Beim Thema Passwörter heißt es immer, dass wir eine möglichst lange und obendrein gemischte Zeichenfolge, bei der am besten auch Sonderzeichen vorkommen, wählen sollen. Das ist natürlich richtig.
Vergessen wird dabei, dass kurze Passwörter sogar sicherer sein können als lange. So sind zum Beispiel vier Zeichen eine sichere Sache – wenn die Anzahl der Eingabeversuche beschränkt ist. Genau das ist aber oft der Haken: Viele Accounts können allein deswegen gehackt werden, weil unendlich viele Eingabeversuche möglich sind. Deshalb sollen wir lange, schwer zu knackende Passwörter verwenden, um uns vor sogenannten Brute-Force-Angriffen zu schützen. Bei diesen Angriffen mit roher Gewalt werden in rasanter Geschwindigkeit zufällige Passwörter und/oder oft verwendete Passwörter durchprobiert. Kurze und einfache Passwörter werden dabei in Kürze geknackt. Doch ist das eben nur deshalb möglich, weil die Anzahl der möglichen Versuche oft nicht beschränkt ist.
Dass es auch anders geht, merken wir an jedem Geldautomaten. Hier hat man nämlich nur drei Versuche, beim vierten Fehlversuch wird die Karte eingezogen. Beim Einloggen in E-Mail- oder anderen Accounts sind dagegen wer weiß wie viele Vertipper erlaubt. Stellt sich die Frage, warum die verschiedenen Anbieter nicht ebenfalls die Anzahl der Versuche begrenzen? Vermutlich befürchten sie, ihre Kundinnen und Kunden vorschnell auszusperren. Doch diese Sorge ist unberechtigt, denn zwischen drei und unendlich vielen Fehlversuchen liegt ja eine große Spanne. Denn selbst eine überaus großzügige Handhabung mit 100 Fehlversuchen würde es angreifenden Computern unmöglich machen, einen Account zu knacken. Eine weitere Möglichkeit wäre die Geschwindigkeit der Eingaben herabzusetzen: Ein Computer sendet bei Brute-Force-Attacken in rasanter Folge eine Abfrage nach der anderen – schon eine Verzögerung von wenigen Sekunden zwischen jeder Eingabe würde Hacker ebenfalls ausbremsen. Warum den Anbietern so wenig an unserer Sicherheit gelegen ist, bleibt deren Geheimnis. Bis sich etwas ändert, müssen wir uns also weiterhin lange und komplizierte Passwörter merken.
