Mentre gli algoritmi crittografici sono oggi imprendibili grazie alla moltitudine di chiavi possibili, le password utilizzate sono gli anelli deboli degli attuali sistemi di crittografia. Da un lato, un essere umano deve generalmente essere in grado di ricordare la password; dall'altro, deve inserirla e altre persone o programmi possono origliare mentre ciò avviene.
Esistono vari modi per identificare una password:
L'intercettazione, lo spionaggio, il ricatto e l'inganno sono tutti metodi validi per ottenere il possesso diretto di una password. I metodi tecnici possono fornire protezione solo in casi isolati. In questo contesto, tutto dipende dalla prudenza dell'utente.
L'indovinello è possibile non appena l'autore conosce abbastanza bene l'utente e se la password è stata scelta senza la necessaria attenzione. Errori tipici in questo contesto sono i nomi di partner, figli e animali domestici o anche numeri di telefono e compleanni come password.
Prova ed errore. La lingua tedesca, ad esempio, comprende circa 300.000-500.000 parole. Il dizionario Duden comprende 120.000 parole chiave. Il poeta Goethe usava circa 80.000 parole. Una persona 'normale' utilizza al massimo 10.000 parole. Il giornale popolare tedesco Bild ne utilizza 1.500. Se si sceglie una parola semplice come password, c'è un'alta probabilità che possa essere identificata dopo qualche centinaio di migliaia di tentativi, semplicemente lavorando su tutte queste parole - nessun problema se si utilizza un computer.
La libreria integrata in Steganos Safe la avverte se la password scelta è facilmente craccabile, confrontandola con oltre mezzo milione di voci. Sono necessari circa 0,3 secondi per verificare una password (P4 3GHz): in altre parole, tre password al secondo. Pertanto, se, ad esempio, utilizza una parola del giornale Bild, può essere identificata in un massimo di 500 secondi, ossia poco più di 9 minuti, se l'autore del reato dispone dei mezzi tecnici per automatizzare questo processo.
Se si combinano in modo casuale quattro caratteri (lettere maiuscole e minuscole e numeri), si ottengono oltre 14 milioni di possibilità. Un computer avrebbe bisogno di 57 giorni per provarle tutte. Tuttavia, questo processo può essere accelerato utilizzando computer più veloci e più numerosi. Nel caso di 8 caratteri casuali, un computer avrebbe bisogno di oltre 2 milioni di anni. Inoltre, sarebbe necessaria una notevole capacità informatica per ridurre questo periodo di tempo a un periodo più gestibile.
Quando sceglie una password, deve innanzitutto prendere in considerazione da chi vuole proteggersi. Se vuole proteggere i suoi segreti personali, i requisiti di qualità della password saranno inferiori rispetto a quelli di un ambiente aziendale, dove i dati potrebbero dover essere protetti da personale con competenze informatiche o da spie industriali. I requisiti sono ovviamente ancora più elevati se si deve impedire alle agenzie governative o ai servizi segreti di accedere ai dati.
Esistono diverse strategie per generare buone password. La migliore consiste nell'utilizzare un generatore di password per creare una password composta da un minimo di 10 caratteri; questi a loro volta devono essere selezionati tra almeno 62 caratteri diversi (i caratteri maiuscoli e minuscoli dell'alfabeto tedesco più i numeri da 0 a 9). Il problema a questo proposito è, ovviamente, ricordare la password. Salvarla o scriverla è di aiuto limitato: anche se utilizza un password manager, ha comunque bisogno di una password sicura per accedervi - la password più sicura del mondo è inutile se è scritta su un pezzo di carta accanto alla tastiera. Se però non è questo il caso, un password manager può fornire un metodo facile e sicuro per creare e amministrare un numero infinito di password altamente sicure e, se lo desidera, anche per utilizzarle automaticamente.
Le abbreviazioni per le frasi sono un buon compromesso tra sicurezza e capacità di ricordare. Afsaagcbsabatr sarebbe, ad esempio, il risultato della frase precedente. Anche questo dovrebbe produrre almeno 10 caratteri. Se, oltre a questo, i singoli caratteri vengono sostituiti con numeri o caratteri speciali, ad esempio 'E' con '8' (otto) o 'f' con ? (punto interrogativo), si otterrà una buona password semplice da ricordare.