Als sicher geltende Passwörter nicht mehr sicher

Das Beratungshaus Deloitte hat den Anbietern von Webdiensten und den Nutzern dringend geraten, sich schnell Gedanken über einen Ersatz für die bisher übliche Sicherung eines Accounts durch ein Passwort zu machen.

Bisher galten Kennungen als recht sicher, wenn sie mindestens acht Zeichen lang waren und nicht aus gewöhnlichen Wörtern, sondern aus Kombinationen von Buchstaben, Ziffern und Sonderzeichen bestanden. Abgesehen von einer Reihe von anderen Problemen, die sich bei Untersuchungen in der praktischen Handhabung von Passwörtern immer wieder ergeben, ist diese Annahme inzwischen aber nicht mehr zutreffend.

Auf einer Standard-Tastatur stehen den Anwendern 94 unterschiedlichen Zeichen zur Verfügung, die sie in einem Passwort verwenden könnten. Bei acht Stellen ergeben sich so rund 6,1 Billiarden Kombinationsmöglichkeiten. Um diese mit einer Brute-Force-Attacke durchzuprobieren benötigte ein schneller PC vor wenigen Jahren noch rund ein Jahr - was selbst dann nicht effizient wäre, wenn das Passwort dem Angreifer einen direkten Zugriff auf die Kreditkarte geben würde.

Inzwischen hat die Technologie in dem Bereich aber enorme Fortschritte gemacht. Wie die Experten von Deloitte berichteten, stehen inzwischen ausreichend Technologien zur Verfügung, um die Berechnungen beispielsweise auf Grafikkarten auszulagern. Eine speziell für Brute-Force-Aufgaben konzipierte Maschine zum Preis von rund 30.000 Dollar verkürzt das Knacken eines als 8-stelligen Passworts mit gut durchmischten Zeichen auf nicht einmal mehr sechs Stunden.


Doch nicht einmal solche spezialisierten Rechner sind nötig. Per Distributed Computing kann das Knacken der Passwörter auch auf mehrere schwächere Rechner verteilt werden, die dann nicht weniger effizient sind. Angenommen, den Angreifern steht hierfür gleich ein ganzes Botnetz zur Verfügung, sind sie durchaus in der Lage, auch Nutzerdatenbanken mit hunderten oder tausenden Accounts in annehmbarer Zeit durchzurechnen.

Noch leichter werden die Attacken, da kaum ein Nutzer tatsächlich eine optimale Mischung von Zeichen vornimmt. Studien ergaben, dass am Anfang des Passwortes in der Regel leicht zu merkende Wörter stehen - mit Großbuchstaben vorn. Ziffern und Sonderzeichen tauchen eher am Ende auf. So kann die Berechnung mit statistischen Methoden noch weiter abgekürzt werden.

Ein weiteres Problem: Aktuell geht der Trend wieder hin zu einfacheren Passwörtern. Denn komplizierte Kombinationen sind zwar nicht einfach zu merken, können am Rechner aber trotzdem einfach eingegeben werden. Da aber immer mehr User auf mobile Endgeräte mit einfacheren Tastatur-Layouts setzen, schwinden auch hier die Möglichkeiten. Und dies in Verbindung mit einer Entwicklung, dass die Informationen, die hinter Passwörtern verborgen sind, immer lukrativer werden.

Gerade wenn es um kritische Accounts wie Zugänge zum Online-Banking oder zum VPN von Firmennetzen geht, empfehlen die Berater daher dringend, zusätzliche oder alternative Authentifizierungsmethoden einzusetzen. Denkbar sind etwa Einweg-Passwörter, die per SMS auf ein Mobiltelefon geschickt werden, USB-Dongles oder biometrische Verfahren, um den Zugang zumindest mit einer weiteren Hürde zu versehen, wenn das Passwort geknackt ist.
Diese Nachricht empfehlen
Videos zum Thema
 
Problem 1: man braucht heute zuviele Passwörter. Problem 2: Jeder Dienst will andere Formate an Buchstaben, Zahlen und Zeichenkombinationen. Problem 3: Hilft alles nichts wenn die Passwörter direkt beim Anbieter geklaut werden. Also muss wohl für 99 % der fälle "Passwort" reichen.
 
@winhistory: Ich empfehle dir mal die Software Keepas. Seitdem hab ich auch für alles komplexe Passwörter und vergesse nie was. Die Datenbank selbst ist ebendfals verschlüsselt und durch ein langes PW gesichert. Des Weiteren bietet keepas noch weitere Anmeldungsverfahren und verschlüsselungsmethoden.
 
@winhistory: Ein weiteres Problem: Man hat unendlich viele Versuche eine Passwort einzugeben (meistens)- 10min Sperre nach 5 falscheingabe verlängert die Methode extrem.
 
@winhistory: 3. Problem ist das größte Problem neben der Tatsache das viele Anwender das gleiche Passwort für alle Accounts verwenden und mit Gefahr laufen die Sicherheit aller accounts mit einem Schlag zu verlieren.
 
@Clawhammer: Ich kann KeePass auch nur empfehlen. Ich weiss von keiner Anmeldung das Kennwort selbst (irgendein Zahlen-Buchstaben-Kauderwelsch) und alle Kennwörter sind unterschiedlich. DB hab ich immer dabei, falls ich sie brauche.


Alle Kommentare zu dieser News anzeigen

Schreiben Sie uns Ihre Meinung, bewerten Sie Kommentare oder diskutieren Sie mit anderen WinFuture.de Lesern!

Melden Sie sich jetzt kostenlos an
oder verwenden Sie Ihren bestehenden Zugang.

Wöchentlicher Newsletter

Beliebte Videos

powered by veeseo

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles