IT-Sicherheit

Gewöhnliche Passwörter sind nutzlos

Kennwörter alten Stils sind keine Hürde für moderne Knackprogramme. Für wirkliche IT-Sicherheit müssen die Unternehmen ihre Kennwortregeln fundamental ändern.

Normale Kennwörter sind unsicher.

Für manche Probleme gibt es bestechend einfache Lösungen. So können Sie zum Beispiel enorm einfach Heizkosten sparen, wenn sie die Heizung ganzjährig ausschalten. Und Schwierigkeiten mit der IT-Sicherheit lassen sich auf sehr elegante Weise lösen, wenn Sie das Kennwort nach der Vergabe direkt wieder vergessen.

Die Alternative zum vergessenen Kennwort: Einfach etwas naheliegendes benutzen, etwa "password" oder "123456". Das ist jetzt kein Scherz mehr, sondern die raue Wirklichkeit der Informationstechnologie. Das Unternehmen SplashData, ein Hersteller von Sicherheitssoftware, hat verschiedene von Hackern veröffentlichte Passwortdatenbanken analysiert.

Beliebte Kennwörter

Das Ergebnis dieser Analyse: Sehr viele Leute benutzen durch schlichtes Erraten leicht herauszufindende Kennwörter. Die 25 beliebtesten: 1) password, 2) 123456, 3) 12345678, 4) qwerty, 5) abc123, 6) monkey, 7) 1234567, 8) letmein, 9) trustno1, 10) dragon, 11) baseball, 12) 111111, 13) iloveyou, 14) master, 15) sunshine, 16) ashley, 17) bailey, 18) passw0rd, 19) shadow, 20) 123123, 21) 654321, 22) superman, 23) qazwsx, 24) michael, 25) football.

Diese ziemlich lustige Liste ist eine Folge der heutzutage noch üblichen Kennwortregeln. Ein sicheres Kennwort ist danach aus mindestens acht zufälligen Klein- und Großbuchstaben, Ziffern und Sonderzeichen. Das erste Problem dieser Regel: Die meisten Menschen können sich so etwas nicht merken. Das zweite Problem dieser Regel: Sie ist falsch.

Zumindest die kürzeren Kennwörter bis neun Zeichen sind extrem unsicher, denn sie sind durch moderne Hardware in Rekordzeit zu knacken. Praktisch jeder mit einem mittleren technischen Verständnis kann sich aus handelsüblichen Bauteilen einen Rechner mit der Spezialaufgabe "Kennwort knacken" bauen und die notwendige Software aus dem Internet herunterladen.

Der Trick dabei ist ganz simpel. Für das schlichte Ausprobieren von möglichst vielen Zeichenkombinationen werden moderne Grafikchips als Rechenknechte genutzt. Sie sind viel stärker auf bestimmte, grundlegende Rechenoperationen ausgerichtet und schaffen somit rekordverdächtig kurze Hackings.

Ein Beispiel: Möglichst zufällige Kennwörter aus neun Zeichen sind sicher, wenn ein Hacker einen normalen Standardcomputer zum Angriff nutzt. In diesem Fall rechnet die Kiste mehr als 40 Jahre an dem Problem herum. Beim Einsatz von Grafikchips sieht die Sache dann schon kriminalitätsfördernder aus: Nun benötigt der Computer weniger als 50 Tage, um das Passwort zu errechnen.

Unsinnige Kennwortregeln

Schließlich lässt sich ein Schluss ziehen: Kennwörter im alten Stil (mindestens acht zufällig gewählte Zeichen) sind unsinnig. Sie erzeugen Scheinsicherheit. Geht man von der bisherigen Hardware-Entwicklung aus, dürften in nicht allzu langer Zeit auch zehnstellige Passwörter keine große Hürde mehr sein.

Vor allem Unternehmen in sicherheitskritischen Bereichen müssten sämtliche bisher geltenden Kennwortregeln durch etwas vollkommen anderes ersetzen: Nämlich durch leicht zu merkende, aber durch ihre Länge sehr schwer zu knackende "Passwortsätze". Das Grundprinzip ist sehr einfach in dieser Grafik beschrieben.

Ein sehr sicheres Kennwort ist eine Folge aus vier zufällig gewählten Wörtern, die zusammen etwa 30-40 Zeichen inklusive der Leerzeichen lang sind. Ein typisches Kennwort dieser Art wäre "Öltanker schwimmen manchmal ultrahocherhitzt", "Grundsätzlich Besprechungen machtbestimmt beenden" oder "Graue Gänse wohltuend durchgebraten".

Solche mehr oder weniger kuriosen Wortfolgen können sich Menschen relativ leicht merken. Mit der daraus folgenden, sehr hohen Zeichenzahl sind Brute-Force-Attacken praktisch unmöglich. Bei den oben beispielhaft genannten Kennwortsätzen dürften selbst hochoptimierte PCs mit mehreren parallel arbeitenden Grafikeinheiten ein paar Jahrunderte herumrechnen.

Doch leider wird die Einführung solcher Kennwortregeln in den Unternehmen nicht zum Nulltarif zu haben sein. Die Software ist nämlich sehr stark auf das alte System ausgerichtet und verlangt nach Kennwörtern mit Sonderzeichen, aber ohne Leerzeichen - lästig für die Anwender, aber einfach für die Hacker.

Bildquelle: Thorben Wengert/pixelio.de

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok