Guides

NIST-Regeln zur Mindestlänge von Passwörtern: Mindestens 16 Zeichen.

Mit dem Aufkommen von Quantencomputern müssen Passwörter länger - und komplexer - sein. Diese Tipps helfen Ihnen, Ihre Online-Konten zu schützen.

Tabelle zur Sicherheit von Passwörtern basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA im Jahr 2024

Bei Tuta konzentrieren wir uns darauf, die Daten unserer Nutzer mit quantensicherer Verschlüsselung zu schützen. Um ein Maximum an Sicherheit zu erreichen, kann die Bedeutung von starken, sicheren und ausreichend langen Passwörtern nicht hoch genug eingeschätzt werden. Passwörter und die Länge der Passwörter sind die erste Verteidigungslinie, um sicherzustellen, dass kein Unbefugter Zugriff auf Ihre Daten hat oder Ihnen selbst Schaden zufügen kann. Auch wenn Faktoren wie Komplexität und Unvorhersehbarkeit eine Rolle spielen, betonen Experten, dass die Länge ein entscheidendes Element bei der Gewährleistung der Passwortsicherheit ist. Doch welche Länge ist angesichts der neuen Bedrohungen durch Quantencomputer die optimale Mindestlänge für Passwörter, die von NIST und CISA empfohlen wird?

Was Sicherheitsexperten sagen

Cybersecurity-Experten plädieren immer wieder für längere Passwörter als Schlüsselkomponente für robuste Sicherheit: “Die Länge eines Passworts erhöht die Zeit und die Rechenressourcen, die zum Knacken benötigt werden, erheblich”, sagt Bruce Schneier, ein renommierter Kryptograph und Sicherheitsexperte. “Ein längeres Passwort erhöht die Schwierigkeit für Brute-Force-Angriffe exponentiell und ist damit ein entscheidender Aspekt der Passwortstärke.”

Das U.S. National Institute of Standards and Technology (NIST) hat in der Vergangenheit empfohlen, für sichere Passwörter eine Mindestlänge von mehr als 14 Zeichen zu wählen, aber auch darauf hingewiesen, dass die absolute Mindestlänge von Passwörtern 8 Zeichen betragen sollte, während die optimale Passwortlänge zwischen 14 und 16 Zeichen liegt. Das NIST weist auch darauf hin, dass längere Passwörter besser und widerstandsfähiger gegen moderne Knacktechniken sind, einschließlich fortgeschrittener gezielter Angriffe, z. B. von staatlichen Akteuren oder Geheimdiensten, die in der Lage sind, leistungsstarke Hardware oder sogar Quantencomputer einzusetzen. Mit der Zunahme der Rechenleistung müssen auch die Passwörter länger werden, um Angriffen standhalten zu können.

Schalte die Privatsphäre ein.

Machen Sie Ihr Passwort 16 Zeichen oder länger

Die folgende Tabelle zur Länge und Komplexität von Passwörtern basiert auf den Empfehlungen von NIST und CISA, die im Jahr 2024 veröffentlicht wurden. Mit dem möglichen Aufkommen der Quantencomputer muss jeder die Länge seiner Passwörter überprüfen, um sicher zu gehen, dass sie immer noch stark genug sind, um Angriffen von Quantencomputern mit einer viel höheren Rechenleistung standzuhalten.

Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024 Tabelle zur Passwortsicherheit basierend auf Länge und Komplexität gemäß den Empfehlungen von NIST und CISA für 2024.

Während Sicherheitsexperten eine Mindestlänge von 12 Zeichen für ein gutes Passwort empfehlen, sind Passwörter mit 16-20 Zeichen oder mehr ideal für hochsensible Konten. Die amerikanische Cyber Defence Agency (CISA) empfiehlt:

“Mindestens 16 Zeichen - länger ist besser!”

Das US-amerikanische National Institute of Standards and Technology (NIST) hat seine Empfehlungen für die Passwortlänge im Jahr 2024 aktualisiert und erklärt:

“Die Passwortlänge ist ein Hauptfaktor bei der Charakterisierung der Passwortstärke.”

Im Jahr 2024 veröffentlichte das NIST eine neue Richtlinie für Online-Dienste in Bezug auf die Anforderungen an Passwörter, um diese sicherer zu machen. Ähnlich wie die CISA-Empfehlung von 16 Zeichen für die ideale Mindestlänge eines Passworts gibt das NIST an, ein sicheres Passwort SOLLTE:

“eine Mindestlänge von 15 Zeichen haben”.

