Der Anwender sollte sich fragen: Wer ist mein Gegner? Ein Hacker auf der Suche nach dem schnellen Online-Geld wird eine Attacke nach wenigen Stunden abbrechen und sich ein neues Opfer suchen, davon gibt es genug. Der Konkurrent im Geschäftsleben wird hingegen hartnäckiger sein, um an Businesspläne oder Blaupausen zu kommen.
Er lässt einen High-Speed-Rechner auch einen Monat laufen, um ein erbeutetes Dokument zu knacken. Als Staatsfeind bekommen Sie es vielleicht mit einem Rechenzentrum und bedrohlich viel Geduld zu tun.
Schlüssel mit acht wie auch immer gearteten Zeichen sind gegen Brute-Force-Attacken nicht sicher und mit einem modernen Multi-Core-Prozessor oder einer Grafikkarte mit GPU in Tagen zu knacken.
Ein Rechnerverbund schafft es in Minuten. Besser sieht es mit 10 Zeichen aus und in den wirklich längerfristig sicheren Bereich kommt der Anwender ab 13 Zeichen, vorausgesetzt er verwendet den gesamten Zeichensatz inklusive Sonderzeichen und Ziffern.
Passwörter auf Webdiensten dürfen kürzer sein, denn aufgrund der Rechnerverbindung dauert das Durchprobieren länger. Ferner erschweren die Dienste nach einigen Fehlversuchen die Passworteingabe, indem sie beispielsweise Captcha-Bilder einbauen oder die Eingabe für ein paar Sekunden blockieren. Kritischer wird es, wenn ein Hacker den Server knackt und die gehashten Passwörter findet.
Dann wird eine Brute-Force-Attacke wahrscheinlicher. Deswegen sollten Sie für jeden wichtigen Dienst unbedingt ein eigenes Passwort verwenden, denn hat ein Hacker einen Dienst geknackt, käme er mit diesem Passwort in all Ihre anderen Accounts. Außerdem sollten Sie wichtige Zugangscodes regelmäßig wechseln. Auch das erschwert eine Attacke erheblich.