InternetkriminalitätDas Zeitalter des Passworts neigt sich dem Ende zu

Das Passwort ist die Versicherung im Netz – vor modernen Angriffen bietet es dennoch kaum Schutz. Google und andere Firmen tüfteln bereits an einer passwortfreien Welt. von 

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.

Google arbeitet an einem Ring, der zukünftig als Passwortersatz dienen soll.  |  © Taller de Imagen (TDI) / Cover / Getty Images

Wer sich ein neues Passwort ausdenkt, geht jedes Mal eine Wette ein. Er wettet gegen die wachsende Rechenleistung und den Erfindergeist potenzieller Angreifer. Mit jedem neuen Konto gilt es deshalb, sich ein möglichst kryptisches Passwort auszudenken, zu merken und nach einiger Zeit zu ändern. Das Passwort ist der Ausgangspunkt jeder Sicherheitsstrategie im Netz. Aber die Anforderungen daran sind so hoch wie nie.

Anders als in den Anfangszeiten des Internets schützen Nutzer heute nicht nur ihr E-Mail-Konto und ihren Internetzugang, sondern eine Vielzahl an Diensten wie Facebook, Twitter, Spotify und vielleicht auch noch die AppleID. Wer darüber hinaus noch Wert auf die Verschlüsselung der Festplatte und weitere Sicherheitsmaßnahmen legt, kommt leicht auf noch mehr Passphrasen, die es sich zu merken gilt. Sie alle zu verwalten, ist mit herkömmlichen Methoden kaum noch möglich, zumindest aber umständlich.

Anzeige

Das zeigt auch eine aktuelle Umfrage im Auftrag des Bundesamts für Sicherheit in der Informationstechnologie (BSI). Demnach wissen zwar 70 Prozent der Deutschen, dass ein sicheres Passwort aus willkürlich zusammengewürfelten kleinen und großen Buchstaben, Zahlen und Sonderzeichen besteht. Oder, wie es bei Twitter scherzhaft heißt, "Ihr Passwort muss Großbuchstaben, Zahlen, Satzzeichen, das Zeichen einer Gang, ein ausgestorbenes Säugetier und Hieroglyphen enthalten."

Viele nutzen das eine ausgedachte Passwort aber einfach zur Absicherung mehrerer Konten. Wird es von einem Angreifer erraten, hat der sofort Zugriff auf alles.

Die neuen Konzepte sind bei Unternehmen schon bekannt

Seit Twitter am vergangenen Wochenende 250.000 Nutzer auffordern musste, ihre Passwörter zu ändern, stellen sich auch große IT-Firmen die Metafrage: Welche Sicherheit können einfache Passwörter überhaupt noch garantieren? Google denkt bereits darüber nach, wie man das ganze Konzept überarbeiten könnte.

Denn wie der Fall Twitter zeigt, kann es noch so sichere Passwörter geben – sie helfen nichts, wenn der Server des Anbieters gehackt wird. Auch gegen die Weitergabe von Passwörtern durch Mitarbeiter kann sich ein Unternehmen nie vollständig schützen. Neue Ideen zur Netzsicherheit sind daher gefragt.

Die neuen Konzepte sind aber eigentlich alt. Bislang wurden sie vor allem in Unternehmen eingesetzt. Eines davon ist die sogenannte Two-Factor-Authentication. Statt wie bisher nur ein Passwort für den Zugang zu verwenden, braucht man bei diesem Konzept zwei Schlüssel: einen, den sich man sich merkt – also das Passwort – und einen, den man auf dem eigenen Rechner besitzt. Der Zugang zu einem Dienst wird damit an ein bestimmtes Gerät gekoppelt.

Leserkommentare
    • Jojas
    • 06. Februar 2013 6:34 Uhr

    Mein Passwort für praktisch alles ist: leoelele. Einfach aus dem Grund, weil es sich leicht tippen läßt. Gehackt wurde ich noch nie (klopf auf Holz).

