Intels gut gemeinter Passwort-Test

Intel will etwas gegen unsichere Passwörter tun und bietet einen Test an, der die Stärke beziehungsweise Schwäche von Passwörtern illustrieren soll. Allerdings sind die Ergebnisse so irreführend, dass man sich besser nicht darauf verlässt.

Zumindest eine Falle vermeidet Intel: Die Berechnung der Knackzeit erfolgt anscheinend mit etwas JavaScript lokal auf dem eigenen PC; die eingegebenen Passwörter werden dabei nicht übers Netz geschickt. Doch die angezeigten Ergebnisse zur Stärke der Passwörter sind teilweise haarsträubend. So schätzt Intel, dass ein Cracker 8243 Jahre bräuchte, um das einfache Passwort "BluesBrothers" zu knacken – was ganz offensichtlich Unsinn ist. Der Begriff findet sich längst in den gängigen Wörterbüchern der Cracker und ist somit in kürzester Zeit geknackt. Auf der anderen Seite will Intel die von einem Passwort-Generator erzeugte, zufällige Zeichenfolge "aic9eeVa" in etwa zwei Stunden herausfinden können. Das ist anders als bei Begriffen, die sich aus Wörterbüchern ableiten lassen, tatsächlich nur mit Brute-Force zu knacken, was zumindest beim Einsatz eines vernünftigen Passwort-Speicherverfahrens wie bcrypt viele Jahre dauern würde.

Da fällt es schon schwer, sich dumme Sprüche zur Funktionsweise von Intel CPUs zu verkneifen. Klar ist jedoch: Zur Sicherheit von Passwörtern tragen diese absurden Schätzungen nicht bei. Warum und vor allem wie "BluesBrothers" und "g3h3im" wirklich ruckzuck geknackt werden, erklärt übrigens der Artikel Knack mich, wenn du kannst auf S.80 in c't 3/2013. Wie man auch ohne fotografisches Gedächtnis quasi unknackbare Passwörter benutzen kann, erläutert der Online-Artikel Passwort-Schutz für jeden.

Update 10.5.2013, 15:30: Die Erklärungen zu den Abschätzungen der realistischen Knackdauer verbessert und dabei den Bezug zu bcrypt eingebaut. (ju)