Passwortlänge vs. Komplexität

In Anbetracht der neuen und längeren Passwörter fallen frühere Tipps zur Verwendung von Sonderzeichen und zum Verzicht auf Wörter aus dem Wörterbuch nicht mehr so stark ins Gewicht wie bei kürzeren Passwörtern. Im Allgemeinen sagen Sicherheitsexperten, je länger, desto besser. Aber wenn Sie das perfekte Passwort anstreben, schadet es nicht, auch diese Empfehlungen zu befolgen:

  • Großbuchstaben und Kleinbuchstaben: KLJDFwerfn
  • Numerische Zeichen: 923857
  • Sonderzeichen: =)§)]€&
  • Zufälligkeit: Es ist wichtig, vorhersehbare Muster, Wörter aus dem Wörterbuch oder persönliche Informationen zu vermeiden.
  1. Ausschließlich numerische Kennwörter: Ein Kennwort, das ausschließlich aus numerischen Zeichen (0-9) besteht, bietet nur zehn mögliche Optionen für jedes Zeichen. Ein numerisches Kennwort mit acht Zeichen hätte zum Beispiel 10 x 10 x 10 × 10 × 10 × 10 × 10 × 10 = 100.000.000 (100 Millionen) mögliche Kombinationen.
  2. Ziffern und Kleinbuchstaben: Wenn man Kleinbuchstaben (a-z) hinzufügt, erhöht sich die Anzahl der möglichen Kombinationen für jedes Zeichen auf 36. Bei einem achtstelligen Kennwort, das sowohl Zahlen als auch Kleinbuchstaben enthält, erhöht sich die Zahl der möglichen Kombinationen drastisch auf 36 x 36 x36 × 36 × 36 × 36 × 36 × 36 = 2,8211099e+12 (zwei Billionen, achthunderteinundzwanzig Milliarden, einhundertneun Millionen, neunhunderttausend) mögliche Kombinationen.

Um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen, sollten Sie Passphrasen verwenden: eine Reihe von zufällig aneinandergereihten Wörtern (z. B. “Solar-Miles50>Lunar-Meters51!”), die leicht zu merken, aber schwer zu erraten sind.

Wenn Sie ein sicheres Passwort wählen, sollten Sie bedenken, dass sowohl die Länge als auch die Komplexität wichtig sind. Pro-Tipp: Wenn Sie Schwierigkeiten mit der Komplexität haben, machen Sie Ihr Passwort einfach länger, und Sie werden einen ähnlichen Effekt in Bezug auf die Passwortstärke erzielen.

Passwortlänge vs. Zeit zum Knacken

Die Länge eines Passworts ist einer der wichtigsten Faktoren, wenn es darum geht, wie lange ein Hacker braucht, um es zu knacken. Tools zum Knacken von Passwörtern beruhen auf Brute-Force-Methoden, bei denen systematisch alle möglichen Kombinationen eines bestimmten Passworts ausprobiert werden, bis die richtige Kombination gefunden ist. Dieser Angriff benötigt Zeit, die natürlich von der Mindestlänge des Passworts abhängt. Die Zeit, die ein Brute-Force-Angreifer benötigt, um ein Kennwort zu knacken, nimmt mit jedem zusätzlichen Zeichen exponentiell zu. So kann das Knacken eines Kennworts mit sechs Zeichen je nach Komplexität und verfügbarer Rechenleistung Minuten oder Stunden dauern. Erhöht sich die Länge jedoch auf 12 Zeichen, kann das Knacken Jahre oder sogar Jahrhunderte dauern, insbesondere wenn verschiedene Zeichentypen wie Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen und Symbole kombiniert werden.

Dieser exponentielle Anstieg der Zeit unterstreicht, warum längere Passwörter einen stärkeren Schutz bieten.

Die NIST-Empfehlungen für 2024 zur optimalen Mindestlänge und Struktur von Passwörtern müssen auch von Online-Diensten übernommen werden, die ihre Passwortanforderungen aktualisieren und vor allem längere Passwörter zulassen müssen. Viele Dienste begrenzen immer noch die Anzahl der Zeichen, die Benutzer bei der Erstellung von Passwörtern eingeben können. Tuta Mail zum hingegen verlangt eine Passwortlänge von mindestens 10 Zeichen, erlaubt aber eine unbegrenzte Passwortlänge. Darüber hinaus bietet Tuta bei der Anmeldung einen Passwortgenerator an, der die NIST-Richtlinien bereits berücksichtigt, indem er lange Passphrasen mit zufällig ausgewählten Wörtern generiert, so dass das Passwort lang genug ist, um eine optimale Stärke zu erreichen.

Wir erklären hier im Detail, wie man ein starkes Passwort erstellt.

Warum längere Passwörter besser sind

Die Mindestlänge eines Passworts steht in direktem Zusammenhang mit der Anzahl der möglichen Kombinationen, die ein böswilliger Akteur versuchen muss, um es zu erraten.

Ein Beispiel:

  • Ein 10-Zeichen-Passwort mit einer Mischung aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen bietet etwa 83 Sextillionen Kombinationen.
  • Bei einem 16-Zeichen-Passwort erhöht sich diese Zahl auf über 10 Oktillionen Kombinationen, was einen gewaltigen Sprung in der Schwierigkeit darstellt.

Selbst für Quantencomputer, von denen erwartet wird, dass sie die herkömmliche Verschlüsselung vor große Herausforderungen stellen, werden lange Passwörter mit unvorhersehbaren Strukturen immer noch schwer zu knacken sein.

