Der Diebstahl von Passwörtern kommt in der Praxis leider häufiger vor als man denkt. So wurden in der Vergangenheit bspw. 6 Millionen Passwörter des sozialen Netzwerkes LinkedIn, 1,5 Millionen Passwörter der Dating-Webseite eHarmony und 2,5 Millionen Passwörter der Musik-Community Last.fm von Unbefugten abgegriffen.
Klartextpasswort:
Besonders schlecht für den Nutzer ist es dann, wenn der Portalanbieter das Passwort im Klartext speichert. Datendiebe können dann sehr schnell und einfach die Accounts des Nutzers übernehmen.
Passwort-Hashes:
Aus diesem Grund speichern viele Anbieter von Onlineportalen die Passwörter mittlerweile nicht mehr im Klartext, sondern als sogenannte Hashwerte. Ein solcher Hashwert ist, vereinfacht gesagt, der veränderte Klartext eines Passwortes. Um den Hashwert zu bilden wird mit Hilfe eines mathematischen Verfahrens der Klartext des Passwortes umgerechnet bzw. umgebildet. Aus dem Passwort „Trg65′;klio“ wird unter Verwendung des sog. SHA1- Verfahrens bspw. der Hashwert 4d9ccb86ab6523bde5f8c30882025fff874b07a6.
Das mathematische Verfahren ist dabei so gestaltet, dass ein Zurückrechnen des Hashwertes so gut wie ausgeschlossen ist. Man spricht daher von einer Einweg-Funktion:
Wer bspw. das Passwort „Trg65′;klio“ kennt, kann immer den Hashwert 4d9ccb86ab6523bde5f8c30882025fff874b07a6 berechnen. Wer allerdings nur den Hashwert 4d9ccb86ab6523bde5f8c30882025fff874b07a6 kennt kann nicht das Passwort „Trg65′;klio“ berechnen. Bei dem mathematischen Verfahren handelt es sich also um eine Einbahnstraße.
Es sollte daher eigentlich relativ schwierig sein, vom Hashwert aus auf das Klartextpasswort zu kommen. In der Praxis ist dies aber leider nicht immer so, da es durchaus einige „Tricks“ gibt.
Die gängigsten Tricks:
Brute Force:
Wer das mathematische Verfahren kennt – es gibt einige Standardverfahren- und den Hashwert besitzt, kann jetzt versuchen, das Passwort zu erraten. Hierzu werden alle möglichen Klartext-Zeichenkombinationen mit dem mathematischen Verfahren in Hashwerte umgerechnet. Immer dann, wenn bei dieser Berechnung ein Hashwert herauskommt, den man in seiner Liste mit gestohlenen Hashwerten wiederfindet, kennt man das Klartextpasswort!
Gerade kurze und wenig komplexe Passwörter sind für diese Methode anfällig. Passwörter, die bspw. nur aus 6 Ziffern bestehen, sind in Sekundenschnelle geknackt. Bei komplexen Passwörtern dauert die Brute Force Methode in der Regel sehr lange und erfordert eine ungeheure Rechenleistung. Der Angriff steht damit in der Regel nicht mehr im Verhältnis zum Nutzen.
Rainbow Tables:
Allerdings gibt es für die gängigen mathematischen Verfahren sogenannte Rainbow Tables. Hierbei handelt es sich um vorberechnete Ergebnistabellen, die dazu führen, dass bekannte Hashwertverfahren leichter zu knacken sind. Die nötige Rechenleistung wurde hier also schon einmal aufgewendet und für die Erstellung der Tabellen benutzt. Diese Tabellen sind frei im Internet verfügbar. In der Praxis führt dies dazu, dass auch sichere Hashwertverfahren immer unsicherer werden. Online-Portalanbieter sind daher in der Regel dazu übergegangen, Zufallszahlen, sogenannte „salts“ zu verwenden. Diese erschweren den Einsatz von Rainbow Tabels. Jedes Passwort wird vor der Anwendung des Hash-Verfahrens mit einem Zufallswert verknüpft. Wenn also zwei Benutzer dasselbe Passwort verwenden, entsteht durch die Nutzung des „salts“ dennoch ein unterschiedlicher Hashwert. Damit ist es nicht möglich den Hashwert in einer Rainbow Table zu suchen, weil bei der Erstellung der Tabelle der jeweilige Hashwert unbekannt war. Auch führt die Nutzung von „salts“ dazu, dass die effektive Passwortlänge größer wird, wodurch auch ein Brute Force Angriff erschwert wird. Der Angreifer muss nicht nur das z.B. 8 Zeichen lange Passwort erraten, sondern dass mit einem Zufallswert verlängerte Passwort. Nutzt ein Portalanbieter diese „salts“ nicht, sind die Passwörter nicht sicher gehasht und Datendiebe haben leichtes Spiel.
Wörterbuchpasswörter:
Da viele Nutzer ähnliche Passwörter nutzen, wird vor der Brute Force Methode versucht, diese bekannten Passwörter herauszufinden. Hierzu werden Listen mit bekannten Passwörtern durchgegangen und ganze Wörterbücher ausprobiert. Passwörter wie „test123456789“ oder „Europameisterschaft“ werden daher ebenfalls sehr schnell herausgefunden werden.
Was ist also zu beachten?
1.) Wenn eine Onlineplattform, die Sie nutzen, gehackt wird, ändern Sie unverzüglich Ihr Passwort!
2.) Nutzen Sie dasselbe Passwort nicht mehrmals! Man weiß nie, wie der Portalbetreiber die Passwörter speichert. Schlimmstenfalls passiert dies im Klartext. Wer nun an dieses Passwort gelangt, und Ihren Nutzernamen bzw. Ihre E-Mail kennt, wird probieren, hiermit bei möglichst vielen bekannten Portalen Zugang zu erlangen.
3.) Nutzen Sie sichere Passwörter. Bei der Qualität von Passwörtern sollte nicht der Bequemlichkeitsaspekt im Vordergrund stehen, sondern der Schutz des Accounts. Ein einfaches, nur aus Kleinbuchstaben bestehendes vierstelliges Passwort ist leichter zurückzurechnen, als ein komplexes 12stelliges. Letzteres ist zwar schwerer zu merken. Hier helfen jedoch Eselsbrücken oder deren Dokumentation und deren sichere Verwahrung. Bei der Wahl eines Passwortes sollten folgende Kriterien berücksichtigt werden:
- Je länger, je besser: Das Passwort sollte so lang wie möglich sein, mindestens jedoch acht Zeichen besitzen.
- Je komplexer, je besser: Das Passwort sollte, aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen (durch die zusätzlichen Kombinationsmöglichkeiten ist eine Rückrechnung wesentlich erschwert).
- Das Passwort sollte regelmäßig geändert werden.
Ein sicheres Passwort kann sich gut mit einer Eselsbrücke gemerkt werden. Bilden Sie einen komplexen Satz und nehmen Sie die Anfangsbuchstaben als die Zeichen für Ihr Passwort.
Bei der EM 2012 in Polen & der Ukraine spielen viele Mannschaften um die europäische Fussballkrone!
Dieser Satz ergibt das Passwort: „BdEM2012iP&dUsvMudeF!“, ohne die Eselsbrücke zweifelsfrei nicht zu merken. Der Passwort-Hash, der sich aus diesem Passwort ergibt, ist aufgrund dessen Länge und Komplexität wesentlich schwerer zu entschlüsseln als bei einem kurzen und simplen Passwort.
Weitere Informationen – auch für Portalanbieter:
Neben der Durchführung von sogenannten Penetrationstests durch unsere IT-Spezialisten unterstützen wir Sie auch bei der konzeptionellen Sicherheitsgestaltung Ihrer Webseiten und Onlineportale. Sprechen sie uns an.