Passwort-Sicherheit — Variationen

Aufgabenstellung

Untersuchen Sie die Sicherheit verschiedener Passworttypen mit kombinatorischen Methoden.

(a) Wie viele verschiedene 4-stellige PINs gibt es (Ziffern 0–9, Wiederholung erlaubt)?
(b) Wie viele 8-stellige Passwörter lassen sich aus 26 Kleinbuchstaben bilden?
(c) Wie viele 8-stellige Passwörter gibt es bei 62 Zeichen (a–z, A–Z, 0–9)?
(d) Ein Hacker testet $10^6$ Passwörter pro Sekunde. Wie lange dauert es im schlimmsten Fall, alle Passwörter aus (b) bzw. (c) durchzuprobieren?

Lösungsweg

Schritt 1: 4-stellige PINs (a)

Jede der 4 Stellen kann unabhängig mit einer der 10 Ziffern besetzt werden. Es handelt sich um eine Variation mit Wiederholung:

$\text{Anzahl} = 10^4 = 10\,000$

$\boxed{10\,000 \text{ verschiedene PINs}}$

Schritt 2: 8-stellige Passwörter aus Kleinbuchstaben (b)

Bei 26 Buchstaben und 8 Stellen (Variation mit Wiederholung):

$\text{Anzahl} = 26^8$

Schrittweise:

$26^2 = 676$

$26^4 = 676^2 = 456\,976$

$26^8 = (26^4)^2 = 456\,976^2 = 208\,827\,064\,576$

$\boxed{26^8 = 208\,827\,064\,576 \approx 2{,}09 \cdot 10^{11}}$

Das sind rund 209 Milliarden mögliche Passwörter.

Schritt 3: 8-stellige Passwörter aus 62 Zeichen (c)

Der Zeichenvorrat umfasst $26 + 26 + 10 = 62$ Zeichen:

$\text{Anzahl} = 62^8$

Schrittweise:

$62^2 = 3\,844$

$62^4 = 3\,844^2 = 14\,776\,336$

$62^8 = (62^4)^2 = 14\,776\,336^2 = 218\,340\,105\,584\,896$

$\boxed{62^8 = 218\,340\,105\,584\,896 \approx 2{,}18 \cdot 10^{14}}$

Das sind rund 218 Billionen mögliche Passwörter.

Schritt 4: Dauer eines Brute-Force-Angriffs (d)

Der Hacker testet $10^6$ Passwörter pro Sekunde. Im schlimmsten Fall muss er alle durchprobieren.

Fall (b) — 26 Kleinbuchstaben:

$t_b = \frac{26^8}{10^6} = \frac{208\,827\,064\,576}{1\,000\,000} \approx 208\,827 \text{ s}$

Umrechnung:

$208\,827 \text{ s} = \frac{208\,827}{3\,600} \approx 58{,}0 \text{ h} \approx 2{,}4 \text{ Tage}$

$\boxed{t_b \approx 2{,}4 \text{ Tage}}$

Fall (c) — 62 Zeichen:

$t_c = \frac{62^8}{10^6} = \frac{218\,340\,105\,584\,896}{1\,000\,000} \approx 218\,340\,106 \text{ s}$

Umrechnung:

$218\,340\,106 \text{ s} = \frac{218\,340\,106}{3\,600 \cdot 24 \cdot 365} \approx 6{,}92 \text{ Jahre}$

$\boxed{t_c \approx 6{,}9 \text{ Jahre}}$

Der Wechsel von 26 auf 62 Zeichen erhöht die Sicherheit also um den Faktor:

$\frac{62^8}{26^8} = \left(\frac{62}{26}\right)^8 \approx 2{,}385^8 \approx 1\,046$

Das Passwort aus 62 Zeichen ist rund 1,000-mal sicherer.

Ergebnis

Frage	Antwort
4-stellige PINs	$10\,000$
8 Stellen, 26 Zeichen	$\approx 2{,}09 \cdot 10^{11}$
8 Stellen, 62 Zeichen	$\approx 2{,}18 \cdot 10^{14}$
Brute-Force-Dauer (26 Zeichen)	$\approx 2{,}4$ Tage
Brute-Force-Dauer (62 Zeichen)	$\approx 6{,}9$ Jahre