Weitestgehend ja, aber die Bedeutung von Sonderzeichen etc. wird stark überschätzt.
Es ist für einen Menschen einfacher, ein weiteres unzusammenhängendes Wort wie z.B. "hammer" an mein Passwortbeispiel "pferdflurpapsteisenbahn" anzuhängen, als sich zu merken, wo man welches kryptisches Zeichen hinzu gefügt hat und wann man wo wie groß oder klein geschrieben hat. 2 kryptische Zeichen in einem Passwort erhöhen den Exponenten der
Entropie des Passworts um lediglich zwei Stellen, ein weiteres Wort mit 4-6 Buchstaben jedoch um ca. 6-10. Die Aneinanderreihung der Wörter verhindert auch eine lexigraphische Attake ziemlich gut, zumindest bleibt das Passwort
deutlich sicherer als wenn es zu kurz ist.
Für das im obigen Beispiel erwähnte, schlecht zu merkende Passwort
3%Hx_@ÜgL[°- errechnete die Seite 280 Milliarden Jahre, um es auf einem derzeit handelsüblichen PC zu knacken,
pferdflurpapsteisenbahn zu knacken würde laut deren Berechnung aber gigantische 44 Billiarden Jahre dauern, also ca. 160.000 Mal so lang.
Diese Zahlen können locker durch ca. 1000 geteilt werden, wenn man die Stream Prozessoren des GPU einer Gamer Grafikkarte darauf ansetzt, unter verwendung spezieller Graka Arrays, die als "Number Cruncher" zusammenarbeiten, kann das ganze noch einmal um den Faktor 10.000 bis 100.000 reduziert werden. Beide Passwörter sind also als ziemlich sicher anzusehen, aber interessanterweise bleibt das einfacher zu merkende Passwort um Dimensionen sicherer. Hinzu kommt: Man muss es nirgends, außer in den eigenen grauen Zellen speichern
PS: Das immer noch leicht zu merkende Passwort "pferdflurpapsteisenbahnhammer" zu knacken würde laut deren Berechnung 13 Quadrillionen Jahre dauern - also 13.000.000.000.000.000.000.000.000.000 (ich hoffe ich habe mich nicht bei den Nullen verzählt
)
edit:
PPS: Ich habe gerade einmal überschlagen, wie die Entropie bei einem lexigraphischen Angriff auf das Passwort aussehen würde. Dabei bin ich lediglich von der Anzahl der gebräuchlichen Deutschen Wörter ausgegangen, die eine Länge von mindestens 4 Buchstaben haben und das Ergebnis war gerade ein mal um den Faktor 2 unterschiedlich. Das bedeutet, es dauert auf diese Art nur noch ca. 7 Quadrillionen Jahre
Ein Problem bleibt jedoch weiterhin bestehen: Wie sicher werden die Passwörter von der Seite gespeichert, bei der man sich einloggt?
Sollte das ein einfacher MD5 Algorithmus sein, ist es im Falle des Diebstahls der Passwortdatenbank ziemlich gleichgültig, wie sicher man sein Passwort gewählt hat, denn ein einfacher MD5 ohne Salt und mehrere Runden ist in weniger als einer Stunde, sogar ohne Einsatz der Grafikkarte als "Number Cruncher" zu knacken. Leider wird diese Art der "Verschlüsselung" immer noch von vielen Webseiten zum Ablegen der Passwörter verwendet. Ja, ich weiß auch, dass man damit nicht das Original Passwort erhält, da MD5 destruktiv arbeitet, aber zumindest bekommt man ein funktionierendes Ersatz-Passwort, was je nach Anwendung schon schlimm genug sein kann. Wenn eine andere Seite den selben dummen MD5 Algorithmus benutzt, funktioniert das "geknackte" Ersatz-Passwort auch da.
Das bedeutet: Verwendet niemals das Passwort, was ihr bei einer Bank zum Online Banking benutzt, für andere Sachen - auch nicht bei einer anderen Bank
Passwörter sind generell eine unsichere Sache, schreibt Google in seinem Chromium-Blog. Meist sind sie viel zu einfach strukturiert, und sie sind vergleichsweise einfach zu stehlen.
