In wenigen Schritten zum sicheren Passwort

Wie sich Länge und Komplexität von Kennwörtern auswirken In wenigen Schritten zum sicheren Passwort

05.05.2014Autor / Redakteur: Lisa Heßler / Stephan Augsten

Für Verfechter des Passwortschutzes war 2014 kein gutes Jahr. Viele Internet-Nutzer verzichten immer noch auf starke Passwörter, Identitätsdiebstahl und Datenklau tun ihr Übriges dazu. Was ist passiert? Wie ist das in Zeiten von Passwortmanagern überhaupt möglich? Und was macht ein wirklich sicheres Passwort aus?

Firmen zum Thema

Specops Software GmbH

Build38 GmbH

KnowBe4 Germany GmbH

Die Hacking-Anfälligkeit von Passwörtern lässt sich in wenigen Schritten minimieren.
(Bild: The Safe Shop)

Schon seit Anfang des Jahres machen Skandale rumd um unsichere und gestohlene Passwörter Schlagzeilen. Die Splashdata-Liste der „Schlimmsten Passwörter des Jahres 2013“ im Januar war der Beginn einer unheilvollen Serie. Die Liste wurde auf Basis von Millionen gestohlener Passwörter erstellt, die Internetuser im Jahr 2013 verwendet hatten

Ein kurzer Blick in die Top Drei der meistgenutzten Passwörter lässt Böses erahnen. Sie lauten „123456“, „password“ und „12345678“. Übrigens findet sich das Kennwort „password“ zum ersten Mal, seit Splashdata diese Liste veröffentlicht, nicht auf Platz eins. Viele große Firmen mit Internetpräsenz wurden kurz daraufhin von Dashlane, einem Anbieter für Passwort-Verwaltungssoftware, unter die Lupe genommen.

Das Unternehmen Dashlane hat verschiedene Portale auf deren Passwortrichtlinien hin geprüft.
(Bild: Dashlane)

Insgesamt wurde die Passwort-Software von 100 Unternehmen auf 24 Kriterien überprüft. Das Ergebnis: Apple erzielte mit 100 von 100 möglichen Punkten ein Spitzenresultat. Die Firmen auf den Folgeplätzen (Microsoft, Newegg und Chegg) erhielten jedoch nur noch 65 Punkte. Über 55% der Firmen ließen ihren Online-Usern die haarsträubendsten Passwörter aus der Liste der „Schlimmsten Passwörter des Jahres“ zu.

Was Apple vielleicht zum ersten Platz der Firmen mit sicherem Passwort-Management verholfen hat, sind die höheren Sicherheitsanforderungen an ein Passwort: Ein Passwort für das Anlegen einer Apple ID muss neben Buchstaben eine Ziffer oder mehr enthalten, aus mindestens acht Zeichen sowie aus Groß- und Kleinbuchstaben bestehen.

Bildergalerie

1. Komplexität und Länge erhöhen: Ein dreistelliges Passwort aus Zahlen allein lässt sich laut obiger Formel in unter zwei Minuten knacken. Mit einem (durchaus realistischen) Verbund aus Grafikprozessoren (GPUs), der 150 Milliarden Passwörter pro Sekunde absetzt, reduziert sich die Zeit auf deutlich unter eine Sekunde.

2. Werden außer Zahlen auch Buchstaben und Satz- und Sonderzeichen wie %, €, $ o.ä., so so dauert ein manueller Crack unwirtschaftliche 8,25 Tage. Das angesprochene GPU-Grid würde allerdings immer noch weniger als eine Sekunde benötigen.

3. Erhöht man ausgehend vom einfachen Passwort einfach nur die Stellen, so macht man es dem Hacker selbst schon deutlich schwerer. Ein GPU-Cluster stünde aber wiederum nicht vor einem unlösbaren Problem.

4. Bei 12 Stellen und 62 Zeichen (Groß-, Kleinbuchstaben und Zahlen) beträgt die potenzielle Hack-Zeit über drei Jahre – auch wenn wir davon ausgehen, dass ein Passwort nach der Hälfte aller Versuche geknackt wird. Dies ist zweifellos alles andere als wirtschaftlich für einen Hacker.

Bildergalerie mit 7 Bildern

Ebenfalls Anfang des Jahres wurde der Datenklau von 16 Millionen E-Mail-Adressen bekanntgegeben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ermöglichte es, die eigene E-Mail-Adresse mittels eines Sicherheitstests auf einen Identitätsdiebstahl hin zu überprüfen. Innerhalb weniger Tage gingen mehr als 22 Millionen E-Mail-Adressen beim BSI ein, rund 1,3 Millionen Accounts waren tatsächlich vom Datenklau betroffen. Ein ähnlicher Vorfall ereignete sich noch einmal im März.

Jüngst aber der Super-GAU: Mit „Heartbleed“ wurde womöglich eine neue Generation des Datenklaus eingeleitet. Die schwerwiegende Sicherheitslücke geht darauf zurück, dass sich Hacker Zugriff auf Webseiten und Portale verschaffen können, die die Verschlüsselungssoftware Open-SSL verwenden. Sie hinterlassen dabei keine Spuren; ein Angriff kann daher vollkommen unentdeckt bleiben.

Um auf Nummer sicher zu gehen, sollten daher die Passwörter bei den meisten E-Mail-Anbietern und Social Media Plattformen geändert werden. Da man über kurz oder lang nicht um einen Wechsel herumkommt, empfiehlt es sich, die gewöhnlichen Sicherheitsanforderungen an Passwörter zu überdenken.

Ein dreistelliges Passwort kann ein Hacker in weniger als zwei Minuten knacken. Die folgende Formel verdeutlicht dies: T=K/A. Dabei ist (T) die Zeit, (K) die nötigen Kombinationen und (A) die Anzahl der Kombinationen, die ein Hacker ausprobieren kann.

Bei einem dreistelligen Passwort, das die Zahlen eins bis drei beinhaltet, ergeben sich 27 mögliche Kombinationen.
(Bild: The Safe Shop)

Bei einem dreistelligen Passwort, das die Zahlen eins bis drei umfasst, ist (K) = 27 (3³). Bei der Annahme, dass ein Mensch pro Minute 20 Kombinationen probieren kann, ergibt sich (A) = 20. Die Zeit (T), die bis zum Identitätsdiebstahl verstreicht, ist laut der Formel dann 27/20 Minuten, das entspricht 1 Minute und 21 Sekunden.

Ziel sollte es daher sein, die Anzahl der möglichen Kombinationen (A) zu erhöhen, sodass sich die Zeit (T) verlängert und den Angriff damit unrentabel macht. Mit den in der Bildergalerie hinterlegten Tipps ist der Weg zum sicheren Passwort ein leichter. Eine 100-prozentige Garantie, dass das Kennwort auch auf Dauer sicher bleibt, gibt es leider nie. Weitere konkrete Tipps zu einem sicheren Passwort finden Sie in der in diesem Artikel verknüpften Bildergalerie oder im Blog von The Safe Shop.

Ein individuelles und komplexes Passwort für jede Webseite ist zwar sehr sicher, aber leider inkompatibel zum Erinnerungsvermögen der meisten Anwender.

(ID:42667548)