Wer stiehlt schon gern Passwörter?
Artikelübersicht
Passwörter liegen – bei den meisten – Anbietern – so hoffe ich – nicht als Klartext in einer Datei und kleben nicht unter der Tastatur. Das wäre dann wohl doch zu blauäugig. Passwörter werden als Einwegverschlüsselung gespeichert, sogenannte Hash-Werte. Diese Werte sind Einbahnstraßen aus dem Hash-Wert kann das Passwort nicht zurückgerechnet werden. Dann ist doch alles gut, werden Sie erleichternd aufatmend sagen. Die Antwort kommt aus dem Kaukasus: Im Prinzip ja. Denn mit ausreichend Rechenleistung lassen sich aus beliebigen Variationen von Zahlen, Zeichen und Buchstaben errecchnen. Der errechnete Wert wird mit dem vorhandenen Hash-Wert aus der Tabelle verglichen und wenn sie übereinstimmen: Bingo! Die Anzahl der Möglichkeiten und damit die Rechenzeit steigt am deutlichsten mit der Anzahl der Stellen eines Passowrtes. Die Präsentation zeigt dazu Beispiele. Es kommt auf die Passwortlänge an
Ein Beispiel für diese Rechnerei.
Jemand hat einen Passwort-Hash-Wert bekommen. Der lautet 59fb00a4e5ef45c7fe0d60563c453c6. Nun beginnt die Rechnerei. Die Anzahl der Verfahren für Passwortverschlüsselung ist übersichtlich. Wir beginnen mit MD5 und quälen uns durchs Wörterbuch der deutschen Sprache. Beim Buchstaben T werden wir fündig und erkennen: Das Passwort zu diesem Hash-Wert ist Tante. Die Wörterbuchsuche ist eine übliche Variante und es gibt vorberechnete Tabellen für viele Wörter, damit man nicht immer wieder neu rechnen muss, das sind Rainbow-Tables. Hätten wir den Hash-Wert für das Wort Acker gesucht, wären wir mit dem Berechnen viel schneller fertig gewesen. Obwohl die Anzahl der Möglichkeiten gleich geblieben ist.
Es kommt also auf ein Wort an, dass das Wort nicht in einem Wörterbuch steht. Gewiefte Administratoren setzen zur Sicherung der Passwortdatenbank mehrere Verfahren nacheinander ein und salzen die Hash-Werte mit bestimmten Zeichenfolgen. Das erschwert das Zurückrechnen wesentlich, weil neben den bekannten Verfahren noch das Wissen um das geheime Wort – das Salz – bekannt sein muss. Das Beispiel zeigt, dass Passwörter aus Wörterbüchern und einfachste Lösungen keine gute Idee sind.
Woher bekommt man die Rechenleistung? Ein handelsüblicher Computer kann heute (15.10.13) 600 Millionen Passwörter berechnen. Pro Sekunde. Nimmt man eine Grafikkarte dazu, die sehr gute Rechenleistungen haben, werden daraus 1,2 Milliarden und das lässt sich mit weiteren Grafikkarten in einem PC weiter ausbauen. So erhält man für einige 100 Euro ein gutes Rechenzentrum.
Wie findet man ein sicheres Passwort? Zunächst sollte ein Passwort sich aus folgenden Merkmalen zusammensetzen:
- Zahlen,
- Zeichen wie (){}!§$%&/=-.,;:_,
- Großbuchstaben und
- Kleinbuchstaben
Die Stellenanzahl sollte zusätzlich mindestens bei 8 liegen, dann ist ein Passwort recht sicher. Auf der folgenden Seite können Sie Beispiele Ihrer Passwörter testen. Achtung, nicht das echte Passwort nutzen! http://www.wiesicheristmeinpasswort.de/.
Übrigens,
ein guter Ort zur Speicherung des Passwortes ist ein Zettel in der Brieftasche. Jedenfalls solange, bis das neue Passwort sitzt. Und da sollte auch nur das Passwort stehen, nicht der Benutzername und auch nicht der Computername.
Zum Erzeugen eines sicheren Passwortes gibt es unter anderem diese drei Möglichkeiten1. Mehrere kurze Wörter zu einem Satz verbinden. Denken Sie vier Wörter, die ohne Zusammenhang sind, und setzen sie aneinander. Tulpe, blau, tanzt und Meer. Das ergibt das Passwort BlaueTulpetanztMeer, setzen Sie ein Sonderzeichen dazu und Sie haben ein langes leicht zu merkendes Passwort.
- Nehmen Sie ein längeres Wort und fügen Sie sprechende Zeichen ein. Aus Donaudampfschiff machen Sie D0naud8mpfsch1ff. Das ergibt einen guten Wert in Sicherheit.
- Anfangsbuchstaben eines Satzes verwenden. Denken Sie sich einen Satz aus und erstellen Sie das Passwort aus den Anfangsbuchstaben. Der Satz könnte heißen: Ein Großteil der Menschen in Europa atmet ungesunde Luft, (Zeit online) das ergibt das Passwort EGdMiEauL, das ist noch nicht so gut, aber wenn Sie die Jahreszahl davor und danach anbringen, wird es viel besser. 20EGdMiEauL,13
Literatur
- Ein Blick hinter die Kulissen der Cracker
http://www.heise.de/security/meldung/Rekorde-im-Passwort-Knacken-durch-Riesen-GPU-Cluster-1762654.html - 10000 Passwörter knacken 98 % aller Konten
http://www.chip.de/news/Leichtsinn-10.000-Passwoerter-knacken-98-1-Prozent-aller-Konten_63101543.html
Bildquellen
- Durchs Schlüsselloch: stokkete | All Rights Reserved
2 Comments
Comments are closed.
In Toms Hardware Guide wird dargestellt, welche Archive sicherer sind.
http://www.tomshardware.de/Passwort-Knacken-GPGPU-WinRAR-WinZIP,testberichte-240839-9.html
http://stadt-bremerhaven.de/hoster-ovh-gehackt-kunden-in-ganz-europa-betroffen/
Der Provider OVH wurde gehackt und die Datenbank mit Kundendaten „entwendet“. Die Passwörter sind „gesalzene“ Hashwerte.