News 12.02.2013, 12:51 Uhr

Unsere Passwörter sind nicht sicher

Sie denken, Ihr achtstelliges Passwort, bestehend aus Buchstaben, Zahlen und Sonderzeichen, sei sicher? Falsch gedacht, meint eine Beratungsfirma.
Die Beratungsfirma Deloitte erwartet, dass im Jahr 2013 mehr als 90 Prozent aller von Nutzern erstellten Passwörter nicht sicher sind. Früher sei man davon ausgegangen, dass ein achtstelliges Passwort aus Buchstaben, Zahlen und Sonderzeichen ausreichend sicher sei. Doch dies sei heute nicht mehr der Fall – mit einer professionellen Infrastruktur sei es möglich, jedes achtstellige Passwort in rund fünfeinhalb Stunden zu knacken. Und: Dank Crowd-Hacking, bei dem die zum Cracken nötige Rechenpower auf Tausende von Computern verteilt wird, geht es sogar noch einfacher.
Eines der Hauptprobleme sei, dass sich der Mensch die Passwortvergabe in der Regel einfach macht. Er setzt Passwörter aus realen Wörtern zusammen, stellt Grossbuchstaben üblicherweise an den Anfang und Zahlenfolgen ans Ende. Die so erstellten Passwörter sind dann alles andere als sicher, denn Hacker können auf sogenannte Dictionaries zurückgreifen, Wörterbücher, die bekannte Wortkombinationen enthalten. Einer kürzlich durchgeführten Studie zufolge würden die 10'000 meistverwendeten Passwörter ausreichen, um Zugang zu über 98 Prozent aller Accounts zu erhalten.
Mehr Zeichen und mehr Faktoren
Wie gestaltet man seine Passwörter dennoch sicher? Laut Deloitte hilft es schon, ein Passwort statt aus acht aus zehn Zeichen zu bilden – unter Verwendung von Buchstaben, Zahlen und Sonderzeichen. Verglichen mit den fünfeinhalb Stunden für die acht Zeichen würde das Knacken eines zehnstelligen Passworts mit den gleichen Mitteln bereits über fünf Jahre in Anspruch nehmen. Das Problem: Durch den aktuellen Erfolg von mobilen Geräten neigen die Nutzer wieder vermehrt zu kürzeren Passwörtern, weil die Eingabe von langen und komplizierten Passwörtern auf Smartphones und Co. vergleichsweise umständlich ist.
Ein wichtiger Trend für das aktuelle Jahr sieht das Unternehmen in der Mehrfaktorauthentifizierung. Dabei wird zusätzlich zum eigentlichen Passwort ein weiterer Kanal zur Authentifizierung beigezogen, z.B. das Mobiltelefon des Nutzers, an das ein zufälliger Anmelde-Code verschickt wird. Auch Fingerabdruck-Scanner oder NFC-Chips könnten als solche zusätzlichen Sicherheitsfaktoren zum Einsatz kommen. Deloitte erwartet, dass 2013 einige Technologiefirmen entsprechende Mehrfaktorverfahren implementieren werden.



Kommentare
Avatar
nalply
12.02.2013
um das überhaupt hacken zu können, müsste man auch erst einmal im besitz eines entsprechenden passwortgeschützten bereich sein. Eben das ist der Knackpunkt. Sobald ein Hacker auf den Server einbricht und die verschlüsselten Passwörter nach Hause kopiert, dann nützen deine achstelligen Passwörter nicht mehr viel. Nach einigen Stunden Brute Force ists geknackt.

Avatar
davinci1996
12.02.2013
Viel Spass Viel Spass beim knacken Mein Passwort für mein Notebook ist ca. 26 Stellen lang und enthält Klein- und Grossbuchstaben+Sonderzeichen und Zahlen. Dazu ist die Festplatte mit AES verschlüsselt. Es gibt so ne Seite auf der man ausrechnen kann wie lange es geht bis das Passwort per Brutforce geknackt wird. Die sagt bei einer solchen massive Attack geht es 900 000 000 000 Centurys (könnten auch noch einpaar mehr Nullen hinten dran sein, ist aber egal, so lange lebe ich eh nicht) Das Passwort findet niemals in irgendwelchen Listen oder so und wenn niemand bei mir einbricht und nen Keylogger oder ne Kamera installiert, kann ich mich darauf verlassen. Achja an alle die ein 20 Stellen Passwort für Windows haben, das konnte ich schon mit 10 Jahren inner 5-10 Min aushebeln und ersetzen, um wirklich sicher zu sein installiert Truecrypt oder sonst etwas. Grüsse David

Avatar
slup
12.02.2013
... Es gibt so ne Seite auf der man ausrechnen kann wie lange es geht bis das Passwort per Brutforce geknackt wird.... Siehe diesen Thread.

Avatar
davinci1996
12.02.2013
Siehe diesen Thread. Die ist auch gut, aber ich meinte die hier: http://www.grc.com/haystack.htm

Avatar
slup
13.02.2013
http://it.slashdot.org/story/12/05/18/2313235/your-passwords-dont-suck-its-your-policies daraus folgender Kommentar: Bitte noch auf Deutsch für unsere nicht Englischsprechenden Forumsteilnehmer ;)

Avatar
slup
13.02.2013
via translate.google.com (also automatendeutsch): Das hättest du als langjähriger Amerikaaufenthalter sicher besser gekonnt...

Avatar
Ray
13.02.2013
Hallo Mitakuye Oyasin Aber was willst du bzw. der Verfasser des Originalkommentars (kriston) uns mit diesem Kommentar sagen? Danke? Ray

Avatar
Schorschl
13.02.2013
Eben das ist der Knackpunkt. Sobald ein Hacker auf den Server einbricht und die verschlüsselten Passwörter nach Hause kopiert, dann nützen deine achstelligen Passwörter nicht mehr viel. Nach einigen Stunden Brute Force ists geknackt. YMMD :D :D :D verschlüsselte passwörter??? hä??? also erstens glaubst du ja selber nicht, dass die passwörter auf einem google oder gmx mailserver nur mit 8-stelligen passwörter gesichert wären. aber wenn jemand der server hackt, dann hat er den zugang ja schon und muss meine 8-stelligen gar nicht mehr knacken. das wäre gut für mich, dann kann ich google verklagen ;) nur lässt sich leider der server auf dem die passwörter sind eben selber nicht in ein paar stunden per brute force hacken oder denkst du die bemerken angriffe nicht und lassen jemandem stundenlang zeit um ihre server, welche nicht mit 8-stelligen passwörtern gesichert sind, zu hacken?