    • Gestath
    • 06. Februar 2013 8:30 Uhr

    Direkt vor dem Lesen des Artikels beschloss ich einen Kommentar mit Keepass und eben diesem XKCD-Comic zu schreiben, beides hat sich jetzt erübrigt :-) Schön, dass vor allem der Comic einen so prominenten Platz gefunden hat.

    Wer KeePass nicht nutzen will könnte immer noch eine handschriftliche Passwortliste führen, so sicher wie die Server der meisten Anbieter ist das allemal …

    Was die Sache mit den gleichen Passwörtern angeht: Für Webshop 1–100 (gefühlt zumindest) habe ich auch nur eins, besonders gut ist das nicht, aber sehr praktisch.

    • Bodman
    • 06. Februar 2013 8:30 Uhr

    Es ist eine Krux, dass der xkcd - Comic (https://sslimgs.xkcd.com/...) noch immer als eine gute Anleitung durch die Foren geistert, ein sicheres Passwort zu erzeugen. Die in diesem Comic propagierte Methode ist nicht sicher!

    Die Kombination mehrerer Worte zu einem Passwort ergibt keinen signifikanten Zuwachs an Sicherheit. Die Rechenleistung heutiger Computer ist so hoch, dass ein so entstandenes Passwort einer Mischung aus Wörterbuchangriff und Brute-Force-Attacke nicht standhalten würde.

    Möchte man ein Passwort bilden indem man Worte kombiniert, ist es eben absolut notwendig, neben kleinen und Großbuchstaben auch Zahlen und Satzzeichen zu nutzen. Letztere machen einen Wörterbuchangriff unmöglich und erst dann entfalltet die Länge des Passwortes ihre Wirkung.

    Hier eine Zusammenfassung der wichtigsten Regeln: http://www.wired.com/gadg...

    Reaktionen auf diesen Kommentar anzeigen
    • Gestath
    • 06. Februar 2013 8:57 Uhr

    Naja Comics sind immer auch zum Interpretieren da und mit seiner Rechnung ist Randall Munroe sicherlich der Wahrheit deutlich näher als all die Internetseiten, bei denen das Passwort aus acht Zeichen mit Zahl, Klein-, Großbuchstaben und Sonderzeichen bestehen muss.
    Wenn daraus nun andere eine gute Methode für Passwörter machen ist das deren Sache.

    Darüberhinaus konnte ich leider auf die schnelle nicht herausfinden wieviele Versuche/s mit so ein Wörterbuchangriff möglich sind. Munroe rechnet mit 1000, irgendwo im Netz habe ich 5000 von 2009 gefunden für ein MySQL Passwort, selbst bei 10000 bleiben nach der Rechnung im Comic 55 Jahre. Im Zweifel wählt man den Satz eben zwei Wörter länger …
    Mit sechs statt vier Worten erreicht man dann nämlich statt 1,8 · 10¹³ ganze 7,8 · 10¹⁹ Möglichkeiten. Das sind mehr als sechs Größenordnungen Unterschied, damit sind die Passwörter erstmal wieder ein paar Jahre sicher.
    Wer ganz sicher gehen willl könnte vermutlich auch zwischen die einzelnen Worte immer aufsteigende Zahlen oder so machen oder ! und ? im Wechsel und den letzten Buchstaben jedes Wortes groß schreiben. Damit sollten Wörterbuchangriffe auch schon ausfallen. By the way: Kommt so ein Wörterbuch mit Umlauten und ß klar?
    Ich persönlich wünsche mir sowieso, dass Passwörter endlich mal voll Unicodefähig werden – 100000 Grundzeichen ermöglichen verdammt viele Kombinationen ;)

    Können sie das näher erläutern? Wenn ich aus einem Lexikon mit 50000 Wörtern zufällig fünf Wörter auswähle, ergeben sich 3*10^23 verschiedene Kombinationen. Wer die per brute force durchprobiert, ist schon eine Weile beschäftigt.

