Auswahl eines sicheren Passworts: Zwei Arten von Passwort-Angriffen
Vereinfacht kann die Vorgehensweise bei einem Passwort-Angriff folgendermaßen erklärt werden: Der Angreifer testet so lange verschiedene Passwörter – von denen er glaubt, das Opfer hätte sie verwendet – bis er das richtige findet. Dennoch sollte bei der Auswahl eines sicheren Passworts immer zwischen zwei Arten unterschieden werden: Dem Online-Passwort- und dem Offline-Passwort-Angriff.
Online-Passwort-Angriff
Ein Online-Passwort-Angriff wäre beispielsweise ein Passwort-Angriff auf Ihr Online-Banking-Account. Hier haben Sie meist einen vierstelligen PIN und die Auswahl zwischen den Zeichen 0-9; das heißt, Sie haben 10 verschiedene Zahlenmöglichkeiten.
Schlüsselraum: 10^4 = 10.000 Passwortmöglichkeiten
Ein Hacker muss also 10.000 verschiedene Zahlenkombinationen von 0000 bis 9999 ausprobieren, um Ihr gewähltes „sicheres“ Passwort herauszufinden. 10.000 Kombinationen klingt im ersten Moment für Sie vielleicht viel, wir werden aber im weiteren Verlauf des Artikels noch lernen, dass dies für einen Profi im Handumdrehen erledigt ist. Warum reicht dieses „sichere“ Passwort dann aber trotzdem aus, gerade wenn es beim Online-Banking um Ihr Geld geht? Hinter dem Online-Banking steckt ein kontrolliertes System, das nach wenigen Fehlversuchen den Account sperrt, weil es die Glaubwürdigkeit des Benutzers in Frage stellt. Dadurch minimiert sich die Chance erheblich, das Passwort zu erraten. Nehmen wir an, dass das System 10 Versuche zulässt. Das heißt, dass der Angreifer nur eine Chance von 1/1000 hat, Ihr sicheres Passwort herauszufinden.
Sobald bei Online-Passwort-Angriffen ein kontrolliertes System im Hintergrund ein Werkzeug zur Drosselung nutzt, ist es also vertretbar, relativ schwache Passwörter zu nutzen.
Offline-Passwort-Angriff
Dies sieht bei einem Offline-Passwort-Angriff allerdings ganz anders aus. Webseitenbetreiber müssen die Anmeldedaten ihrer Nutzer im System lokal hinterlegt haben, um die für die Anmeldung nötigen Daten abrufen und kontrollieren zu können. Stellen Sie sich vor, ein Hacker stiehlt die Datenbank eines sozialen Netzwerks oder eines Online-Shops.
Würden diese Daten im Klartext abgelegt sein, hätten Hacker bei einem Datenklau ein leichtes Spiel – sie erhalten eine vollständige Liste mit Benutzernamen und passendem Passwort. Deswegen sollten die Betreiber die Nutzerdaten mit Hilfe von kryptographischen Hashfunktionen verfremden. Das heißt, dass die Daten als Eingangswert in einen nicht umkehrbaren Hashwert umgewandelt werden und nur dieser Hashwert lokal abgelegt.
Es handelt sich also ursprünglich um Online-Plattformen – sobald der Hacker die Hashwerte aber auf sein eigenes Netzwerk überspielt, wechselt der Passwort-Angriff von einem Online-Passwort- zum Offline-Passwort-Angriff. Der Hacker kann also das Tempo und die Anzahl der Passwort-Angriffsversuche selbst bestimmen, um die Hashwerte zu entschlüsseln und wird nicht von einem System im Hintergrund gebremst. Deswegen ist es erforderlich, bei solchen Plattformen stärkere Passwörter zu verwenden.
