Passwort-Sicherheit: Wer allzu einfache Passwörter wählt

Offenbar fast jeder. Das besonders Grausame daran: Die meisten verwenden ihre läppischen Ziffernfolgen gleich für mehrere Anmeldungen – ein gefundenes Fressen für Identitätsdiebe. Stockfinster wird es, wenn Kriminelle auf diese Weise auch noch ins Netzwerk des Unternehmens kommen.

Dieser Beitrag ist mehr als 12 Jahre alt.
Bild: pn_photo

Ihr Login ist 123456

Von Uli Ries

Und wenn nicht Ihres, dann das Ihres Nachbarn. Wo man auch hinblickt: Die dümmsten Ziffernfolgen sind die beliebtesten. Den besten Beweis lieferten die Hacker, die Ende 2010 in die Passwortdatenbank des US-Tratschblogs Gawker einbrachen. Das Ergebnis: Die Login-Daten – Nutzer müssen sich anmelden, damit sie Kommentare hinterlassen können – so bekannter Blogs wie Gizmodo oder Lifehacker fielen in die Hände der Cyberkriminellen. Insgesamt betreibt Gawker zehn Blogs; und da diese alle auf eine Datenbank zurückgreifen, wurden von der Gnosis genannten Hackertruppe sämtliche Nutzernamen und Passwörter geklaut. Insgesamt knapp 1,25 Mio. Anmeldedaten waren betroffen.

Die komplette Datenbank zirkulierte nach kurzer Zeit schon im Filesharing-Netzwerk BitTorrent, so dass sie im Prinzip für jedermann zugänglich war. Zwar waren alle Passwörter verschlüsselt, doch das Knacken der Kennwörter ist schnell geschehen, wenn sie nicht komplex genug sind. Jede Menge Hobbyknacker machten sich also nach dem Herunterladen der Datei per Brute Force ans Codebrechen.

Spitzenreiter der Schlimmstenliste

Das Wall Street Journal trug dann wenig später die 50 häufigsten Passwörter aus den diversen öffentlich gemachten Knackversuchen zusammen. Das Ergebnis ist ernüchternd: Auf Platz 1 der am häufigsten verwendeten Kennwörter rangiert „123456“, Platz 2 nimmt „password“ ein, gefolgt von „12345678“.

Natürlich tauchen in der Liste des Passwortgrauens vor allem die simplen Kennwörter auf, da diese besonders leicht zu knacken waren. Es wäre aber illusorisch, anzunehmen, dass der Großteil der Einlasscodes besonders komplex sei und deshalb nur ein kleiner Teil der Datenbank dechiffriert worden wäre.

Gawker hack.jpg
Der Gawker-Hack brachte es an den Tag: Die läp­pisch­sten Pass­wörter sind die be­liebtesten.

Das alte Dilemma

Die Top-50-Liste macht deutlich, für wie unwichtig komplexe Kennwörter offenbar immer noch gehalten werden. Zugegeben, angesichts der zahlreichen Online-Dienste, für die ein Passwort notwendig ist, erscheint es nachvollziehbar, dass Anwender es sich möglichst leicht machen. Dazu kommt, dass viele Menschen mit kryptischen Kennungen im Stil von „T3*%v_@&M“ nicht zurechtkommen. Dennoch dürfen Anwender im Privat- und Firmenumfeld nicht allzu leichtfertig mit ihren Anmeldedaten umgehen – zumal zu befürchten ist, dass viele Internet-Surfer die gleiche Kombination aus E-Mail und Passwort wahrscheinlich bei mehreren Diensten oder gar im Unternehmensumfeld verwenden.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Vor allem Unternehmen sollten sich klar machen, wie wichtig der Schutz der Zugangsdaten ist – schließlich nützen die stärksten Sicherheitsvorkehrungen nichts, wenn ein Angreifer sich mit einem legalem Account und einem schwachen Kennwort Zugang verschafft.

Brachialrechner für Knacker

Verschärft wird die Problematik durch das Voranschreiten der Technik: War die Rechenleistung vor einigen Jahren noch weit davon entfernt, längere Passwörter per Brute Force schnell zu knacken, erledigen aktuelle Tools und Systeme diese Aufgaben deutlich schneller. Nicht genug, dass Prozessoren mit mehreren Rechenkernen durch darauf optimierte Passwortknacker ausgereizt werden und so rasend schnell alle möglichen Kombinationen durchprobieren können.

Hinzu kommt, dass die Tools inzwischen auch auf die Rechenkraft von Grafikkarten (GPUs) zurück greifen können. GPUs sind hierfür ideal, da sie parallele Rechenaufgaben, mit denen sich Passwörter gut knacken lassen, besonders effizient abarbeiten können.

Noch schneller kommen Angreifer ans Ziel, wenn das Passwort in einem Wörterbuch – ganz gleich, welcher Sprache – zu finden ist. Denn Dictionary-Attacken führen in der Regel noch flotter ans Ziel als reine Brute-Force-Angriffe.

