Könnte Ihr Passwort in 60 Sekunden geknackt werden?

Wenn Ihr Passwort 7 Zeichen lang ist und eine Mischung aus Zahlen mit Groß- und Kleinbuchstaben verwendet, lautet die Antwort JA(1). Dies basiert auf Analysen, die vor August 2019 durchgeführt wurden. Daher ist die Situation heute wahrscheinlich noch schlimmer, da die Rechenleistung in den Händen von Cyberkriminellen weiter zunimmt. Passwörter werden seit den frühesten Tagen der Computertechnik mit Computern verwendet. Das 1961 am MIT eingeführte CTSS-Betriebssystem war der erste aufgezeichnete Computer, der eine Passwortanmeldung implementierte. Ebenso entwickeln sich seit vielen Jahrzehnten Tools zum Knacken von Passwörtern.

Hier werden wir uns ansehen, warum einige „Best Practices“ für Kennwörter tatsächlich der Informationssicherheit abträglich sind, und einige Methoden zum Erstellen starker Kennwörter vorschlagen, die leicht zu merken, aber schwer zu erraten sind.

Passwortverwaltung: typischerweise eine schmerzhafte Notwendigkeit

Es ist kein Geheimnis; Passwörter sind eine Qual für alle. Sie verursachen Frustration bei Mitarbeitern, Kunden und den Supportmitarbeitern, die sie verwalten müssen. Wer kann sich an die 11-stellige Kombination aus Buchstaben, Symbolen und Ziffern erinnern, die starke Passwörter vorschreiben, geschweige denn sie in erster Linie erfinden? Wenn ein Passwort verloren geht oder gestohlen wird, was häufig der Fall ist, belastet dies den Support-Desk. Laut Gartner Group werden 20-50% der Support-Anrufe für das Zurücksetzen von Passwörtern verwendet, wobei laut Forester Research durchschnittliche Kosten für die Organisation von 70 US-Dollar pro Anruf entstehen.

Hacker haben eine breite Palette von Tools entwickelt, um Ihre persönlichen Daten zu infiltrieren. Das Haupthindernis dafür, dass Ihre Informationen sicher bleiben oder nach außen dringen, ist das von Ihnen gewählte Passwort. Ironischerweise ist der beste Schutz der Menschen normalerweise der, den sie am wenigsten ernst nehmen.

Aus der Sicht des Passwortknackens verbessert die Passwortkomplexität sicherlich die Passwortstärke, wie in dem unten reproduzierten Diagramm von Hive Systems zu sehen ist, aber das Durchsetzen von "starken" Passwortregeln für Benutzer, die schwer zu merken sind, kann die Sicherheit eines Systems auf folgende Weise verringern:

  • Benutzer müssen das Passwort möglicherweise aufschreiben oder elektronisch speichern, indem Sie eine unsichere Methode verwenden
  • Benutzer benötigen häufigere Passwort-Resets
  • Es ist wahrscheinlicher, dass Benutzer dasselbe Passwort wiederverwenden
  • Ebenso erhöhen strenge Anforderungen an die Passwortstärke, wie z. B. „Groß- und Kleinbuchstaben mit Ziffern mischen“ oder „monatliche Passwortänderung“, das Ausmaß, in dem Benutzer versuchen, das System zu untergraben (2).

Benutzer aufzufordern, sich ein Passwort zu merken, das aus einer Mischung aus Groß- und Kleinbuchstaben besteht, ist, als würde man sie bitten, sich an eine Folge von Bits zu erinnern: schwer zu merken und nur etwas schwerer zu knacken (nur 128-mal schwerer zu knacken für Passwörter mit 7 Buchstaben, weniger wenn der Benutzer nur einen der Buchstaben groß schreibt). Wenn Benutzer aufgefordert werden, sowohl Buchstaben, Ziffern als auch Symbole zu verwenden, führt dies häufig zu leicht zu erratenden Ersetzungen wie '3' anstelle von 'E', '1' anstelle von 'l' und '@' anstelle von 'A '. All dies ist Hackern bekannt. Ähnlich ist es, das Passwort eine Tastaturzeile höher einzugeben, ein weiterer allgemein bekannter Trick.

Bild zeigt die Zeit, die ein Hacker benötigt, um Ihr Passwort per Brute Force zu erzwingen
Leicht zu merken, aber schwer zu erraten

Benutzer wählen selten Passwörter, die leicht zu merken, aber schwer zu erraten sind. Eine Studie aus dem Jahr 2004 mit dem Titel „Die Einprägsamkeit und Sicherheit von Passwörtern“ (3)” um herauszufinden, wie Benutzern bei der Auswahl guter Passwörter geholfen werden kann, führten die Autoren einen kontrollierten Versuch durch, die Auswirkungen verschiedener Ratschläge für Benutzer zu untersuchen. Einige ihrer Ergebnisse stellten die etablierte Weisheit in Frage.

Sie fanden heraus, dass Passwörter, die darauf basieren, sich einen Satz zu überlegen und den ersten Buchstaben jedes Wortes zu nehmen, genauso einprägsam sind wie naiv ausgewählte Passwörter und genauso schwer zu knacken wie zufällig generierte Passwörter. Das Kombinieren von zwei nicht zusammenhängenden Wörtern ist eine weitere gute Methode. Ein persönlich entworfener „Algorithmus“ zum Generieren obskurer Passwörter kann leicht auf diesen Beispielen aufbauen. Eine Möglichkeit, einen einfach zu verwendenden Algorithmus zu erstellen, könnte darin bestehen, das nicht verwandte Wortbeispiel zu verwenden, aber jedes Wort durch eine Auswahl von Symbolen zu trennen. Drei zufällige Wörter mit drei verschiedenen Symbolen könnten sicherlich ein starkes Passwort erzeugen, wobei der Benutzer nur 6 Passwortelemente zu merken hat.