Das Problem bei Offline-Passwort-Angriffen ist oft, dass das Hasherfahren bei vielen Betreibern entweder überhaupt nicht zum Einsatz kommt oder Hashwerte lediglich mit regulären Hashfunktionen wie MD5 oder SHA256 erstellt werden. Wenn Sie bedenken, dass Hacker 400 bis 600 Milliarden Passwörter pro Sekunde auf einem einzelnen System testen können, sind diese einfachen Hashfunktionen, die dafür entwickelt wurden Daten möglichst effizient zu hashen, bei 8-stelligen Passwörtern innerhalb eines Tages geknackt.
Im Gegensatz hierzu können eigens für das Hashen von Passwörtern entwickelte Hashfunktionen, wie beispielsweise bcrypt oder scrypt, die Anzahl der in einer Sekunde getesteten Passwörter drastisch reduzieren. Aber wie gehen die Angreifer dabei vor und warum ist ein längeres Passwort nicht immer sicherer?
Wie gehen Hacker bei einem Passwort-Angriff vor?
Hacker gehen von der Hypothese aus, dass die meisten Passworte Worte oder Abwandlungen von Worten sind. Bei reinen Worten spielt die Länge keine Rolle, da die Wahrscheinlichkeit des Wortes Pizza oder Taxi bei 500.000 deutschen verfügbaren Wörtern immer 1/500.000 ist. Klingt logisch, oder?
Nutzen potenzielle Opfer zusätzlich noch Zahlen oder Sonderzeichen in ihren Passwörtern, denken die Angreifer in vordefinierten Grammatiken, um Zeit zu sparen und nicht alle möglichen Kombinationen ausprobieren zu müssen. Das heißt, dass sie beispielsweise das A durch eine 4 ersetzen oder davon ausgehen, dass der Anfangsbuchstabe großgeschrieben ist sowie nach dem ausgewählten Wort vier Zahlen folgen.
Stellen Sie sich vor, dass Sie eine Passwort-Vorgabe von 20 Zeichen mit Buchstaben und Wörtern haben. Sie wählen das Passwort „Rechtschreibduden2020“. Da es ca. 500.000 deutsche Wörter gibt und ungefähr 100 wahrscheinliche Jahre, wird schnell klar, dass bei 600 Milliarden getesteten Passwörtern pro Sekunde auch ein sehr langes Passwort nicht zwangsläufig sicherer ist als ein kürzeres.
Dieses erfahrungsbasierte Wissen erlaubt dem Angreifer, viele Abkürzungen zu nehmen und bei Passworten, die 20 Zeichen lang sind und Buchstaben, Zahlen und Sonderzeichen enthalten, nicht alle 92^20 Möglichkeiten ausprobieren zu müssen.
Wie sieht ein sicheres Passwort aus?
- Verwenden Sie keine Worte
- Vermeiden Sie alles, was der Angreifer erwartet (Erster Buchstabe ist groß gefolgt von Kleinbuchstaben, am Ende stehen Zahlen und Sonderzeichen, …)
- Verwenden Sie Online verschiedene Passworte für verschiedene Plattformen
- Verwenden Sie Offline einen Satz, bei dem Sie nur die Anfangsbuchstaben nehmen: Auf dem grünen Baum, der auf der Wiese steht, hängen 18 Äpfel! -> AdgB,dadWs,h18Ä!
- Regelmäßige Aufforderungen zur Passwortänderung verbessern nicht unbedingt die Qualität, weil Mitarbeiter und Kunden einfallsloser werden
Unserer Erfahrung auf Basis von entsprechenden Untersuchungen der Passwort-Qualität nach sind bei Unternehmen und deren Mitarbeitern 70-80 % der Windows-Passwörter nicht sicher. Allein bereits durch ein entsprechendes Training kann diese Quote auf unter 20 % gesenkt werden. Entsprechende Passwort-Policies, auf die verpflichtet wird sowie sinnvolle technische Vorgaben tun ihr Übriges, um eine hohe Passwort-Qualität im Unternehmen zu etablieren.