Passwortsicherheit im Internet

[Image source: http://cdn.macrumors.com/article-new/2015/01/worstpasswordsof2014.jpg]

Regelmäßig wird in den Medien darüber berichtet, dass Hacker in den Besitz von Logindaten bekannter Websites gelangt sind. In einem aktuellen Fall konnte ein Datensatz mit 68 Millionen Benutzernamen und zugehörigen Passwörtern des bekannten Cloudspeicherdienstes Dropbox erbeutet werden. Die Passwörter werden von den Websitebetreibern zum Glück nicht im Klartext gespeichert, sondern als sogenannte, von Algorithmen erzeugte Hashes.

Warum Datendiebstähle dieser Art trotzdem beunruhigend sind und ausschließlich sichere Passwörter im Internet verwendet werden sollten, wird in den folgenden beiden Youtube-Videos des Channels Computerphile erklärt:

Im Folgenden befindet sich eine kurze Zusammenfassung der Videoinhalte, mit eing Zusätzen und weiterführenden Links.

Wie funktioniert Passwort-Cracking?

  • Es gibt verschieden sichere Hashfunktionen zur Erzeugung der Hashes.
  • Das Knacken von Passwörtern basiert auf dem Ausprobieren verschiedener Passwortkombinationen, der Hash-Berechnung und dem anschließenden Abgleich mit den Hashes des erbeuteten Datensatzes.
  • Falls der eigens berechnete Hash mit einem aus der Liste übereinstimmt, ist das Passwort und somit dieser Benutzerzugang geknackt.
  • Dieselbe Benutzer-Passwort-Kombination wird dann üblicherweise auf anderen Websites ausprobiert.

Wie gut funktioniert das Knacken von Passwörtern?

  • Reines Ausprobieren, also brute-force-Attacken wird mit zunehmender Länge des Passworts und der Verwendung von unterschiedlichen Zeichen (Groß-, Kleinschreibung, Zahlen, Sonderzeichen, etc.) ineffizient.
  • Stand der Technik sind Dictionary Attacken. Dabei werden Wörterbücher von häufig benützten Wörtern durchkämmt und automatisch nach allen Regeln der Kunst variiert (d.h. übliche Passworttricks wie das Ersetzen von Buchstaben durch Zahlen, dem Einfügen von Zahlenkombinationen, etc.).
  • Bereits gehackte Passwortlisten dienen dazu, die Passwortwahl von Internetnutzern genau zu untersuchen und die Dictionary Methodik weiter auszufeilen.
  • Im oben genannten Video kommt eine Open-Source Software names hashcat zum Einsatz, die diese Art von Attacken beherrscht.

Wie wählt man ein sicheres Passwort?

  • Verwende mehr als 8 Zeichen.
  • Verwende keine häufig benutzten Wörter.
  • Abwandlungen, wie E –> 3, o –> 0, oder das Anhängen von Zahlen erhöhen nicht die Passwortsicherheit.

Empfehlungen:

  • Setze ein Passwort niemals mehrfach ein.
  • Benutze einen Passwort-Manager, wie KeePassX (verfügbar für Mac OS X, Windows, Linux), zur Erzeugung zufällig generierter und langer Passwörter.
  • Wähle ein sicheres Master-Passwort für den Manager, z.B. durch das Kombinieren von drei oder vier Wörtern und dem Einfügen von Sonderzeichen, sodass Dictionary Angriffe keinen Erfolg haben.
  • Die Datenbank des Passwort-Managers kann synchronisiert und auch von Smartphones verwendet werden (für iOS z.B. mit MiniKeePass, für Android gibt es KeePassDroid).