Themenreihe Richtiger Umgang mit Passwörtern (Teil 1)

Themenreihe Richtiger Umgang mit Passwörtern (Teil 1)

Warum soll ich schon wieder mein Passwort ändern?

Das denken sich viele User, wenn Sie durch eine Systemrichtlinie nach einer gewissen Zeit ein neues Benutzerkennwort festlegen müssen. Ich möchte Ihnen deshalb in meinem heutigen Blog-Beitrag aufzeigen, warum ein komplexes Kennwort sowie das konsequente und regelmäßige Ändern wichtig sind.

Meine Geheimzahl der Bankkarte hat doch auch nur 4 Ziffern!

Mit dieser Aussage haben sie auch vollkommen recht! Der Grund hierfür ist, dass man für 10.000 verschiedene Zahlenkombinationen nur 3 Versuche hat, bis die Karte gesperrt wird. Ähnlich verhält es sich mit anderen Internetanbietern wie zum Beispiel PayPal oder Amazon, die nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen das Benutzerkonto für eine bestimmte Zeit lang sperren.

Dadurch kann ein Schutz vor einer sogenannten Brute Force Suche (brute force = rohe Gewalt) gewährleistet werden. Die Brute Force Suche beschreibt den Vorgang, alle möglichen Passwortkombinationen nacheinander auszuprobieren und anzuwenden, bis die richtige Kombination gefunden wird.

Wieso brauche ich denn sicherere Passwörter?

Die Antwort ist ganz einfach. Sollte ein Angreifer Zugriff auf eine Benutzerdatenbank einer Ihrer Anbieter gelangen, so findet er in der Regel ihre persönlichen Daten sowie Ihr mit Hilfe von kryptografischen Hashwerten verschlüsseltes Passwort.

Mit Hilfe der Brute Force Suche kann der Angreifer in diesem Fall für verschiedene Zeichenkombinationen Hashwerte erstellen und diese mit den Hashwerten aus der Datenbank vergleichen. Sollte er den Hashwert Ihres Passwortes herausfinden, so hat er zumindest für diesen Anbieter Ihren Benutzernamen und ihr Passwort.

Sollten Sie die Angewohnheit haben diese Kombination auch bei anderen Internetanbietern zu nutzen, so kann er durch simples Ausprobieren dieser Kombination bei den für ihn relevanten Anbietern Zugriff auch auf diese Accounts erlangen.

Um alle Zeichenkombinationen auszuprobieren, braucht man doch Jahre!

Diese Aussage kann vor längerer Zeit einmal gestimmt haben! Mittlerweile ist es möglich, mit einem Rechner der über einen aktuellen Mehrkern-CPU und eine leistungsstarke Nvidia Grafikkarte mit CUDA-Schnittstelle verfügt und der richtigen Software einen Hashwert für bis zu 230 Millionen Zeichenkombinationen in der Sekunde zu erzeugen.

Die Anzahl der verschiedenen Zeichenkombinationen können Sie ganz einfach ausrechnen, in dem Sie die Anzahl der möglichen Zeichen hoch Anzahl der Stellen ihres Passwortes errechnen. Diesen Wert dividieren Sie durch 230 Millionen und schon haben Sie die Dauer errechnet bis die Software per Brute Force Methode alle möglichen Kombinationen ausprobiert hat.

Bei einem siebenstelligen Passwort, das nur aus kleinen Buchstaben (ohne ä, ö, ü und ß, 26 verschiedene Zeichen) besteht, wären rund 8 Milliarden verschiedene Zeichenfolgen möglich (267= 8.031.810.176 : 230.000.000 = 34,92 Sekunden). Das würde bedeuten, dass dieses Passwort in unter 35 Sekunden geknackt werden könnte. Die Verlängerung des Passwortes um eine Stelle verlängert die Dauer um ein 26-Faches. Ein Sprung von ca. 35 Sekunden auf über 15 Minuten.

Die Kombination von großen und kleinen Buchstaben in Verbindung mit Zahlen (62 verschiedene Zeichen) erhöht die Rechenzeit bei einem 7-stelligen Passwort auf 255 Minuten. Der Aufwand bei einem weiteren Zeichen würde hier schon einen enormeren Unterschied bedeuten. Die Rechenzeit für alle möglichen Passwortkombinationen würde hier bei 263 Stunden liegen.

Sie sehen anhand dieser Beispiele, warum ihr Passwort also aus mindestens 8 Stellen bestehen sollte. Neben Zahlen, großen und kleinen Buchstaben ist es sehr ratsam, darüber hinaus Sonderzeichen zu implementieren. Diese Ergänzung erhöht durch die größere Anzahl an verschiedenen Zeichen ihre Sicherheit noch einmal um ein vielfaches.

Die Gefahr kommt aus der Wolke!

In der heutigen Zeit hat sich das Cloud Computing etabliert und bietet Firmen eine gute, meist kostensparende Alternative zu bisherigen IT-Infrastrukturen.

Man mietet sich die benötigten Ressourcen einfach und bezahlt nur für die Dauer, die man sie nutzt. Dieses System bietet jedoch auch Leuten mit krimineller Energie ungeahnte Chancen. So kann sich zum Beispiel ein Angreifer Hardwareressourcen mieten, um die Suchanfragen von 230 Millionen Zeichenkombinationen in der Sekunde um ein Vielfaches zu steigern.

Ein Leistungsfähiger Cloud Rechner kostet gerade mal 1,56 € in der Stunde. Je nachdem wie viele Cloud Rechner der Angreifer mietet, desto schneller kann er Ihr Passwort knacken.

Ein Beispiel: Mit Hilfe der Cloud Umgebung kostet es ca. 0,12 Cent, ein gängiges 6-stelliges Passwort zu knacken. Ein 9-stelliges würde schon rund 42000 € veranschlagen und spätestens ab 12 Stellen befinden wir uns im Bereich eines zweistelligen Millionenbetrages.

Zu leichte Passwörter fängt der Regenbogen ab!

Das alles bringt Ihnen jedoch nichts, wenn sie zum Beispiel ein schwaches 9-stelliges Passwort wie zum Beispiel 012345678 nutzen. Denn eine weitere Möglichkeit ist der Einsatz von Rainbow Tables (Regenbogen Tabellen), in denen bereits Hashwerte für viele gängige Passwörter enthalten sind. Selbst Google würde dem Angreifer helfen. Wenn der Angreifer zum Beispiel den Hashwert e8636ea013e682faf61f56ce1cb1ab5c in die Suchmaschine eingibt, bekommt er sofort die Information Passwort= geheim.

Ich hoffe, dass ich Ihnen einen Einblick geben konnte, warum es wichtig ist, ein komplexes Passwort zu vergeben. In meinem nächsten Blog-Beitrag möchte ich Ihnen nun eine Technik nahelegen, mit der Sie für Ihre Benutzerkonten bei verschiedenen Internet Anbietern sichere Passwörter vergeben können.

Teil 2 der Artikelserie „Richtiger Umgang mit Passwörtern“ zeigt Ihnen, wie Sie ein sicheres und merkbares Passwort erzeugen.

Dieser Beitrag wurde unter Informationssicherheit, Themenreihe Passwörter veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Eine Antwort auf Themenreihe Richtiger Umgang mit Passwörtern (Teil 1)

  1. Pingback: Themenreihe Richtiger Umgang mit Passwörtern (Teil 2) | ars tutandi Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Protected by WP Anti Spam

ars tutandi GmbH

Tempowerkring 6
21079 Hamburg
Tel.: 040 / 609 409 590
info@ars-tutandi.de
© 2017 ars tutandi GmbH. Alle Rechte vorbehalten.