Als sicher geltende Passwörter nicht mehr sicher

Das Beratungshaus Deloitte hat den Anbietern von Webdiensten und den Nutzern dringend geraten, sich schnell Gedanken über einen Ersatz für die bisher übliche Sicherung eines Accounts durch ein Passwort zu machen.
Bisher galten Kennungen als recht sicher, wenn sie mindestens acht Zeichen lang waren und nicht aus gewöhnlichen Wörtern, sondern aus Kombinationen von Buchstaben, Ziffern und Sonderzeichen bestanden. Abgesehen von einer Reihe von anderen Problemen, die sich bei Untersuchungen in der praktischen Handhabung von Passwörtern immer wieder ergeben, ist diese Annahme inzwischen aber nicht mehr zutreffend.

Auf einer Standard-Tastatur stehen den Anwendern 94 unterschiedlichen Zeichen zur Verfügung, die sie in einem Passwort verwenden könnten. Bei acht Stellen ergeben sich so rund 6,1 Billiarden Kombinationsmöglichkeiten. Um diese mit einer Brute-Force-Attacke durchzuprobieren benötigte ein schneller PC vor wenigen Jahren noch rund ein Jahr - was selbst dann nicht effizient wäre, wenn das Passwort dem Angreifer einen direkten Zugriff auf die Kreditkarte geben würde.

Inzwischen hat die Technologie in dem Bereich aber enorme Fortschritte gemacht. Wie die Experten von Deloitte berichteten, stehen inzwischen ausreichend Technologien zur Verfügung, um die Berechnungen beispielsweise auf Grafikkarten auszulagern. Eine speziell für Brute-Force-Aufgaben konzipierte Maschine zum Preis von rund 30.000 Dollar verkürzt das Knacken eines als 8-stelligen Passworts mit gut durchmischten Zeichen auf nicht einmal mehr sechs Stunden.

Doch nicht einmal solche spezialisierten Rechner sind nötig. Per Distributed Computing kann das Knacken der Passwörter auch auf mehrere schwächere Rechner verteilt werden, die dann nicht weniger effizient sind. Angenommen, den Angreifern steht hierfür gleich ein ganzes Botnetz zur Verfügung, sind sie durchaus in der Lage, auch Nutzerdatenbanken mit hunderten oder tausenden Accounts in annehmbarer Zeit durchzurechnen.

Noch leichter werden die Attacken, da kaum ein Nutzer tatsächlich eine optimale Mischung von Zeichen vornimmt. Studien ergaben, dass am Anfang des Passwortes in der Regel leicht zu merkende Wörter stehen - mit Großbuchstaben vorn. Ziffern und Sonderzeichen tauchen eher am Ende auf. So kann die Berechnung mit statistischen Methoden noch weiter abgekürzt werden.

Ein weiteres Problem: Aktuell geht der Trend wieder hin zu einfacheren Passwörtern. Denn komplizierte Kombinationen sind zwar nicht einfach zu merken, können am Rechner aber trotzdem einfach eingegeben werden. Da aber immer mehr User auf mobile Endgeräte mit einfacheren Tastatur-Layouts setzen, schwinden auch hier die Möglichkeiten. Und dies in Verbindung mit einer Entwicklung, dass die Informationen, die hinter Passwörtern verborgen sind, immer lukrativer werden.

Gerade wenn es um kritische Accounts wie Zugänge zum Online-Banking oder zum VPN von Firmennetzen geht, empfehlen die Berater daher dringend, zusätzliche oder alternative Authentifizierungsmethoden einzusetzen. Denkbar sind etwa Einweg-Passwörter, die per SMS auf ein Mobiltelefon geschickt werden, USB-Dongles oder biometrische Verfahren, um den Zugang zumindest mit einer weiteren Hürde zu versehen, wenn das Passwort geknackt ist.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr neon schildneon schild
Original Amazon-Preis
32,99
Im Preisvergleich ab
32,99
Blitzangebot-Preis
22,43
Ersparnis zu Amazon 32% oder 10,56
Im WinFuture Preisvergleich
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
WinFuture wird gehostet von Artfiles
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!