Wie sicher sind Passwörter?

Netflix Konto gehackt? Tja, leider keine Seltenheit. Du weisst, was zu tun ist: Support anrufen, Passwort und E-Mail zurücksetzen. Damit es gar nicht erst so weit kommt, solltest du ein möglichst gutes Passwort benutzen. Aber tust du das auch? Wir haben nachgefragt.

In der Altstadt Zug befragten wir Jung und Alt und baten alle, uns ein altes Passwort, welches sie nicht mehr benutzen, zu verraten. Das ist gar nicht so einfach, immerhin sind im Passwörter privat. Manchmal. Deswegen bekamen wir vielmals keine Antwort. Trotzdem kamen wir im Gesamten auf rund 30 Passwörter. Wie sicher die sind, haben wir mit dem Kaspersky Passwort Check im Browser überprüft. Man gibt das Passwort ein und mit einem Klick wird das Passwort auf die Sicherheit überprüft. Angezeigt wird die Zeit, welche ein Computer braucht, um das Passwort mit einer Brute-Force-Attacke zu knacken. Bei einer Brute-Force-Attacke versucht der Computer jede mögliche Kombination aus, bis er zum Ziel kommt. Wenn

 ein Hacker jetzt aber auch noch über persönliche Daten verfügen würde, könnte er den Radius der Passwörter, welche der Computer ausprobiert, einschränken. Wir haben die Ergebnisse untersucht. Im Durchschnitt braucht ein Computer fast 20 Jahre, um eines der Passwörter herauszufinden. Der Durchschnitt täuscht jedoch. So gibt es viel Passwörter, die sehr gut sind, aber auch viele, die unter zwei Tagen bräuchten, um geknackt zu werden. Der meistbenutzte Buchstaben ist der Buchstabe L. Er ist von 28 Passwörtern in 14 benutzt worden. Auch sehr beliebt sind die Buchstaben A, E, I, R, S, N und D. Zahlen wurden in 25 Passwörtern verwendet. Extrazeichen wie ?, + oder * sind in acht Passwörtern vorhanden.

Ein sicheres Passwort sollte mindestens acht Zeichen lang sein. Dabei sollte man wenn möglich Buchstaben, Zahlen, und Sonderzeichen verwenden. Auf Wortkombinationen und Reihenfolgen wie 12345678 sollte man verzichten. Macht man sich einen Merksatz mit einer unflektierbaren Zeichenreihenfolge, ist das Passwort gut geschützt. Am besten macht man sich für jedes neue Konto ein anderes Passwort, denn falls eines der Konten geknackt wird, sollte der Hacker keine Mühe haben, auch die übrigen zu knacken. Es ist neben den Passwörtern auch empfohlen, eine Firewall oder etwas ähnliches zu benutzen.

Das Klartextpasswort „12Kuchenbrei“ wird durch einen Hash-Algorithmus geschickt und auf diese Weise verschlüsselt. Es gibt verschiedene Hash-Algorithmen. 

Als Beispiel für diesen Fall betrachten wir Facebook von Mark Zuckerberg. Um mich in meinen Account einzuloggen, benötige ich meinen Benutzernamen und mein Passwort. Bei der Registrierung gebe ich ebenfalls meinen Benutzernamen an und denke mir ein Passwort aus. Sobald man auf Registrieren klickt, werden diese Informationen an die Datenbank von Facebook gesendet. In der Datenbank werden diese Informationen gespeichert.

Das Passwort wird als Input in eine sogenannte Hash-Funktion gegeben. Es entsteht eine verschlüsselte Form des Passworts. Diese verschlüsselte Form wirkt nur zufällig zusammengewürfelt, doch in Wahrheit ist sie das Produkt der Funktionsweise des verwendeten Hash-Algorithmus. Dieser Passwort-Hash wird in der Datenbank „Facebook“ gespeichert und nicht das Klartextpasswort. Ein Administrator kann mein Passwort also nicht sehen, er sieht nur den Passwort-Hash. 

Stellen wir uns mal vor, dass eine Hackerwelle über die Welt fegt und auch Facebook betroffen wäre. Angenommen die Datenbank, in der meine E-Mail-Adresse und mein Passwort gespeichert ist, fallen in die Hände der Hacker. Dann sind sie trotzdem nicht in der Lage, sich in meinen Facebook Account einzuloggen, da die Eingabe des Passwort-Hashes in das Passwort-Feld keinen Zugang zum System ermöglicht. Können die Hacker mein Passwort aus dem gestohlenen Hashwert ableiten? Theoretisch gesehen ja, aber praktisch gesehen nein. Eine Hash-Funktion ist eine sogenannte Einwegfunktion, d. h. die Berechnung des Passwort-Hashs aus dem Klartextpasswort ist leicht machbar, doch das Klartextpasswort aus dem Passwort-Hash zu ermitteln ist nahezu unmöglich.

Die Hacker müssen hoffen, dass man ein schwaches Passwort gewählt hat. Warum? Wenn man ein schwaches Passwort wie z. B. „1Zwei3“ wählt, ist die Wahrscheinlichkeit groß, dass dieses oder andere häufig genutzte Standard-Passwörter in öffentlich zugänglichen Rainbow-Table stehen, die häufig gebrauchte Klartextpasswörter samt ihren Hashes enthalten. Die Hacker müssen dann lediglich nach dem gestohlenen Passwort-Hash suchen und finden dabei das dazugehörige Klartext-Passwort. Wenn dein Passwort aber z. B. „4&//3dHD*+/-“ lautet, kann man davon ausgehen, dass dieser Eintrag aufgrund seiner Komplexität in noch keiner Rainbow-Table steht.

Du bist also auch selbst in der Pflicht, dich um die Sicherheit deines Passworts zu bemühen. Es wird von Sicherheitsexperten empfohlen, die Passwörter zu salzen. Beim Salzen eines Passwortes wird eine zufällig gewählte Zeichenkette vor dem Hashen eines Passwortes dazugehängt. Zum Beispiel wird beim Passwort „1Zwei3“ Damian Gmür vorne hinzugefügt. Der Sinn der Sache ist, dass die Wahrscheinlichkeit viel geringer ist, dass es ein Passwort-Hash zum Passwort Damian.Gmür1Zwei3 im Rainbow-Table gibt.

Gezeichnet OHuDGsdCd3B2020. Hash that!

Leave a Reply

Powered by WordPress.com.

Up ↑

%d bloggers like this: