Dieser Empfehlung zugrunde liegt die Überlegung, dass ein sehr sicheres Passwort nicht durch systematisches Ausprobieren (Brute Force) gefunden werden können sollte. Um so länger und komplexer ein Passwort ist, um so mehr Versuche benötigt ein Angreifer, um das richtige Passwort zu finden.
Als ein sehr sicherer Wert für Passwörter gilt eine Entropie von 128 Bit, das entspricht der Anzahl aller möglichen 128 Zeichen langen Folgen aus den Zeichen 0 und 1.
Ab hier benötigt man etwas Mathematik:
0 und 1.00, 01, 10 und 11.Mit diesem Wert müssen wir wie folgt die Komplexität und Länge unseres Passworts vergleichen.
Angenommen, wir verwenden für das Passwort Kleinbuchstaben, Großbuchstaben und Ziffern und verzichten aus Verwechslungsgründen auf einige Zeichen:
l, y, z: 23 ZeichenI, O, Y, Z: 22 Zeichen0 und 1: 8 ZeichenSo kommen wir auf einen Zeichenvorrat von insgesamt 53 möglichen Zeichen.
Bei einer Passwortlänge von 24 Zeichen gibt es also insgesamt 5424 mögliche Passwörter, das entspricht in etwa 2,4 · 1041 und übersteigt damit die geforderte Entropie von 128 Bit.
... fragt sich vielleicht, warum wir hier 24 und nicht 23 Zeichen angeben (auch 5423 übersteigt die geforderte Entropie von 128 Bit).
Der Grund hierfür ist rein pragmatischer Natur - bei 24 Zeichen Länge können problemlos noch einige weitere Zeichen aus dem Zeichenvorrat ausgeschlossen werden, ohne dass man unter die Entropie von 128 Bit fällt.
Bei der Verwendung eines Passwortgenerators ist darauf zu achten, dass die einzelnen Zeichen des Passworts komplett unabhängig von vorangehenden Zeichen gewählt werden. (Hängen Zeichen von vorangehenden Zeichen ab, verringert sich die Zahl der möglichen Passwörter).
Bei sogenannten "aussprechbaren" Passwörter wird darauf geachtet, dass nicht zu viele Vokale oder Konsonanten aufeinander folgen. Die Zeichen sind hier also nicht unabhängig voneinander gewählt.
Da Passwörter, die man sich sowieso nicht merken möchte, auch nicht "aussprechbar" sein müssen, ist bei der Verwendung von Passwortgeneratoren darauf zu achten, dass diese Option nicht verwendet wird. Leider ist dies bei einigen Passwortmanagern die Standardkonfiguration.
Zwei solcher Fälle sind die Konsolenkommandos pwgen und apg, welche man mit einer entsprechenden Option aufrufen muss, um aussprechbare Passwörter zu deaktivieren:
$ pwgen -s …
$ apg -a 1 …