Vorheriger Artikel Nächster Artikel

Keine Chance für Cracker: Tipps für mehr Sicherheit bei Passwörtern

Aus dem
t3n Magazin Nr. 36

06/2014 - 08/2014

Jetzt kaufen

Internet-Nutzer müssen sich heute eine Vielzahl an Passwörtern merken. Wer die Methoden der Passwort-Cracker kennt, vermeidet dabei unsichere Passphrasen und kann sich mit einfachen Tricks eine eigene Sicherheitsstrategie basteln.

Keine Chance für Cracker: Tipps für mehr Sicherheit bei Passwörtern
Passwort-Sicherheit.

Die Wahl eines Passworts ist oft ein Kompromiss. Es sollte einigermaßen leicht zu merken sein, aber doch bestimmten Sicherheitsanforderungen genügen. Am sichersten sind komplett zufällige Ziffern-Buchstaben-Sonderzeichen-Kombination, die leider für einen Menschen unmöglich zu merken sind. Ist das Passwort dagegen ein simples, gut zu merkendes Wort, kann ein Account schnell geknackt werden.

Um zu verstehen, welche Anforderungen ein Passwort erfüllen sollte, schaut man sich am besten erst mal an, mit welchen Methoden Passwörter üblicherweise geknackt werden. Prinzipiell unterscheidet man dabei zwischen zwei Vorgehensweisen: Wörterbuch- und Brute-Force-Attacken.

Wenn aufgrund der vielen Login-Daten die Übersicht verloren zu gehen droht, schafft ein Passwort-Manager Abhilfe.
Wenn aufgrund der vielen Login-Daten die Übersicht verloren zu gehen droht, schafft ein Passwort-Manager Abhilfe.

Bei den Wörterbuchattacken macht sich der Angreifer zunutze, dass viele Passwörter aus tatsächlichen Worten bestehen, zum Beispiel „Sommer“ oder „Winter“. Also probiert der Cracker erst mal eine lange Liste mit den gängigsten Wörtern durch. Dank digitaler Diebstähle wie etwa dem Adobe-Hack können Cracker ihre Passwortlisten zusätzlich mit Millionen tatsächlich verwendeter Passwörter anreichern. Oft ist das aber gar nicht nötig: 2013 war das beliebteste Passwort „123456“, dicht gefolgt von „password“ und „12345678“. Diese Passwörter werden immer als erstes durchprobiert.

Ist die Wörterbuchattacke nicht erfolgreich, wird es mit der Brute-Force-Methode („Rohe-Gewalt-Methode“) komplizierter und zeitaufwendiger. Dabei werden einfach sämtliche Kombinationen nach dem Schmema „aaa“, „aab“, „aac“ und so weiter durchprobiert. Da meist nicht bekannt ist, wie lang das Passwort ist, und auch nicht, ob das Passwort Groß- und Kleinschreibung, Ziffern oder Sonderzeichen enthält, ist diese Methode extrem rechenaufwändig. So gibt es beispielsweise bei einem achtstelligen alphanumerischen Passwort für jede Stelle des Passworts 26 mögliche Kleinbuchstaben, 26 mögliche Großbuchstaben und zehn Ziffern. Das ergibt etwa 218 Billionen mögliche Kombinationen, für die selbst ein schneller Computer lange rechnen muss. Eine aktuelle Grafikkarte bräuchte rund 15 Stunden, um alle 218 Billionen Kombinationen durchzuprobieren. Da ein Passwort statistisch nach der Hälfte der Kombinationen gefunden wird, ist unser achtstelliges Passwort wahrscheinlich nach etwa siebeneinhalb Stunden geknackt. Hat es jemand speziell auf dieses Passwort abgesehen, ist das keine lange Zeit. Zum Vergleich: Ein achtstelliges Passwort nur aus Kleinbuchstaben ließe sich in knapp 52 Sekunden berechnen.

Vergrößert man aber den Zeichenvorrat mit zusätzlichen Sonderzeichen oder verlängert das Passwort, gewinnt man enorm an Sicherheit hinzu. Für die Berechnung eines nur aus Kleinbuchstaben bestehenden Passworts mit 16 Stellen bräuchte der Grafikkartenprozessor mit der Brute-Force-Methode schon ganze 345.706 Jahre.

Vorsicht bei allseits bekannten Tricks

Dennoch ist auch bei langen Passwörtern Vorsicht geboten. Denn man könnte ja auf die Idee kommen, einfach mehrere Wörter hintereinander zu schreiben, um auf eine ordentliche Passwortlänge zu kommen, zum Beispiel „sommerwinter“. Mittels Brute-Force-Methode ist das schwer zu knacken, aber die intelligenteren Wörterbuchattacken probieren auch solche Kombinationen durch.

Gleiches gilt für Passwörter, bei denen einige Buchstaben durch Ziffern ersetzt werden. Beliebt ist beispielsweise, ein „i“ durch eine „1“ zu ersetzen oder ein „e“ durch „3“. So wird etwa aus "Berlin" das Passwort „B3rl1n“. Allerdings sind auch die Cracker nicht auf den Kopf gefallen und berücksichtigen auch solche allseits bekannten Tricks in ihren Wörterbuchattacken. Gleiches gilt für den Versuch, ein an sich simples Passwort durch Anhängen eines Prä- oder Suffix komplexer zu machen, zum Beispiel „Passwort123“. Auch das wird bei einer Wörterbuchattacke mit den beliebtesten Anhängseln durchprobiert.

Problematisch sind darüber hinaus Dienste, die den Zeichenvorrat oder die Länge eines Passworts künstlich begrenzen. Wenn der Angreifer diese Informationen auch hat, kann er sein Crack-Programm entsprechend konfigurieren und damit die Rechenzeit verkürzen.

Für die Attacken der Cracker gilt allerdings, dass sie nur in hoher Geschwindigkeit ausgeführt werden können, wenn der Angreifer die gehashte Passwortliste offline durchsuchen kann. Würde er die Login-Masken der Webdienste nutzen, müsste er jeweils mehrere Millisekunden warten, bis der Server antwortet und um zu sehen, ob der Versuch erfolgreich war oder nicht. Viele Anbieter sperren den Account darüber hinaus bei mehreren erfolglosen Versuchen.

Salz in der Passwort-Suppe

In der Regel sind Passwörter nicht im Klartext, sondern als Hash gespeichert. So wird etwa aus dem Passwort „Passwort“ per SHA-1-Hash-Verfahren der Hash „0719708d1cc814839bd818fdc27d446652f03383“. Auch Angreifer müssen erst den Hash berechnen, um diesen dann mit dem vorliegenden abzugleichen.

Durch eine Zwei-Faktor-Authentifizierung können sich PayPal-Kunden zusätzlich absichern.
Durch eine Zwei-Faktor-Authentifizierung können sich PayPal-Kunden zusätzlich absichern.

Passwort-Cracking geht deshalb doch nicht so „schnell“ wie in obigen Rechnungen dargestellt, denn das Berechnen der Hash-Funktion muss ebenfalls mit einkalkuliert werden. Ein PC mit einer halbwegs aktuellen Grafikkarte schafft „nur“ um die 2,5 Milliarden SHA-1-Hashes pro Sekunde. Um das Verfahren zu beschleunigen, gibt es im Internet vorgefertigte Listen, so genannte Rainbow-Tables, in denen die gängigsten Passwörter schon in gehashter Form vorliegen.

Serverbetreiber können sich gegen Attacken absichern, indem sie ihre Passwort-Hashes „salzen“. Dabei wird ein Zufallswert generiert und dem Klartext-Passwort vor dem Hashen angehängt. Nun braucht ein Angreifer also nicht nur das korrekte Passwort des Users, sondern auch das korrekte Salz des Serverbetreibers. Das macht das Erstellen vorgefertigter Rainbow-Tables zu aufwendig, da nicht jedes Mal dasselbe Salz verwendet wird.

Trotz gesalzener Hashes sollten User ihre Passwörter so sicher wie möglich machen. Helfen kann dabei ein Passwortmanager wie 1Password oder KeePass. Dieser generiert sehr sichere, zufällige Passwörter und speichert sie in einer verschlüsselten Datenbank. Diese Passwörter sind durch ein Masterpasswort geschützt. Letzteres sollte sehr stark und dennoch leicht zu merken sein, da es oft mehrmals täglich vom Nutzer eingegeben werden muss. Wählt man hier ein zu leichtes Passwort, sind alle anderen Passwörter in Gefahr.

Eine ähnliche Gefahr geht von Passwörtern für E-Mail-Postfächer aus. Denn in diesen kommen die E-Mails anderer Dienste an, mit denen durch einen Klick auf einen Link in der E-Mail ein neues Passwort gesetzt werden kann. Hat ein Angreifer Zugriff auf das E-Mail-Konto, kann er also auch Passwörter anderer Dienste leicht ändern.

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
9 Antworten
  1. von Markus am 13.11.2014 (11:16 Uhr)

    Alles schön und gut... Aber was nützt es wenn man bei jedem Account ein Super tolles Passwort hat, es aber einfach beim beim Account-Anbieter geklaut wird weil es da Sicherheitslücken gibt?

    Ich behaupte mal, es macht sich doch kaum noch einer die mühe Passwörter zu cracken, es ist ja schon fast einfacher den Anbieter zu hacken und die Listen herunter zu laden. (mein empfinden) Ich finde hier müsste mal Weltweit was für die Sicherheit getan werden und die betroffenen Firmen sollten bei einem solchen Fall schneller reagieren!

    Ich war schon 2 mal betroffen von solchen Klau-Attacken, zum Glück ist kein Schaden entstanden. Deswegen denke ich, man sollte zu dieser Zwei-Faktor-Authentizifierung als gängige Passwort Methode wechseln. Ich hab einige Online-Games bei denen es Tokens gibt, es ist zwar jedesmal nervig die immer eingeben zu müssen aber ich denke das ist der richtige weg....

    Antworten Teilen
    • von Pawel am 13.11.2014 (12:00 Uhr)

      Dein Empfinden ist leider Falsch.
      Alle großen Webseiten speichern die Passwörter (hoffentlich :) ) verschlüsselt in der Datenbank. D.h. auch wenn der Angreifer sich die "Liste" herunterlädt hat er noch immer nicht die Passwörter in Klartext. Sondern in verschlüsselter Form.

      Die ganzen Methoden die hier beschrieben wurden (z.b. Wörterbuch-Attacke) werden dann halt auf das Verschlüsselte Passwort angewendet, indem der Angreifer das erste Wort aus dem Wörterbuch nimmt, verschlüsselt und mit dem Passwort aus der Datenbank abgleicht. Das setzt voraus, dass die Verschlüsselungsmethode bekannt ist.
      Hier gilt dementsprechend auch, dass das knacken sehr lange dauert wenn das Passwort lang und kompliziert ist,

      Antworten Teilen
  2. von causa_prima am 13.11.2014 (12:52 Uhr)

    Oh, oh, oh. Gut angefangen, dann immer schlechter geworden.

    Ihr sagt doch schon, dass heutzutage beim Cracken echte Wörter anneinandergereiht werden, und stellt trotzdem noch die xkcd-Methode vor.
    Außerdem haben diese und das Schneier-Schema wieder das Problem, dass man sich etliche Passwörter MERKEN muss, was nicht gerade einfach ist, wenn man pro Dienst ein eigenes Passwort haben möchte.

    Die Beste der vorgestellten hilfsmittellosen Methoden ist natürlich das dienstspezifische Passwort, und da bleibt ihr dann zu oberflächlich. Den Dienstnamen einfach dranzuhängen ist keine gute Methode, gerade weil man, wie wenigstens erwähnt wurde, im Falle des Passwortdiebstahls andere Passwörter zu leicht ableiten kann. Warum stellt ihr dann nicht eine Methode vor, bei der das nicht so einfach ist? Zum Beispiel könnte man die Buchstabenanzahl des Dienstnamens verwenden, sowie bestimmte Buchstaben des Dienstnamens, und die dann an vorgegebene Stellen des Passwortes setzten. Beispiel: ersten und letzten Buchstaben des Dienstnamens (X und Y) und länge des Dienstnamens mal 2 (N), das dann kombiniert mit Passwort ZZZZZZZZ (man stelle sich ein ordentliches Passwort vor) zu z.B. YZZZNZZXZZZ. Das würde dann mit dem Dienstnamen 'facebook' und dem Passwort ABCDEFGH zu kABC8DEfFGH, mit Dienstnamen 'ebay' zu yABC4DEeFGH. Natürlich kann man auch diese Passwörter ableiten, dies ist aber um einiges schwieriger als bei der hier vorgestellten Variante.

