IT-Sicherheit Mein verrücktes Passwort errät keiner - oder?

Ein gutes Passwort zu finden, ist schwer - und wird immer schwerer. Ein Hacker erklärt, warum von Menschen erdachte Kennwörter oft unsicher sind und regelmäßige Wechsel sogar schädlich sein können.


Dass "linkedin123" kein sicheres Passwort ist, dürfte inzwischen jedem IT-Nutzer klar sein. Dass aber auch "311Zwerg-Lakenfelder" professionelle Passwort-Cracker nicht lange aufhält, erstaunt dann doch: 20 Zeichen, Ziffern, Groß- und Kleinbuchstaben, ein Sonderzeichen. Eigentlich alles richtig gemacht beim unbeliebten Spiel "Denk dir ein Kennwort aus".

Und dennoch knackte das Team von Jens Steube, Nickname "atom", dieses und 52919 weitere Kennwörter innerhalb von 48 Stunden. Das war der vorgegebene Zeitrahmen des Wettbewerbs "Crack me if you can", der auf der Hackerkonferenz Defcon in Las Vegas stattgefunden hat. Steubes Mannschaft hat ihn gewonnen. Jens Steube ist Programmierer von Hashcat, einem der schnellsten Tools zum Knacken von Passwörtern, eine Autorität in Sachen Passwort-Cracking.

"Der Wettbewerb hat belegt, wie problematisch Muster sind, die wir Menschen beim Erdenken von Kennwörtern verwenden", so Steube. In Bezug auf "311Zwerg-Lakenfelder" bedeutet dies: Als Team Hashcat erkannte, dass ein Teil der verschlüsselten Kennwörter von einem fiktiven landwirtschaftlichen Betrieb erbeutet wurden, fütterten sie die Cracking-Software mit Begrifflichkeiten aus dem Bereich "Landwirtschaft". Echte Datendiebe würden in der Praxis genauso vorgehen.

Unter den Begriffen fand sich auch der Name einer Hühnerrasse: Zwerg-Lakenfelder. "Zwerg-Lakenfelder ist das vom Anwender gewählte Basispasswort und das Präfix 311 ein zusätzliches Muster, das wahrscheinlich einer Passwortrichtlinie geschuldet ist, die Ziffern sowie regelmäßige Passwortwechsel vorschreibt", so Steube. Steht der vorschriftsmäßige Austausch des Kennworts an, muss der Anwender lediglich die Ziffernfolge um Eins erhöhen, um ein neues Kennwort zu erzeugen. Das entspricht dann zwar den Vorgaben, ist aber unsicher.

Trugschluss: Meine Passwörter sind die Besten

Problematisch seien diese Muster dem Entwickler zufolge, weil Menschen ihr selbst ausgedachtes Muster fälschlicherweise für einzigartig halten. "Es mangelt den Menschen nicht unbedingt an Ideen, aber an einzigartigen Ideen", so der Passwortexperte. Es gebe zwar viele unterschiedliche Muster, Hunderttausende seien bekannt. Für eine Software wie Hashcat sei es aber kein Problem, all diese Muster zu berücksichtigen und automatisch Kombinationen aus Basis-Passwörtern und beliebigen Ziffern sowie Sonderzeichen durchzuprobieren. Das allseits beliebte Ersetzen von Zeichen - a durch @, 1 durch ! und so weiter - erledigt die Software ebenfalls. Ohne dass der menschliche Cracker hierzu eingreifen muss.

Verschärft wird das Sicherheitsproblem, da sich modernes Passwort-Cracking eine besondere Eigenschaft von Grafikkarten zunutze macht. Die sonst für möglichst realistische 3D-Effekte in Spielen verantwortlichen Funktionen dieser Karten beschleunigen auch das Durchprobieren von Passwörtern.

Oder technisch präziser ausgedrückt: Sie beschleunigen das Erzeugen von Hashwerten, also der Ableitung eines Klartextpassworts wie "Spiegel Online" zur Zeichenkette "c065aec1bd68cadf52a5c0d0a03e916f". Letztere wird dann anstelle des Passworts in der Passwortdatenbank der Anwendung oder des Onlinedienstes gespeichert. Stimmt der von Hashcat erzeugte Wert mit dem Hash überein, der in einer geleakten oder geklauten Passwortdatenbank gefunden wurde, dann müssen auch die Klartextkennwörter übereinstimmen.

Eine tausend Euro teure High-End-Karte erzeugt beispielsweise bis zu 100 Milliarden Hashwerte von Windows-Kennwörtern - pro Sekunde. Auch der gängige Ratschlag, ein möglichst langes, aber gleichzeitig gut zu merkendes Kennwort durch das Aneinanderreihen von Wörtern zu erzeugen, stößt an Grenzen: "Wer beispielsweise ein Windows-Passwort aus vier Wörtern wie Sommerurlaub, Autobahn, Abendessen und Briefkasten zusammensetzt, die einem 10.000 Begriffe umfassenden Wörterbuch entnommen wurden, dem präsentiert Hashcat binnen 24 Stunden sein Kennwort im Klartext", erläutert Jens Steube.

Hört auf, euch Kennwörter auszudenken

Dass wir Menschen uns auf Muster beim Erdenken von Kennwörtern verlassen, ist kein Wunder: Richtlinien schreiben oft komplexe, lange Passwörter vor, die ohnehin schwer zu merken sind. Kommen jetzt auch noch zyklisch erzwungene Wechsel hinzu, ist der Rückgriff auf einfach zu knackende Muster unvermeidlich. Deshalb lehnt Steube solche Wechsel ab. Im Einklang mit einer Richtlinie des Nationalen Instituts für Standards und Technologie der USA (NIST) will auch Microsoft IT-Administratoren künftig die Option nehmen, einen zeitgesteuerten Passwortwechsel vorzuschreiben.

Weitaus weniger problematisch wäre die Situation, würden wir Menschen aufhören, uns selbst Kennwörter auszudenken. "Würden wir alle nur zufällig zusammengewürfelte Passworte verwenden, dann wären Angriffe nicht besonders effektiv", erklärt der Passwort-Fachmann. Steube bestätigt, dass beispielsweise von einem Passwort-Manager zufällig erzeugte Kennwörter bei gleicher Länge schwieriger zu knacken sind als von Menschen generierte Passwörter. "Abzuraten ist hierbei dringend von Onlinegeneratoren. Sie könnten die Kennwörter speichern", warnt Jens Steube. Vertrauenswürdiger seien auf dem eigenen Endgerät installierte Passwort-Manager.

Auch Steube selbst verwendet eine solche Anwendung: Er könne sich schlicht keine 200 oder mehr Passworte merken. Zwar sind ein Passwort-Manager beziehungsweise der Cloud-Speicher des Anbieters spannende Ziele für Datendiebe. Die Vorteile der Anwendungen überwiegen aber diesen Nachteil. Zumal dann, wenn das Master-Passwort zum Entsperren des Tresors entsprechend komplex ist. Noch sicherer ist es, wenn zum Öffnen des Tresors ein Hardware-Token nötig ist. "Daran beißt sich jeder Passwort-Cracker die Zähne aus", sagt Jens Steube.

insgesamt 129 Beiträge
Alle Kommentare öffnen
Seite 1
Besserwissser 25.08.2019
1. Und in der Praxis ?
werden Zugänge nach 3...5 Fehlversuchen gesperrt. Wie sollen da alleine die Zahlen 1...311 erprobt werden. Klar in Zeiten in denen die- glaub es war die .login- unter linux noch für jedermann zugänglich war hat man beliebig oft probieren könne aber heutzutage ?
Crom 25.08.2019
2.
Das Problem von generierten Passwörtern und Passwort-Managern ist, dass das Masterpassword und das Windowspasswort meist dann doch wieder ausgedacht sind, weil man beides braucht, bis man dann zum eigenen Passwortspeicher kommt. Bei Passwort-Managern sollte man daher besser ein Key-File nutzen und auch für Windows gibt es die Möglichkeit statt eines Passwortes ein Muster einzugeben.
zeichenkette 25.08.2019
3. Das ist extrem verkürzt ausgedrückt
Bei Passwörtern zählt die Wahrscheinlichkeit, es einfach finden zu können und diese Wahrscheinlichkeit sinkt mit der Länge des Passworts. Lange Passwörter sind schwer zu merken, aber man kann sich das einfacher machen, indem man keine sinnlose Ansammlung von Zeichen nimmt, sondern einen leichter zu merkenden, aber immer noch langen Satz: "Diesistmeinpasswortfuerspiegelonlineundesistmiregalwasjemanddavonhaelt" ist ein verdammt sicheres Passwort (jedenfalls bis jetzt) und "meingrossvaterhatimmergesagtdassichnichtsoumstaendlichseinsoll" noch besser. Man kann natürlich auch einen Passwortmanager nehmen (wie den Schlüsselbund bei macOS) und einfach ein langes, umständlich und unmöglich zu merkendes Passwort nehmen, das Merken aber dem OS überlassen, dass es verschlüsselt speichert. Für wirklich zentrale Passwörter würde ich erste Methode empfehlen, für alle anderen die zweite. Solange der Satz wirklich einmalig ist, ist das für alle IT-basierten Zwecke nur seine sehr lange Ansammlung von Zeichen und die sind schon ziemlich sicher, aber merkbar. Selbst "Geburtsdatum-Spitzname-erstesHaustier-4711-123-abc-leckmichamarsch" läßt jeden Brute-Force-Ansatz am langen Arm verhungern.
Wohngebietsuwe 25.08.2019
4.
Dann sollte der Herr Steube das mal auch dem BSI einimpfen, die dafür sorgen, dass in Bundesministerien für Standardsysteme die Passwörter alle 6 Monate und für Zahlungssysteme alle 3 Monate gewechselt werden müssen. Manche Systeme sind dabei so alt, dass das Passwort nur X Zeichen lang sein kann und die eine Ziffer zwingend an Stelle Y stehen muss...
didohaun 25.08.2019
5. ref. Besserwisser
wie dort bereits angesprochen: was ist mit implementierten sperren nach x fehlversuchen? Das müsste doch die »brute force« methode unmöglich machen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.