Neuere Untersuchungen, die im April 2015 von mehreren Professoren der Carnegie Mellon University durchgeführt wurden, haben ergeben, dass die Wahl der Passwortstruktur oft mehreren bekannten Mustern folgt. Dadurch können Passwörter viel leichter geknackt werden, als es die mathematischen Wahrscheinlichkeiten, wie in der hier beiliegenden Grafik, sonst vermuten lassen würden. Passwörter, die beispielsweise eine Ziffer enthalten, enthalten diese überproportional am Ende des Passworts (4).

Wie werden Passwörter kompromittiert

Passwörter stellen wertvolle Unternehmenswerte dar, die von Cyberkriminellen angegriffen werden können. Passwörter können unterwegs kompromittiert werden, wenn sie Netzwerke durchqueren, aber im statischen Zustand sind sie als sitzende Ziele anfälliger, da sie in Datenbanken und Backup-Dateien gespeichert sind, die leicht gefunden und gehackt werden können. In einigen Fällen werden Kennwörter von Kollegen geteilt und in mehreren Anwendungen wiederverwendet, was sie zu leichten Zielen für Malware, Phishing-Angriffe und andere Techniken zum Diebstahl von Anmeldeinformationen macht.

Eine der einfachsten Möglichkeiten für Hacker, an Ihre Informationen zu gelangen, ist ein Brute-Force-Angriff. Dies wird erreicht, wenn ein Hacker eine speziell geschriebene Software verwendet, um systematisch alle möglichen Passwörter und Passphrasen zu überprüfen, bis das richtige gefunden wird, das Ihren Anmeldeinformationen entspricht. Andere Cracking-Techniken, die Sie vielleicht hören, sind Wörterbuchangriffe, Lookup-Tabellen, Reverse-Lookup-Tabellen und Rainbow-Tabellen. Kostenlose Tools zum Knacken von Passwörtern können leicht über jede Internetsuche abgerufen werden. Gehen Sie also nicht davon aus, dass es sich nur um ausgeklügelte cyberkriminelle Banden handelt.

Wenn Passwörter entweder einzeln oder als Teil einer Unternehmensdatenbank gestohlen werden, werden sie normalerweise online geteilt und im Dark Web zum Verkauf angeboten. Cyberkriminelle kaufen diese Listen und verwenden automatisierte Credential-Stuffing-Angriffe, die die Kombinationen von Benutzername und Passwort durchlaufen, bis eine Übereinstimmung für das Online-Konto gefunden wird, in das sie einzubrechen versuchen. Dies kann ein Online-Shop sein, in dem versucht wird, Waren über Ihre gespeicherten Zahlungsmethoden zu kaufen oder im schlimmsten Fall auf Ihre Konten bei einem Finanzinstitut zuzugreifen, um Geld zu überweisen. Sobald Hacker Zugang zu einem Online-Konto erhalten haben, können ihnen natürlich viel mehr personenbezogene Daten (PII) zur Verfügung stehen, was den Weg für einen umfassenderen Identitätsdiebstahl ebnet.

Bildung und Verschlüsselung sind deine besten Waffen

So oft ist die Cybersicherheitsschulung die mächtigste Waffe, die jedes Unternehmen einsetzen kann, um seine Systeme sicher und vertrauliche Informationen aus den Händen von Cyberkriminellen zu halten. Selbst die einfachen Tipps zur Passwortverwaltung hier können einen großen Unterschied machen. Eine weitere Aktion, die wir immer fördern, ist die Verschlüsselung sensibler Daten und insbesondere von Backup-Dateien, die nicht nur Ihre Lebensader im Katastrophenfall sind, sondern auch Ziel von Data Mining von Kriminellen sind, die nach Passworttabellen oder anderen Formen von PII suchen . Schützen Sie Ihre Backup-Volumes außerdem immer mit einer Unveränderlichkeitsfunktion wie Blocky for Veeam®, um sicherzustellen, dass Bedrohungsakteure Ihre wichtigen Dateien nicht verschlüsseln können.

Bei Fragen wenden Sie sich bitte über unser Kontaktformular an uns, das Blocky-Team steht Ihnen jederzeit gerne zur Verfügung.

(1). Daten von HowSecureismyPassword.net online bezogen: https://www.hivesystems.io/blog/are-your-passwords-in-the-green?

(2). Verwalten der Netzwerksicherheit. Fred Cohen & Associates. Alle.net. Abgerufen am 31. Januar 2013 online: https://web.archive.org/web/20110126220702/http://all.net/journal/netsec/1997-09.html

(3). Yan, J.; Blackwell, A.; Anderson, R.; Grant, A. (2004). „Kennwortspeicherbarkeit und Sicherheit: Empirische Ergebnisse“ (PDF). IEEE Security & Privacy Magazine online: https://ieeexplore.ieee.org/document/1341406

(4). Steinberg, Joseph (21. April 2015). „Neue Technologie knackt ‚starke‘ Passwörter – Was Sie online wissen müssen: https://www.forbes.com/sites/josephsteinberg/2015/04/21/new-technology-cracks-long-complex-passwords-what-you-need-to-know/?sh=1f430ed162df