    Alle manuellen Varianten scheitern jedoch, wenn Dienste ein neues Passwort verlangen, wie schon häufiger bei bekannten Diensten geschehen. Dann müsste man sich ein neues Schema ausdenken und es entweder für alle Dienste anwenden (und damit alle Passwörter ändern), oder sich für einen bestimmten Dienst merken, dass da ein anderes Passwortschema genutzt wird - alles nicht so super.

    Auch da helfen natürlich Passwortmanager weiter. Auf deren große Nachteile wird hier aber nicht Ansatzweise eingegangen. Zum einen werden dort die Passworter gespeichert. Natürlich geschieht das verschlüsselt, aber ein Angreifer mit der Passwortdatei kann dann mit einem Schlag alle Passwörter erhalten, indem er das Masterpasswort ableitet.
    Zum anderen wird durch das Speichern auch noch ein Backup der Daten nötig, denn sonst steht man bei einem Hardwareausfall ohne Passwörter da. Speichert man die Passwortdatei auf mehreren Rechnern, umgeht man das Problem zwar, aber es wird dann Synchronisation nötig. Das ist wieder etwas, was allein viele Leute überfordert. Und wenn jetzt jemand kommt mit "die Passwortdatei ist bei mir in der Dropbox", dem sollte man links und rechts eine saftige Ohrfeige verpassen. Passwörter gehören nicht in die Cloud!

    Was schlage ich nun vor? Die für mich bisher beste Variante ist etwas nach dem Schema von masterpasswordapp.com, wo mit Hilfe von (mindestens) Masterpasswort und Dienstnamen ein Hash berechnet wird. Auch da brauche ich noch ein Masterpasswort, aber es wird nichts mehr gespeichert, sondern jedes Mal wieder berechnet. Damit umgeht man die meisten Probleme von Passwortmanagern, die durch das Speichern hervorgerufen werden. Und selbst wenn dort das Masterpasswort bekannt wird, dann hat man immer noch nicht alle Dienstpasswörter, denn da müsste man erstmal alle Dienste kennen, bei denen man angemeldet ist, und zusätzlich auch noch wissen, wie man den zum Erstellen des Passwortes eingegeben hat (z.B. ob ich 'facebook.com', 'facebook', 'fbook' oder 'fb' als Dienstnamen verwendet habe).

    Antworten Teilen
  3. von Lars am 13.11.2014 (13:28 Uhr)

    Warum sollte eine Grafikkarte die Passwörter berechnen? Das macht doch die Haupt-CPU, oder nicht?

    Antworten Teilen
    • von Marcel am 13.11.2014 (19:11 Uhr)

      Hallo Lars,
      die CPU würde für solche Rechnungen zu lange brauchen. Die GPU hat den Vorteile, dass viele Berechnungen die notwendig sind u.a. durch Matrixoperationen stark parallelisiert werden können.

      Antworten Teilen
  4. von UweFunk am 14.11.2014 (03:57 Uhr)

    Sichere Passwörter und die Vor- und Nachteile von Passwort-Managern sind ein großes Thema und werden auch auf unserem Portal ausführlich behandelt. Ein besonders interessanter Artike stammt von unserem Datenschutzexperten und kann hier: http://www.connect45plus.de/der-passwort-dschungel-2/ nachgelesen werden.

    Antworten Teilen
    • von causa_prima am 14.11.2014 (12:25 Uhr)

      Dort wird nicht auf den größten Nachteil von Passwortmanagern eingegangen: sie SPEICHERN die Passwörter, und das erfordert zusätzlich auch noch SYNCHRONISIERUNG. Warum das schlechte Ideen sind habe ich in meinem Kommentar hier und beim verlinkten Artikel etwas näher erläutert.

      Antworten Teilen
  5. von AndreasAt99 am 14.11.2014 (11:18 Uhr)

    Passwortmanager sind Mist. Mehr dazu da: http://99-developer-tools.com/password-managers-not-safe/

    Über meine "12 Gebote für Sicherheit im Internet" hab ich hier gebloggt:
    http://99-developer-tools.com/instead-of-password-managers/

    Antworten Teilen
  6. von AndreasAt99 am 15.11.2014 (12:35 Uhr)

    Passwortmanager sind Mist. Warum, erkläre ich da:
    http://99-developer-tools.com/password-managers-not-safe/

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?