    Damit's anschaulicher wird: Wenn ein PC z.B. 2 GHz Taktfrequenz hat, und in jedem Takt ein Passwort ausprobieren könnte, und ich würde 1000 PCs gleichzeitig rechnen lassen, würde es immer noch knapp 5000 Jahre dauern, bis alle Kombinationen durchprobiert sind.

    • lestard
    • 06. Februar 2013 16:16 Uhr

    Es ist die Aufgabe des Programmierers, solche Bruteforce/Wörterbuch-Attacken abzuwehren. Er muss einen Hash-Algorithmus einsetzen, der möglichst _langsam_ ist.

    Einfachste Möglichkeit: Man bildet den Hash vom Hash vom Hash usw. Das ganze jetzt 1000 mal oder 100000 mal. Der Aufwand des Servers steigt damit linear, der Aufwand für den Angreifer aber Exponentiell. Dieses Verfahren kombiniert mit einem Salt macht Wörterbuch/Bruteforce-Attacken mehr oder weniger unmöglich (für halbwegs komplexe Passwörter). Auch der verwendete Hash-Algorithmus (md5 oder shaX) spielt keine wesentliche Rolle mehr.

    • Gestath
    • 06. Februar 2013 8:57 Uhr

    Naja Comics sind immer auch zum Interpretieren da und mit seiner Rechnung ist Randall Munroe sicherlich der Wahrheit deutlich näher als all die Internetseiten, bei denen das Passwort aus acht Zeichen mit Zahl, Klein-, Großbuchstaben und Sonderzeichen bestehen muss.
    Wenn daraus nun andere eine gute Methode für Passwörter machen ist das deren Sache.

    Darüberhinaus konnte ich leider auf die schnelle nicht herausfinden wieviele Versuche/s mit so ein Wörterbuchangriff möglich sind. Munroe rechnet mit 1000, irgendwo im Netz habe ich 5000 von 2009 gefunden für ein MySQL Passwort, selbst bei 10000 bleiben nach der Rechnung im Comic 55 Jahre. Im Zweifel wählt man den Satz eben zwei Wörter länger …
    Mit sechs statt vier Worten erreicht man dann nämlich statt 1,8 · 10¹³ ganze 7,8 · 10¹⁹ Möglichkeiten. Das sind mehr als sechs Größenordnungen Unterschied, damit sind die Passwörter erstmal wieder ein paar Jahre sicher.
    Wer ganz sicher gehen willl könnte vermutlich auch zwischen die einzelnen Worte immer aufsteigende Zahlen oder so machen oder ! und ? im Wechsel und den letzten Buchstaben jedes Wortes groß schreiben. Damit sollten Wörterbuchangriffe auch schon ausfallen. By the way: Kommt so ein Wörterbuch mit Umlauten und ß klar?
    Ich persönlich wünsche mir sowieso, dass Passwörter endlich mal voll Unicodefähig werden – 100000 Grundzeichen ermöglichen verdammt viele Kombinationen ;)

    Reaktionen auf diesen Kommentar anzeigen
    • kekek
    • 06. Februar 2013 12:23 Uhr

    Naja, in der Regel hat man aber doch nicht direkten Zugang zu der sql database, auch hat man hier keine Password Hashs oder aehnliches. Ein Password kann man nur testen, indem man es ueber eine website schickt, und auf eine Antwort muss man dann warten. Vielleicht ein paar Sekunden. Wenn es also ein paar milliarden Kombinationen gibt, reicht das allemal aus. Ich sehe hier nicht den Zusammenhang mit Rechenleistung.

  1. Redaktion

    Vielen Dank für die Hinweise! Der Artikel ist nun um ein Genitiv-s ärmer.

    Eine gute Übersicht herkömmlicher Methoden zur Bildung eines starken Passworts bietet die Seite der Uni Hannover: http://www.rrzn.uni-hanno...

