtige Motorhaube

    Virgil Abloh und Mercedes-Benz haben einen solarbetriebenen, elektrischen Maybach mit transparenter Motorhaube als Showcar entworfen.

  2. Nvidia Turing: Die Geforce RTX 2060 mit 12 GByte ist da
    Nvidia Turing
    Die Geforce RTX 2060 mit 12 GByte ist da

    Doppelter Videospeicher plus Super-Gene: Die Geforce RTX 2060 mit 12 GByte soll eine günstigere Alternative zur Geforce RTX 3060 darstellen.

  3. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /