Technik

Nach sechs Stunden geknackt: Passwörter werden unsicherer

Wenn sich Nutzer ihre Passwörter selbst ausdenken dürfen, kommt nicht selten so etwas heraus wie "Stefan71", "123123" oder schlicht "Passwort". Doch auch raffiniertere Codes lassen sich sehr viel schneller knacken als das noch vor wenigen Jahren der Fall war.

Damit man sich ein Passwort merken kann, muss es einigermaßen eingängig sein. Das macht es Angreifern leichter.
Damit man sich ein Passwort merken kann, muss es einigermaßen eingängig sein. Das macht es Angreifern leichter.(Foto: picture alliance / dpa)

Mindestens acht Zeichen, keine ganzen Wörter, eine Mischung aus Groß- und Kleinbuchstaben, Ziffern und vielleicht auch noch Sonderzeichen – so sollte ein gutes Passwort aussehen. Doch selbst dann ist es nicht mehr sicher, warnt die Beratungsfirma Deloitte.  Im Jahr 2013 würden über 90 Prozent der nutzergenerierten Passwörter anfällig für Hackerattacken sein. Firmen und Privatanwender sollten deshalb wichtige Zugänge nicht allein mit nutzergenerierten Passwörtern sichern.

Bei den 94 Zeichen einer Standardtastatur gibt es bei einem achtstelligen Passwort immerhin 6,1 Billiarden Kombinationsmöglichkeiten (das ist eine Zahl mit 15 Nullen). Für eine "Brute-Force-Attacke", bei der einfach alle Möglichkeiten durchprobiert werden, hätte ein schneller Desktop-Rechner 2011 noch ein ganzes Jahr gebraucht. Ziemlich viel Aufwand, um beispielsweise an ein Konto heranzukommen. Heute geht das ganze sehr viel schneller: Moderne, auf Brute-Force-Attacken spezialisierte Maschinen nutzen für die Berechnung Hochleistungs-Grafikkarten. Nach nicht einmal sechs Stunden ist auch der komplizierteste achtstellige Code geknackt. 2012 hätten solche Maschinen um die 30.000 Dollar gekostet, so Deloitte. Angreifer, denen ein Botnetz zur Verfügung steht, müssen so viel Geld gar nicht ausgeben: Sie können die Arbeit auf hunderte oder tausende Rechner verteilen.

Die Muster ähneln sich

In aller Regel müssten Hacker aber auch gar keine Millionen, geschweige denn Billiarden von Passwörtern durchprobieren, schreibt  Deloitte. Denn in den meisten Fällen machten die Nutzer nur von einem Bruchteil der Möglichkeiten Gebrauch. So würden – wenn überhaupt -  eher auffällige Symboltasten, etwa Dollar- oder Prozentzeichen, genutzt und andere, wie Kommas, Anführungszeichen oder Schrägstriche, eher gemieden. Buchstaben seien meist nicht willkürlich angeordnet, sondern bezögen sich auf Wörter oder Namen. Zudem stünden Großbuchstaben meist am Anfang und Zahlen am Ende des Passworts.

Das begrenzt die Auswahl auf überschaubare Dimensionen, wie eine Studie aus dem Jahr 2011 zeigt: Die 10.000 beliebtesten Passwörter passten auf 98,8 Prozent von 6 Millionen Accounts. Hacker könnten sich also mit einem Katalog aus einigen tausend Passwörtern eine Menge Aufwand ersparen. In den letzten Jahren seien Passwörter tendenziell sogar noch simpler geworden, konstantiert Deloitte. Das liege an der zunehmenden Rolle von Mobilgeräten: Auf der reduzierten Tastatur von Smartphones oder Tablets sei es eben ziemlich umständlich, Kombinationen mit Sonderzeichen oder Zahlen einzugeben. Deshalb seien Passwörter auf Mobilgeräten normalerweise unsicherer als auf Desktop-PCs.

Was hilft?

Eine simple Lösung des Problems wären längere Passwörter. Schon zwei zusätzliche Zeichen könnten eine Brute-Force-Attacke tausendfach verlangsamen. Auch das hilft aber wenig, wenn die Nutzer ihre Passwörter mehrfach verwenden. Bei einer Umfrage in Großbritannien kamen die Befragten im Schnitt auf gerade mal fünf Passwörter für 26 Online-Accounts. Wird dann beispielsweise ein Spieleportal gehackt, könnte als Folge auch das Bankkonto oder das Email-Postfach angegriffen werden.

Hier könnten sogenannte Single Sign-on-Dienste (SSO) weiterhelfen. Sie generieren für jede Anwendung ein eigenes, hochsicheres Passwort und loggen den Nutzer automatisch ein, wenn er sich beim SSO-Account anmeldet. Dieses Passwort ist die Schwachstelle des Systems, schließlich dürfte es bei Hackern umso begehrter sein.

Für wichtige Accounts, etwa bei Bankkonten oder Firmennetzwerken, empfiehlt Deloitte, zusätzliche oder alternative Authentifizierungsmethoden einzusetzen. Denkbar wären beispielsweise Einweg-Passwörter, die per SMS aufs Handy geschickt werden. Man kennt das von der mobilen TAN beim Online-Banking. Auch biometrische Verfahren, etwa der Fingerabdruck-Scan, könnten in Zukunft eine größere Rolle spielen. Für soziale Netzwerke,  Musik- oder Spieleportale dürften diese Authentifizierungsprozesse allerdings zu aufwendig sein. Hier hilft bis auf Weiteres nur eine intelligente Passwortauswahl.       

Quelle: n-tv.de

Empfehlungen