Und auch im Umfeld der Passwortknacker erweist sich Cloud Computing als Gewinn: Schon 2009 demonstrierte ein IT-Sicherheitsforscher, dass sich Amazons Cloud-Dienst auch zum rasanten Knacken von Kennwörtern nutzen lässt. Ein Hacker bietet übrigens sogar einen kostenpflichtigen Dienst – wahrscheinlich ebenfalls auf Grundlage auf Amazon-Technik – um WPA-Schlüssel von Wireless LANs zu brechen.

Automatisch aus dem Tresorspeicher

Mildern lässt sich die Problematik z.B. durch die Passwortspeicher, die alle modernen Browser an Bord haben. Einmal im Browser hinterlegt ist es egal, wie komplex das Passwort ist und wie viele verschiedene Kennungen ein Anwender in Gebrauch hat. Unabhängig vom Webbrowser gibt es eigenständige Passwort-Speicheranwendungen, die sich teilweise auch mit mobilen Geräten wie Smartphones abgleichen können.

Ein Gratistool zur Passwortverwaltung ist z.B. die Open-Source-Anwendung KeePass. Das Hilfsmittel lässt sich über Plugins erweitern, etwa um ein On-Screen-Keyboard oder einen Passwortgenerator. Die Software ist kompatibel zur Installation auf USB-Sticks, so dass sie auch an fremden Rechnern die eigenen Passwörter immer bereitstellen kann. Alternativ dazu kann der Anwender die Passwortdatenbank auch über Online-Dienste wie Dropbox oder Live-Mesh auf verschiedenen Systemen verfügbar machen.

Eine andere Alternative für Nutzer mit verschiedenen Rechnern ist die kostenpflichtige Premium-Version von LastPass. Diese gleicht die gespeicherten Kennwörter zwischen verschiedenen Computern ab. Der Clou daran: Die Software ist nicht nur kompatibel zu Windows, sondern auch zu Mac OS X und mobilen Betriebssystemen wie Windows Phone, Google Android oder Apple iOS.

Begrüßung im ganzen Satz

Ideal für Unternehmen ist die Lösung von Psylock. Denn diese Technik macht ein klassisches Passwort überflüssig. Das von dem in Regensburg ansässigen Unternehmen entwickelte Login-Verfahren baut auf Biometrie – aber nicht auf den sonst üblichen Scan eines Fingerabdrucks, sondern auf das Tippverhalten: Psylock erkennt den Anwender daran, wie lange er eine Taste herunterdrückt, wie fingerfertig er (oder sie) beim Finden der Tasten ist oder in welchem Rhythmus die Tasten betätigt werden.

Damit das System ausreichend Futter für die Analyse bekommt, muss der Nutzer einen ganzen Satz eingeben. Der Inhalt des Satzes ist hierbei – anders als bei einem herkömmlichen Kennwort – nebensächlich, da lediglich das Tippprofil geprüft wird. Der einzugebende Satz kann also auch von der jeweiligen Anwendung – etwa einer Web-Applikation – vorgegeben und im Login-Fenster angezeigt werden.

Auf diese Weise ist das klassische Hauptproblem – das vergessene Passwort – abgehakt. Basis des Tippprofils ist jedoch ein vorheriges Training: Der Nutzer tippt einen vorgegebenen Satz neunmal ab (Schreibfehler müssen nicht korrigiert werden, sie gehören zum Profil). Später gleicht das System dann das Tippverhalten beim Schreiben eines beliebigen anderen Satzes mit den hinterlegten Daten ab.

Die Idee hinter Psylock ist bemerkenswert und insbesondere im Unternehmensumfeld nützlich. Denn sehr wahrscheinlich lassen sich ordentlich IT-Support-Kosten einsparen, durch den Entfall von Mannstunden, die sonst für das Wiederherstellen von vergessenen Kennwörtern aufgewendet werden müssten. Unterm Strich dürfte Psylock auch mehr Sicherheit bieten als die herkömmliche Kombination aus Nutzernamen und Passwort, nicht zuletzt deshalb, weil kein Anwender mehr ein beliebig simples Kennwort wählen kann. Für noch mehr Sicherheit lässt sich die Tippbiometrie auch mit einem weiteren Faktor wie einem Token oder einem Zertifikat kombinieren.

Fazit: Virtuell weigert sich

Psylock funktioniert nicht nur mit Web-Anwendungen, sondern integriert sich auf Wunsch auch in Windows XP und ersetzt in diesem Fall die systemeigene GINA (Graphical Identification and Authentication). GINA ist die Windows-Komponente, die nach Druck von [Strg], [Alt] und [Ent] das Fenster zur Eingabe von Benutzernamen und Passwort anzeigt und die eingegebenen Daten verarbeitet. Varianten der Software, die kompatibel sind zu Windows Vista und vor allem zu Windows 7 sollen laut Psylock in Zukunft bereit stehen.

Einen Weg wird Psylock aber niemals gehen können: Mit Bildschirmtastaturen wie der des Apple iPad oder den von Smartphones kommt die Lösung nicht zurecht. Denn hier gibt es keinen Tastenhub – und somit kann die Software auch die Dauer des Tastendrucks nicht erfassen.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links