Ein starkes Passwort wird mittlerweile nicht mehr nur von IT-Sicherheitsspezialisten gefordert. Aber, die Anforderungen an Passwörter haben sich seit 2017 gegenüber den altbekannten Regeln verändert. Das National Institute of Standards and Technology (NIST) in den USA hat soeben neue Regeln für Passwörter veröffentlicht.

Demnach sollen Passwörter heute vor allem vor der Verwendung mit bekannten Passwortlisten abgeglichen werden, sollten möglichst lang aber nicht mit Wörter aus dem Wörterbuch oder aus den Passwortlisten bestückt sein. Gemäss den altbekannten Anforderungen an Passwörtern sollte man sein Passwort regelmässig wechseln. Dies ist nach Aussage des NIST nicht erforderlich, solange das Passwort nicht kompromittiert wurde. Ein Passwort gilt heute als sicher, wenn es nicht in den sogenannten Passwortlisten vorkommt.

So überprüfe ich mein Passwort

Passwörter können auf verschiedenen Portalen auf ihre Stärke überprüft werden, Geben Sie beispielsweise auf passwortcheck.ch das Passwort «juduHu27.» ein. Sie erhalten dabei eine Rechenzeit von einem Tag als Resultat. Was sind dies für Zeiten? Wann sind diese Zeiten relevant? Auf diese Fragen findet man selten eine Antwort.

Die Bedeutung der Rechenzeit von Passwort-Check-Portalen

In der Regel werden Passwörter im Authentisierungssystem (Login auf Web-Services, Active Directory usw.) nicht im Klartext gespeichert, sondern es wird der Hashwert des Passwortes gespeichert. Ein Hashwert ist das Resultat einer mathematischen Einweg-Funktion. Bei einer Einwegfunktion kann das Resultat (der Hashwert) effizient berechnet werden. Wenn ich aber den Hashwert kenne, gibt es keinen effizienten Weg, den Eingangswert der Funktion (eben das Passwort) zu berechnen.

Die einzige Möglichkeit ist eine Bruteforce-Attacke, bei der von allen möglichen Passwörtern der Hashwert berechnet wird. Falls der Hashwert zufällig übereinstimmt, dann hat man das Passwort gefunden. Die angegebene Zeit auf den Passwortcheck-Webseiten entspricht der Zeit in der ein üblicher Rechner mit einem guten Hacking-Programm mit grosser Wahrscheinlichkeit das Passwort mittels einer Bruteforce-Attacke finden kann.

Wie kommt nun ein Hacker an den Hashwert eines Passwortes?

Das scheint auf dem ersten Blick gar nicht einfach zu sein, da die meisten Betriebssysteme die Hashwerte sehr gut schützen und bei modernen Authentisierungsprotokollen der Hashwert des Passworts nicht mehr über das Netzwerk übertragen wird. Es gibt aber einige Möglichkeiten für Angreifer an den Hashwert der Passwörter zu kommen:

Mittels manipulierten Netzwerk-Paketen wird dem Betriebssystem vorgegaukelt, dass der Kommunikationspartner die modernen Authentisierungsprotokolle nicht unterstützt. Vielfach schaltet dann das Betriebssystem automatisch auf alte, unsichere Authentisierungsprotokolle um, bei denen der Hashwert des Passwortes über das Netzwerk übertragen wird.

Sehr viele Cloud-Provider und Webseiten wurden in den letzten Jahren gehackt. Schauen sie unter haveibeenpwned.com nach, ob ihr Passwort darunter ist. Sie sehen auch über welche Web-Dienste und zu welchem Zeitpunkt ihr Passwort bekannt wurde. Diese Listen mit vielen Usernamen und Passwörtern werden auf dem Internet (Darknet) gegen recht hohe Preise angeboten. Falls Services mit ihrem Passwort gehackt wurden und Sie das Passwort seit dem Zeitpunkt des Angriffes nicht geändert habe, ändern Sie das Passwort sofort.

Bei vielen Angriffen auf das Passwort wird direkt das Klartext-Passwort ermittelt. Dann muss das Passwort gar nicht zuerst gehackt werden, sondern kann direkt verwendet werden. Auf dem Internet (Darknet) sind auch viele Listen gegen Bezahlung erhältlich bei denen dem Benutzernamen (Mail-Adresse) gleich das funktionierende Klartext-Passwort zugeordnet ist. Es gibt viele Methoden, wie man an das Klartext-Passwort kommt:

  • Phishing-Attacken funktionieren bei allen Firmen. Der Anwender wird auf eine fremde Webseite geführt (Dazu werden beispielsweise Wettbewerbe oder Vergünstigungen versprochen). Auf der fremden Webseite muss sich der Anwender scheinbar anmelden (Username/Passwort). Der Angreifer hat dann einen Username und das zugehörige Passwort. Die Erfahrung zeigt, dass bei einer gut konzipierten Phishing-Attacke über 50% der Mitarbeitenden die internen Benutzernamen/Passwörter bekannt geben.
  • Man beobachtet oder filmt einen Benutzer bei der Eingabe des Passwortes.
  • Viele Benutzer schreiben die Passwörter auf und «verstecken» die Notiz in der Nähe des Computers bzw. der Tastatur.
  • Passwörter werden vielfach bei mobilen Betriebssystemen z.B. Auf dem Smartphone hinterlegt und können durch Apps ausgelesen werden.
  • Sehr häufig verwendet man auf mehreren Webseiten das gleiche Passwort. Wenn eine Webseite gehackt wird, sind die Passwörter für die anderen Webseiten bekannt.

So kommen Hacker an Ihr Passwort

Hacker nutzen heute überwiegend gute Hacking-Programm um an Passwörter zu gelangen. Diese Programme versuchen nicht einfach alle Möglichkeiten durchzuprobieren, sondern sie nutzen alle möglichen «Tricks» der Passwort-Anwender und versuchen damit viel schneller zum gewünschten Resultat zu kommen als bei einem systematischen Durchprobieren.

Wir haben für Sie in diesem Blogpost die Tricks der sogenannten Hacking-Programme aufgelistet:

  1. Ein Teil des Passwortes ist in einem Wörterbuch zu finden. Viele Passwort-Anwender nutzen im Passwort Wörter, die man auch in einem Wörterbuch findet. Das Hacking-Programm reichert die Wörterbucheinträge vor allem mit Zahlen vor, und Zahlen nach dem Passwort oder auch mit Sonderzeichen an.
  2. Ein Teil der Buchstaben oder Zahlen werden durch ähnliche Zeichen ersetzt, d.h. aus «i» wird ‘l’, aus «s» wird «3», aus «I» wird «!». Es gibt riesige Listen im Internet, was so Nutzer typischerweise versuchen bzw. in der Vergangenheit durchgeführt haben.
  3. Es werden Listen von bereits verwendeten Passwörtern verwendet. Im Internet findet man Listen von weit über 1’000’000’000 üblichen Passwörtern. Mit einer Wahrscheinlichkeit von weit über 95% ist in diesen Listen auch ein als sicher taxiertes Passwort zu finden.
  4. Passwort-Cracker arbeiten teilweise mit Rainbow Tables. Rainbow-Tables sind riesige, extrem stark komprimierte Tabellen, bei denen die Hashwerte von potentiellen Passwörtern vorberechnet werden. Teilweise wird seit Jahren an diesen Rainbow-Tables gerechnet. Wenn ein Hashwert in diese Tabellen vorhanden ist, wird das Passwort in kurzer Zeit (wenigen Minuten) gefunden. Die Rainbow-Tables werden auf dem Internet gegen entsprechende Bezahlung angeboten.

Es gibt immer mehr «Tricks», die die Passwort-Cracker kennen. Damit wird es immer schwieriger, ein wirklich sicheres Passwort zu finden.

Die empfohlenen Massnahmen (siehe ebankingabersicher.ch ) können weiterhelfen. Meistens sind aber die Angreifer cleverer als der Normalbenutzer.

Fazit, ein auch gutes Passwort ist heute nicht mehr absolut sicher. Wirklich sicher ist eine Firma nur, wenn alternative Authentisierungsmethoden (Biometrie siehe Blogartikel, Zweifaktor-Authentisierung, Smartcards usw.) verwendet werden.

Empfohlene Artikel:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

  • Schön und gut, doch was soll ich jetzt als Laie genau tun, wenn Passwörter unsicher sind? Das Fazit von Roland Portmann lautet: «Wirklich sicher ist eine Firma nur, wenn alternative Authentisierungsmethoden (Biometrie siehe Blogartikel, Zweifaktor-Authentisierung, Smartcards usw.) verwendet werden.» Also lese ich den empfohlenen Blogartikel. Dieser ist allerdings ebenso ernüchternd, dort heisst es nämlich: «Biometrische Merkmale haben einige gravierende Schwächen und sind in vielen Fällen sehr viel weniger sicher als ein gut gewähltes Passwort.» Also eine Smartcard einsetzen? Doch, wie andernorts (Heise) festgestellt wird: «Wer Smartcards für die Authentifizierung verwendet, wiegt sich in Sicherheit – in Windows-Umgebungen allerdings oft zu Unrecht.» Was also tun? Die meisten Laien werden alles so lassen, wie es ist, denn «meistens sind die Angreifer cleverer als der Normalbenutzer», wie Roland Portmann zugibt.

    • Hr. Stalder bemerkt, dass im Blog über Biometrie von verschiedenen Problemen bei der Biometrie gesprochen wird. Tatsächlich gibt es einige grundlegende Probleme bei biometrischer Authentisierung. Einerseits kann ich meine biometrischen Eigenschaften nicht ändern, wie dies bei anderen Authentisierungsverfahren möglich ist. Je nach verwendeter Methode kann eine biometrische Authentisierung auch überlistet werden (z.B. Gesichtserkennung mit Foto, mit reproduziertem Fingerabdruck). In einem Video von CCC wird gezeigt, wie ein Fingerabdruck einfach geklont werden kann. Eigene Versuche zeigten, dass dies tatsächlich funktioniert. Man muss sich aber bewusst sein, dass es ziemlich aufwändig ist, einen Fingerabdruck zu fälschen. Ein Passwort zu ergattern und zu hacken ist massiv einfacher und kann problemlos auch aus der Ferne gemacht werden. Die meisten Massnahmen für eine erhöhte Passwortsicherheit erachte ich als Pseudomassnahmen (man macht etwas gegen ein Problem, ist dann zufrieden, hat aber das Problem nicht grundsätzlich gelöst). In vielen Fällen ist aber eine biometrische Authentisierung sicherer und bequemer als eine Passwort-Authentisierung. Insbesondere muss man sich bewusst sein, dass es hier Fortschritte gibt (z.B. 3D Gesichtserkennung, die mit einem Foto nicht mehr überlistet werden kann). Am sichersten dürften heute die Multifaktor-Authentisierungen sein, die in vielen Firmen eingesetzt werden. In letzter Zeit wurden aber auch Attacken bekannt, die einige Multifaktorauthentisierungen überlisten. Es ist leider so, dass man nie absolut sicher ist. Man muss aber versuchen die Attack-Oberfläche zu reduzieren. Damit kann die Sicherheit erhöht werden.