    Beste Grüße!
    JW

    Reaktionen auf diesen Kommentar anzeigen
    • Bodman
    • 06. Februar 2013 10:30 Uhr

    Die von Ihnen verlinkte Seite der Uni Hannover ist älteren Datums, wurde zuletzt 2009 überarbeitet und ist in einem wesentlichen Punkt überaltert:

    Wie leider auf vielen anderen Webseiten auch wird dort noch ein Passwort mit einer Länge von 8 - 10 Zeichen empfohlen. Sebst wenn man neben kleinen auch Großbuchstaben, Zahlen und Satzzeichen verwendet, ist dies für die Rechenleistung heutiger Computer deutlich zu wenig.

    Unter folgendem Link kann man bestimmen, wie lange es ungefähr dauert ein Passwort zu knacken, abhängig von der Passwortlänge, der Zeichenzahl aus der man sein Passwort zusammensetzt und der Rechenleistung des verwendeten Computers:

    http://www.php-einfach.de...

    • Bodman
    • 06. Februar 2013 10:30 Uhr

    Die von Ihnen verlinkte Seite der Uni Hannover ist älteren Datums, wurde zuletzt 2009 überarbeitet und ist in einem wesentlichen Punkt überaltert:

    Wie leider auf vielen anderen Webseiten auch wird dort noch ein Passwort mit einer Länge von 8 - 10 Zeichen empfohlen. Sebst wenn man neben kleinen auch Großbuchstaben, Zahlen und Satzzeichen verwendet, ist dies für die Rechenleistung heutiger Computer deutlich zu wenig.

    Unter folgendem Link kann man bestimmen, wie lange es ungefähr dauert ein Passwort zu knacken, abhängig von der Passwortlänge, der Zeichenzahl aus der man sein Passwort zusammensetzt und der Rechenleistung des verwendeten Computers:

    http://www.php-einfach.de...

    Antwort auf "Genitiv-s und Methoden"
    • kekek
    • 06. Februar 2013 12:23 Uhr

    Naja, in der Regel hat man aber doch nicht direkten Zugang zu der sql database, auch hat man hier keine Password Hashs oder aehnliches. Ein Password kann man nur testen, indem man es ueber eine website schickt, und auf eine Antwort muss man dann warten. Vielleicht ein paar Sekunden. Wenn es also ein paar milliarden Kombinationen gibt, reicht das allemal aus. Ich sehe hier nicht den Zusammenhang mit Rechenleistung.

    Antwort auf "Zum Comic"
  2. Seh ich ganz genauso, allerdings aus einem anderen Grund.
    Ich kann problemslos ein einfaches PW nutzen,sollte allerdings nicht im Wörterbuch zu finden sein. Der Webseitenbetreiber muss bloß implementieren, dass nach 3 Loginversuchen 30s gewartet werden muss. Dann wieder nach 3 Loginversuchen 1 Minute .. usw
    wie zb bei Linux realisiert. Das ganze aber Account gebunden und nicht IP-gebunden. So kann auch keiner ein PW alla "H4n5Z" cracken. Oder seh ich da was falsch?

    Reaktionen auf diesen Kommentar anzeigen
    • lestard
    • 06. Februar 2013 16:25 Uhr

    Bruteforce und Wörterbuch-Attacken werden i.R. nicht gegen die Login-Maske im Browser gefahren. Bei zurückliegenden Fällen war es meistens so, dass ein Angreifer durch andere Sicherheitslücken an die Datenbank gelangt ist. Es kommt also drauf an, wie die Passwörter gespeichert sind.

    Wenn die Passwörter in der Datenbank nur mit einfachen Hash-Verfahren gesichert sind, dann kann der Angreifer jetzt in aller Ruhe alle möglichen Passwörter durchprobieren. Je nach Rechenleistung schafft er dabei abertausende Kombinationen pro Sekunde. Eine Login-Sperre ist für diese Art von Angriff wirkungslos. Nur vernünftige Hash-Verfahren (siehe anderen Kommentar) können hier schützen.

Bitte melden Sie sich an, um zu kommentieren

  • Artikel Auf einer Seite lesen
  • Quelle ZEIT ONLINE
  • Schlagworte Google | Bluetooth | Facebook | Linux | Passwort | Twitter
Service