Schalte die Privatsphäre ein.

Erkenntnisse aus der Tuta-Mail-Benutzerumfrage

Wir bei Tuta Mail setzen auf modernste Sicherheit und haben bereits quantensichere Verschlüsselung in unsere E-Mail- und Kalenderdienste integriert. In Tuta ist der private Schlüssel des Benutzers durch sein Passwort gesichert, so dass die Wahl eines langen und starken Passworts noch wichtiger ist. Deshalb haben wir eine Umfrage unter 2.500 Nutzern durchgeführt, um besser zu verstehen, wie viel sie über Passwortsicherheit wissen.

Länge der Passwörter der Tuta-Benutzer Länge der Passwörter der Tuta-Benutzer Länge der Passwörter der Tuta-Benutzer: Wie lang ist Ihr durchschnittliches Passwort? Es ist … Zeichen lang.

In Anbetracht der Tatsache, dass Tuta-Nutzer nicht den durchschnittlichen Internetnutzer repräsentieren, sondern sehr technikaffin und an Sicherheit interessiert sind, sind die Ergebnisse schockierend:

  • 16 % verwenden Passwörter mit bis zu 10 Zeichen.
  • 32% verwenden Passwörter mit einer Länge von 11-15 Zeichen.
  • 31 % verwenden 16 bis 20 Zeichen für ihre Passwörter, um ein hohes Maß an Sicherheit zu erreichen.
  • 21 % bevorzugen Passwörter mit mehr als 20 Zeichen für maximalen Schutz.

Es ist überraschend - ja sogar schockierend - zu sehen, dass, obwohl die Tuta-Benutzer so viel über Sicherheit wissen, immer noch 16 % nur ein Passwort mit bis zu 10 Zeichen wählen (was nicht sicher genug ist!) und 32 % sich mit einem Passwort zwischen 11 und 15 Zeichen zufrieden geben - obwohl längere Passwörter definitiv besser wären, insbesondere da es in naher Zukunft Quantencomputer geben wird.

Wir müssen bedenken, dass der durchschnittliche Tuta-Nutzer viel mehr über Online-Sicherheit weiß als der durchschnittliche Internetnutzer. So ergab dieselbe Umfrage auch, dass 90 % der Nutzer wissen, wie man eine E-Mail mit Tuta Mail Ende-zu-Ende verschlüsselt, und 43 % kennen sich mit der PGP-Verschlüsselung aus - eine Zahl, die wir mit Sicherheit nicht erreichen würden, wenn wir diese Fragen der breiten Öffentlichkeit stellen würden.

Trotz dieses hohen Niveaus an digitalem Wissen verwenden 34 % der Tuta-Nutzer ein Passwort mit 14 Zeichen oder weniger, selbst für private Konten wie ihr verschlüsseltes Postfach.

Dies zeigt, dass wir noch einen weiten Weg vor uns haben, um die Menschen über die besten Sicherheitspraktiken im Internet aufzuklären.

Lehren aus der Tuta-Umfrage

Die Ergebnisse der Umfrage zeigen, dass die Tuta-Benutzer ein ausgeprägtes Sicherheitsverständnis haben, aber auch, dass es noch Raum für Verbesserungen gibt. Während 52 % der Nutzer Passwörter mit mehr als 15 Zeichen anstreben, halten 16 % Passwörter mit 10 oder weniger Zeichen für ausreichend, was die Konten angreifbar macht.

Da die Nutzer des quantensicheren E-Mail-Anbieters Tuta Mail über mehr Wissen verfügen als der durchschnittliche Internetnutzer, ist es schockierend, dass 16 % Passwörter mit nur 10 Zeichen oder noch weniger verwenden. Dies wirft die Frage auf, wie viele Online-Konten für Brute-Force-Angriffe anfällig sind. Kurz gesagt, es muss eine Menge sein.

Die Länge von Passwörtern ist eine der wirksamsten und einfachsten Möglichkeiten, die Online-Sicherheit zu verbessern. Angesichts der zunehmenden Bedrohung durch Cyberangriffe - und der sich abzeichnenden Bedrohung durch Quantencomputer - ist das Nutzen von langen und komplexen Passwörtern ein Muss.

Die Ergebnisse der Tuta-Umfrage unterstreichen die Notwendigkeit, die Menschen besser über die optimale Mindestlänge von Passwörtern aufzuklären und sie zu ermutigen, Passwort-Manager sowie Zufallsgeneratoren für Passwörter zu verwenden. Außerdem müssen wichtige Konten mit einer Zwei-Faktor-Authentifizierung gesichert werden, am besten mit Hardware-U2F-Schlüsseln.

Lassen Sie uns gemeinsam für ein privateres Internet und einen besseren Schutz Ihrer Daten arbeiten!

Illustration eines Telefons mit Tuta-Logo auf dem Bildschirm, daneben ein vergrößertes Schild mit einem Häkchen, das die hohe Sicherheit der Tuta-Verschlüsselung symbolisiert.