Oft hört man den Ratschlag, Menschen sollten möglichst Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen in einem Passwort verwenden, um es möglichst sicher zu machen. Die Idee dahinter ist, dass mit der Anzahl der möglichen Zeichen auch die Anzahl der Kombinationen wächst. Es gibt 26^10 Möglichkeiten, ein zehnstelliges Passwort nur aus Kleinbuchstaben zu bilden, wenn man mal Umlaute und ß weglässt. Das sind schon mehr als 141 Billionen und somit eine kaum lösbare Aufgabe für jeden Passwortknacker. Trotzdem wird man sich dieses Passwort noch recht leicht merken können. Zur Not lernt man einen Satz, in dem die Wörter mit den Anfangsbuchstaben des Passwortes anfangen (ACHTUNG: Umgekehrt sollte man das nicht tun. Wenn man sich erst einen Satz mit zehn Wörtern ausdenkt und dann deren Anfangsbuchstaben als Passwort nimmt, sind die Buchstaben nicht mehr zufällig genug). Wenn einem 141 Billionen Kombinationen aber immer noch zu wenige sind, kann man zweierlei tun: Man kann mehr Zeichen zulassen oder das Passwort länger machen.

Betrachten wir mal die erste Methode. Das Passwort soll also jetzt nicht mehr nur aus Kleinbuchstaben bestehen, sondern auch aus Großbuchstaben, Ziffern und Sonderzeichen. Die Umlaute nehmen wir nun auch hinzu. Dann haben wir 30 Kleinbuchstaben, 29 Großbuchstaben, 10 Ziffern und von mir aus 25 Sonderzeichen. Das sind 94 mögliche Zeichen für jede Stelle des Passwortes. Wir haben nun also 94^10 Möglichkeiten, ein Passwort mit zehn Stellen zu wählen. Das sind gut 53 Trillionen Möglichkeiten. Es stimmt also: Mit mehr möglichen Zeichen wird das Passwort sehr viel sicherer. Allerdings wird es nun deutliche schwieriger, sich das Passwort zu merken. Der Trick mit dem Satz geht jetzt nicht mehr.

Daher sollten wir mal die zweite Methode betrachten: Wir machen das Passwort länger. Wir wissen, dass sich mit jedem neuen Zeichen die Anzahl der möglichen Kombinationen versechsundzwanzigfacht. Das ist ein exponentielles Wachstum und wie stark das ist, merkt man schon bei vier zusätzlichen Stellen. 26^14 ist bereits mehr als 64 Trillionen und somit mehr als in der ersten Methode mit den 94 möglichen Zeichen. Die Anzahl der Stellen um 40% zu erhöhen bringt also schon mehr als die Anzahl der möglichen Zeichen mehr als zu verdreifachen und jede weitere Stelle erhöht die Anzahl der Möglichkeiten erneut um den Faktor 26. Zudem kann man aus den Buchstaben jetzt wieder einen Merksatz bilden, der dann eben ein paar Wörter länger, aber auch noch leicht zu merken ist.

Ein Passwort wie uoeaiyhcqwzeyu ist also schon sicherer als r=&xU_@iE° . Bei dem zweiten hätte ich jedoch große Probleme, es mir zu merken. Besonders, wenn es nur eines von viele Passwörtern ist, die ich mir merken muss.

Es gibt natürlich einen Fall, in dem man gezwungen ist, die erste Methode zu wählen: Wenn die Anzahl der Stellen eines Passwortes zu stark begrenzt ist. Normalerweise sollten immer mindestens 64 Stellen möglich sein, aber oft sind tatsächlich nur 12 oder noch weniger erlaubt. Dann bleibt einem nichts anderes übrig, als die Anzahl der möglichen Zeichen zu erhöhen, um sein Passwort sicher zu machen. Gibt es jedoch keine Grenze (oder eine sehr hohe wie 64), sehe ich keinen Grund, weshalb man sich damit quälen sollte, sich Sonderzeichen zu merken.

Der Grund, weshalb viele Webseiten auf Ziffern und Sonderzeichen bestehen, dürfte auch ein ganz anderer sein: Damit will man verhindern, dass Menschen als Passwort eine Buchstabenkombination wählen, die ein oder mehrere Wörter ergibt. So ein Passwort ist dann wirklich gefährlich.

Da man sich eine zufällige Buchstabenkombination nicht ausdenken kann, empfiehlt sich ein Generator von Zufallszeichenfolgen wie dieser hier:
http://www.dave-reed.com/Nifty/randSeq.html

passwort