Es wird viel über Passwortsicherheit geschrieben. Tipps für leicht zu merkende Passworte, sollte man ignorieren. Solche Tipps fließen direkt in Algorithmen von Hackern ein. Jede Einschränkung der Passwortvielfalt verwässert das mögliche Maß an erreichbarer Sicherheit.
Heute würde jeder sagen, dass folgendes Passwort: „Katze49“ ein sehr schlechtes Passwort ist (stimmt ja auch!) und würde im gleichen Atemzug sagen, dass ein Login von Username=„Martin“ und Passwort=„:EDPv,,j0eS9_“ sicher sei. Aktuell wird empfohlen, dass ein Passwort mindestens aus 13 Zeichen bestehen sollte. Aber das beinhaltet Einschränkungen, die Hackern nützen!
Warum nicht so viele Zeichen verwenden, wie möglich sind? Die einzige praktikable und hinreichend sichere Methode, seine Passworte zu managen, sind nach einhelliger Expertenmeinung Passwortmanager. Um das einschätzen zu können, muss man kein Informatiker sein; dazu reicht normaler Menschenverstand. In der Regel ist eine Maximallänge für Passworte wirksam. Bei Amazon sind es 1024 Zeichen, bei Microsoft 256, bei Google 100, bei Paypal 32 und bei der Nutzung eines Microsoft-Kontos (z. B. Outlook, Hotmail) ist die Passwortlänge auf 16 Zeichen beschränkt. Man sollte sich grundsätzlich am Maximum des möglichen orientieren. Wenn man einen Passwortmanager benutzt, ist dies nicht mit der Reduktion von Komfort verbunden. Die heutzutage verfügbaren Technologien erlauben es locker, Passworte mit 1.000 Zeichen und mehr zu speichern. Allerdings sind die üblichen Hash-Algorithmen dafür eventuell nicht ausgelegt. Solche Fragen müssen Informatiker beantworten.
Es ist eine Frage der Zeit, ab wann es eine neue Generation Supercomputer gibt, welche die heutigen Mindest-Anforderung an Passworte sprengen. Warum der CIA und Konsorten so einen Vorsprung einräumen?
Ein anderer Aspekt meines obigen Beispiels: Warum ist Username=„Martin“ OK? Ist es nicht zweckmäßiger anstelle eines Usernamens, der ohne viele Aufwand zu erraten ist, eine Login-Phrase abzufragen, an welche die selben Kriterien gestellt werden, wie an ein sicheres Passwort. Der Username kann eine Zusatzinformation sein; vergleichbar mit einer E-Mailadresse. Fürs Login sollten nur 2 Kryptische Phrasen verwendet werden.
Bei Portalen, die weniger als 30 Buchstaben als Maximum für ein Passwort vorgeben, muss man sich fragen, ob diese Einschränkung einen Zweck zum Nachteil der Sicherheit der User hat. Backdooring? Schnittstelle für Drittdienste? Immerhin speichert Microsoft Windows 11 Passworte in Unicode. Leider ist der Datenverlust bei Benutzung von Windows konzeptionell begründet und ein sicheres Passwort schützt allenfalls vor Zugriff durch neugierigen Zivilisten oder Detektive.
Ein weitere Aspekt ist der Zeichenumfang für Passworte. Ich muss immer wieder feststellen, dass in Passworten Sonderzeichen nicht erlaubt sind. Das schränkt die für eine bestimmte Passwortlänge generierbaren Passworte unmittelbar ein. Warum es solche Restriktionen gibt, ist mir unverständlich. Heute kann praktisch jedes System mit UTF-Zeichensätzen umgehen. Warum nicht so ein Passwort: :„EöPv,网,j0eS9的hm,J:h:_K,:3Y-.9Aßv.seł9lh:,A7址“? Also mit Sonderzeichen und Schriftzeichen unterschiedlicher Sprachen (hier: Deutsch, Chinesisch und Polnisch)! Ich bin mir sicher, dass man dieses Passwort bei den meisten Portalen nicht benutzen kann. So viel zum Thema Sicherheit!