Hi,

Wie wäre es mit "nZ5F(lö*!"?
Aha, aber meistens heißt es doch, bitte nur Zahlen und Buchstaben verwenden, da alles andere nicht funktioniert :(

Dann ist das, was mit guten Passworten nicht funktioniert, ein schlechtes Verfahren.

Es geht letzten Endes darum, dem Angreifer möglichst wenige Möglichkeiten zu geben.
Nie ausschließen kännst Du, daß jemand eine Umkehrfunktion zu einem Verschlüsselungsverfahren besitzt, welches als sicher gilt. Allerdings: Hätte ich so etwas, dann würde ich damit auf legale Weise genügend Geld machen können (ein Buch schreiben würde reichen, denke ich).

Die trivialen Angriffe, die ein Cracker versuchen kann, sind:
a) Durchprobieren einer Liste von häufig verwendeten Passworten (es gibt statistische Erkenntnisse darüber, wie ungeheuer viele Leute einfach den Namen oder das Geburtsdatum ihrer Frau/Freundin nehmen, oder den Namen ihres Autos). Damit kann man schlechte Passworte knacken, ohne die Person zu kennen, die das Passwort erzeugt hat: Man nimmt einfach ein taugliches Wörterbuch, welches mehrere Zehnerpotenzen weniger Wörter enthält, als der Suchraum des Verschlüsselungsverfahrens bietet, und verläßt sich darauf, daß der Anwender leichtsinnig genug war, diesem Angriff einen Erfolg zu gestatten.
b) Kennt man diese Person, dann kann man deren Vorlieben zu weiteren Versuchen nutzen. Das ist ein eher zufälliges Stochern im Nebel, ähnelt dem vorherigen Schritt aber weitgehend.
c) Scheitern beide Methoden, dann wäre der nächst größere Suchraum derjenige, der aus Permutationen bestimmter Zeichen besteht. Jetzt also sind wir bei 26 hoch 8 Zeichen, wenn nur um Kleinbuchstaben verwendet wurden - immerhin schon 209 Milliarden Möglichkeiten, da kommt kein Lexikon mehr mit. Trotzdem: bei 1 Mio Versuche pro Sekunde nur 58 Stunden für alle Kombinationen, im Schnitt also die Hälfte bis zum Erfolg.
Dieser letzte Schritt wird aber massiv schwerer, wenn man das Alphabet erhöht: Schon mit Ziffern und Kleinbuchstaben kommt man auf 36 hoch 8, also 2821 Milliarden, d. h. zehnmal so viel wie ohne Ziffern. Mit Großbuchstaben sind es 62 hoch 8 gleich 2183420 Milliarden oder erneut 77 mal so viel wie zuvor - langsam wird es mehr als die Lebensdauer eines Passworts.
Und selbst dieses Verfahren scheitert definitiv, wenn Du mindestens ein einziges Zeichen verwendest, was weder Buchstabe noch Ziffer ist.

"Gute" Passworte sind solche, bei denen ein Angreifer nicht in der Lage ist, eine signifikant kleinere Teilmenge des Passwortraums zu erraten (und *effizient* zu durchlaufen), welche Dein Passwort ebenfalls enthält.
Dazu gehört insbesondere auch eine Mindestlänge eines Passworts. Denn die "8" aus meinem Beispiel war erforderlich, damit die Zahlen halbwegs groß genug wurden. (Und genau deshalb nehmen wirklich gute Verschlüsselungsverfahren noch sehr viel längere Schlüssel.) Natürlich kann ein Angreifer zuerst alle Passworte mit weniger als 8 Zeichen durchprobieren, bevor er sich an 8-stellige Worte wagt - das ist so ziemlich die nageliegendste Teilmengenbildung, die er durchführen wird.

mfG - Michael