• IT-Karriere:
  • Services:

Wie lang sollte ein Passwort sein?

Da wohl kein Anbieter öffentlich einräumen will, beim Hashen nicht State of the Art vorzugehen, waren die Antworten erwartbar. "Wir setzen immer das sicherste Hashverfahren ein, um unsere Nutzerdaten immer bestmöglich zu schützen. Ein Gesetzesverfahren ändert daran gar nichts, da Systembetreiber jederzeit auch davon ausgehen müssen, dass eventuell Daten anderweitig abhandenkommen können und darum zu schützen sind", schrieb Mailbox.org. Auch 1&1 setzt nach eigenen Angaben "jederzeit die neuesten sicheren Verfahren" ein.

Stellenmarkt
  1. Börse Stuttgart GmbH, Stuttgart
  2. über Hays AG, Berlin

Über eine größere Stellschraube verfügen die Anbieter jedoch bei den Passwortvorgaben. So könnten sie vorschreiben, dass die Nutzer generell Passwörter mit mehr Zeichen verwenden. Einem von Troy Hunt vor zwei Jahren erstellten Überblick zufolge variieren die Vorgaben bei 15 großen Diensten zwischen eins (Wikipedia) und acht (Google, Yahoo, Microsoft, Twitch). Neun der Dienste schrieben mindestens sechs Zeichen vor. Damit setzen nur die wenigsten der Dienste eine Empfehlung der US-Standardisierungsbehörde Nist (National Institute of Standards and Technology) um, wonach Passwörter mindestens acht Zeichen lang sein sollten.

"Besser 12 oder mehr"

Laut Nist sollten die Vorgaben an Länge und Komplexität der Passwörter jedoch nicht zu hoch sein, damit Nutzer diese nicht auf unsichere Weise aufschreiben oder abspeichern. Passwortmanager können dabei helfen, längere und komplexere Passwörter zu verwenden.

GMX und Web.de schreiben beispielsweise unter Verweis auf das Nist achtstellige Passwörter vor, empfehlen auf ihren Webseiten "besser 12 oder mehr" zu verwenden. "Denn je länger Ihr Passwort, desto schwerer ist es zu knacken", heißt es zur Begründung. Auch Mailbox.org schreibt acht Zeichen vor.

Abgleich mit geleakten Passwörtern sinnvoll

Ebenso wichtig wie die Mindestlänge eines Passwortes dürfte der Abgleich mit bereits geleakten Passwörtern sein. So empfiehlt das Nist, die von Nutzern gewählten Passwörter mit Listen bereits kompromittierter Passwörter abzugleichen, die bei früheren Datenlecks bekannt geworden sind. Als Basis für einen Abgleich hat Hunts Dienst HaveIBeenPwned schon eine halbe Milliarde geleakter Passwort-Hashes bereitgestellt.

Ein solcher Abgleich wird von den angefragten Anbietern noch nicht eingesetzt. Mailbox.org stellt allerdings seinen Nutzern den Dienst HaveIBeenPwned bereit, damit diese darüber informiert werden, ob ihr Account in einer geleakten Datenbank auftaucht.

Posteo verwies darauf, dass die E-Mail-Dienste nach einer Gerichtsentscheidung zu Gmail zwar nicht mehr zu den Telekommunikationsdiensten zählen und daher derzeit von der Gesetzesänderung zur Bestandsdatenauskunft betroffen wären. Es gibt allerdings auch Pläne der Bundesregierung, E-Mail-Anbieter per Gesetzesänderung dem Telekommunikationsgesetz (TKG) zuzuordnen. Dann würden andere Regelungen zur Herausgabe von Bestandsdaten gelten.

Welches Fazit lässt sich daher ziehen?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Nicht jedes Passwort ist schon stark gehashtWelche Behörde soll die Passwörter cracken? 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Anzeige
Spiele-Angebote
  1. 42,99€
  2. (u. a. eFootball PES 2021 für 7,99€, Assetto Corsa Competizione für 16,99€,
  3. 5,29€

peter.peter 04. Mai 2020

Ohne Salt wäre der HASH schnell gefunden worden, da sehr wahrscheinlich bei "a" gestartet...

Chaot 04. Mai 2020

Die Verfassung hatte ihren Sinn, die Gewaltenteilung auch. Beides sollte uns vor erneuter...

wurstdings 04. Mai 2020

Dummerweise liegt das Passwort da aber schon auf dem Server, denn für CRA müssen beide...

KaHe10 04. Mai 2020

Hier hinkt aber der Vergleich. So kann eine Onlinedurchsuchung zum Beispiel ohne Wissen...

hpary 02. Mai 2020

Hashen war schon immer eine Kosten-Nutzen-Rechnung. Aber default bei Argon2 ist glaube...


Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /