Mittlerweile habe ich auf so vielen verschiedenen Webseiten einen Benutzeraccount, ich merke oft erst, dass ich bereits registriert bin, wenn mir die Seite mitteilt, dass zu dieser Emailadresse bereits ein Account vorhanden ist. Warum ist es gefährlich für all diese Accounts das gleiche Passwort zu verwenden?
Dieser Artikel beschreibt, wie sichere Passwörter aussehen und warum man nicht das gleiche Passwort für verschidene Accounts verwenden sollte.
Es gibt verschiedenste Varianten, wie eine unbefugte Person, der Einfachheit halber folgend Angreifer oder Hacker genannt, an Ihr Passwort kommen kann. Hier einige der wichtigsten:
Espionage
Die vermutlich einfachste Methode, um an ein Passwort zu gelangen ist, den Benutzer auszuspionieren. Je nachdem wie sicher ein Benutzer mit seinen Passwörtern umgeht, ist es für eine Drittperson relativ einfach an ein Passwort zu gelangen.
Werden vom Administrator zu strenge Passwort Regeln (Password Policy) gewählt, schreiben viele Benutzer ihre Passwörter einfach auf Zettel oder Post-Its und kleben diese dann an den Bildschirm oder legen sie in die oberste Schublade.
Oftmals werden Passwörter auch im Klartext per Email versendet. Eine Drittperson mit Zugriff auf den Netzwerkverkehr oder die Mailbox kann das Passwort mit relativ einfachen mitteln auslesen.
Computer Viren und Keylogger zeichnen das Passwort bei der Eingabe auf und senden es über das Internet zum Angreifer.
Phishing
Beim Phishing versucht ein Angreifer, den Benutzer dazu zu bewegen sein Passwort in eine gefälschte Webseite einzutragen. Gibt der Benutzer das Passwort ein, wird es im Hintergrund an den Angreifer gesendet. Häufig werden Massenemails (SPAM) verwendet, um Benutzer auf die falsche Webseite zu locken.
Beispielsweise bekommt ein Benutzer ein gefälschtes Email, worin er von einem Bekannten aufgefordert wird eine freigegebene Datei zu öffnen. Der Benutzer klickt auf einen Link im Email und wird danach aufgefordert seine Benutzerdaten für einen grossen Internetdienst einzugeben.
Password Guessing
Ein Angreifer rät das Passwort. Viele Anwender verwenden den Benutzernamen, den Namen der Firma, den des Kindes oder des Hundes als Passwort. Solche Passwörter können relativ einfach von einem Angreifer geraten und ausprobiert werden.
Eine andere Form des Password Guessings sieht man immer, wenn man einen Login Dienst wie z.B. SSH oder RDP auf einem Server im Internet laufen lässt. Täglich gibt es zahlreiche Loginversuche auf Benutzernamen wie Bob, John, Smith, Admin und Root. Meistens werden bei diesen Angriffen für jeden Benutzernamen nur ganz wenige, ganz einfache Passwörter ausprobiert. Bei einer grossen Anzahl Systeme können aber auch solche Angriffe oft erfolgreich sein.
Brute Force
Ein Brute Force Angriff auf ein Login bedeutet, dass jedes mögliche Passwort ausprobiert wird. Da bei einem solchen Angriff Abermilliarden von Passwörtern ausprobiert werden, ist es notwendig, dass der Angreifer physischen Zugriff auf das Zielsystem hat, oder eine sehr schnelle Netzwerkverbindung. Viele Systeme und Dienste haben Schutzmechanismen gegen solche Angriffe eingebaut (siehe SSHGuard, Fail2Ban).
Hat der Angreifer Zugriff auf den Hashwert des Passworts, können Rainbow Tables verwendet werden, um den Angriff zu beschleunigen. Verwendet der Hashwert kein Salt, können zudem riesige Hash Datenbanken im Internet verwendet werden.
Mehr dazu in Teil 2.
Dictionary Attack
Ein Dictionary Angriff gleicht einer Brute Force Attacke, es werden jedoch Wörter und Wortkombinationen aus einem Dictionary (Wort- oder Passwortsammlung) verwendet. So wird die Anzahl probierter Passwörter dramatisch reduziert.
Die Sicherheit eines Passworts hat verschiedene Kriterien.
Alter
Je länger ein Passwort verwendet wird, um so unsicherer wird es. Wenn eine Brute Force Attacke auf ein Passwort z.B. 1 Jahr beansprucht, nimmt man durch das Wechseln des Passworts alle 6 Monate dem Angreifer die nötige Zeit das Passwort zu knacken.
Ein sicheres Passwort wird regelmässig geändert.
Anzahl Verwendungen
Wird das gleiche Passwort z.B. für mehrere verschiedene Internetdienste verwendet, ist es möglich, dass bei einem erfolgreichen Angriff auf ein bestimmtes Internetportal der Angreifer zugleich Zugriff auf die anderen Portale erhält.
In der Vergangenheit ist dies bei zahlreichen grossen Plattformen bereits passiert.
Jedes Passwort wird nur einmal verwendet.
Ratbarkeit
Weil Dictionary Attacks und Password Guessing viel schneller sind als Brute Force Angriffe, sollte ein Passwort nicht erraten werden können. Das heisst das Passwort darf in keinem Wörterbuch, auf keiner Landkarte und auf keiner Tasse vorkommen und ist auch kein Geburtsdatum.
Das Ideale Passwort ist einfach zu merken und unmöglich zu erraten.
Komplexität
Je mehr verschiedene Zeichen ein Passwort verwendet, um so länger braucht ein Angreifer, um das Passwort mittels Brute Force zu knacken. Das Ideale Passwort ist möglichst lang und hat viele verschiedene, zufällige Buchstaben. Man spricht in diesem Zusammenhang auch von Passwort Entropy. Mehr dazu in folgendem Wikipedia Artikel: Password Strenght
Wie lange braucht eine Brute Force Attacke auf ein Windows Passwort aus 6 Zeichen des lateinischen Alphabets (26 Buchstaben), alles Kleinbuchstaben?
6 Stellen, 26 Zeichen = 26^6 Kombinationen
26^6 = 191'102'976
Passwort Recovery Programme errechnen auf der GPU einer modernen Grafikkarte abhängig vom verwendeten Hash Algorithmus mehr als 100 Milliarden Hashes pro Sekunde. Ein solches Passwort kann also in einem Bruchteil einer Sekunde ermittelt werden.
Werden zusätzlich Grossbuchstaben und Zahlen verwendet und die Passwortlänge auf 12 Zeichen erweitert, sieht die Rechnung folgendermassen aus:
12 Stellen, 62 Zeichen = 62^12 Kombinationen
62^12 = 3'226'266'762'397'899'821'056
(62^12)(100 * 10^9 * 60 * 60 * 24 * 365) = 1023
Um dieses Passwort zu knacken, würde man also im Idealfall mehr als 1023 Jahre benötigen.
In der Praxis kann aber durch Optimierungen die Gesamtzahl der zu berechnenden Passwortkombinationen eines 12-stelligen Passworts auf 95 Billiarden reduziert werden. So kann ein 12-stelliges Passwort ohne Sonderzeichen auf einem regulären Computer innerhalb von 11 Tagen aufgebrochen werden.
Die Zeit, die eine Brute Force Attacke in Anspruch nimmt, hängt direkt mit der verfügbaren Rechenlesitung zusammen und nimmt daher kontinuierlich ab.
Der folgende Artikel beschreibt, was mit mehreren Grafikkarten zusammen möglich ist: New 25 GPU Monster Devours Passwords In Seconds
Ein sicheres Passwort hat heute mindestens 12 Zeichen, besteht aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Es gibt mehrere Programme und Dienste, die es ermöglichen Passwörter in einer Datei zu speichern und diese dann mit einem Masterpasswort zu verschlüsseln. Damit muss sich der Benutzer seine Passwörter nicht mehr merken können und kann deshalb für jeden Dienst ein langes, kompliziertes und am besten zufälliges Passwort verwenden.
Der Vorteil ist, dass der Benutzer ohne Mühe für jede Webseite und für jeden Dienst ein eigenes Passwort verwenden kann. Sollte jemand aber Zugriff auf das Passwortfile erlangen, erhält er alle Passwörter auf einmal. Trotzdem sind solche Lösungen viel sicherer, als wenn man das gleiche Passwort für viele verschiedene Webseiten verwendet.
Links
Mit dieser Frage beschäftigt sich Teil 2 dieser Serie zum Thema Passwort Sicherheit.