23. August 2019 | Artikel drucken |

Achtstellige Passwörter sind nicht sicher genug

Viele Kenn- oder Passwörter sind viel zu leicht zu knacken oder zu erraten, der eigene Geburtstag oder des Partners zum Beispiel. Aber auch vermeintlich komplizierte Passwörter sind nicht wirklich sicher, wenn sie wie achtstellige etwa eine bestimmte Länge unterschreiten.

 

Wer das Passwort für den Zugang zum eigenen Rechner oder schlimmer noch für Online-Banking an den eigenen Monitor klebt, dem ist nicht mehr zu helfen. Aber auch Geburtstage, Eigen- oder Kosenamen sowie Zahlen- oder Buchstabenreihe wie 12345678 beziehungsweise ABCDEFGH, das Wort „Password“ und Co. sind wie eine Einladung für Einbrecher und Hacker. Aber traurigerweise gehören solche Zeichenreihen und Buzzwords nun mal zu den meist genutzten Passwörtern, ebenso wie Eigennamen und Hobbys oder Sportarten wie Fußball oder Baseball in Übersee.

 

Verschlüsselung über SHA & Co. – Hash mich…

Nun werden Passwörter für den Zugang zum Internet meist mit 128 Bit, 256 oder 512 Bit verschlüsselt. Da wiegen sich viele Nutzer in der Hoffnung, dass es auch ein kurzes, leicht zu merkendes Kennwort tut. Das ist aber ein Trugschluss. Denn die Verschlüsselung erfolgt zwar wie bei SHA (Secure Hash Algorithm) in der Regel über eine kryptologische Hashfunktion, welche die Rückverfolgung des Eingabewertes wie eine Einbahnstraße erschwert oder nahezu unmöglich macht. Aber wie ein Wiener Blogger in Dusted Codes darlegt, sind weder SHA-256 noch SHA-512 hundertprozentig sichere Hash-Algorithmen, weil sie mit entsprechend leistungsfähiger Hardware blitzschnell geknackt werden können.

Aber was ist ein Hash und was passiert, wenn man bei der Eingabe etwas verändert? Hash hat im Englischen die Bedeutung von zerkleinern oder zerhacken und erinnert an das deutsch-französische Wort Haschee für warme Gerichte aus gebratenem Hackfleisch. Die Droge kommt übrigens aus dem arabischen Wort für Gras und hat nichts mit der Hashfunktion zu tun. Diese wird nämlich auf Deutsch mit Streuwertfunktion übersetzt. Genauer berechnen Hashfunktionen wie MD5 oder SHA-256 aus einem Klartext eine kryptische Prüfsumme. Dazu wird die Nachricht erst kodiert erweitert und entstehen daraus Nachrichtenblöcke, die für die Verschlüsselung in mehreren Runden iterativ (nacheinander) verarbeitet werden.

 

Der Streuwert bleibt immer gleich lang

Bei Hash- oder Streuwertfunktionen handelt es sich jeweils um eine Abbildung einer großen Eingabemenge (dem Schlüssel) auf eine kleinere Zielmenge, den sogenannten Hashwert. Auch wenn man bei SHA-256 zum Beispiel nichts eingibt, besteht der Hashwert in jedem Fall aus einer 64-stelligen Hexadezimalzahl, bei SHA-512 und Whirlpool ist der Wert sogar jeweils 128-stellig. Verändert man bei der Eingabe nur einen Yota, verändert sich die ganze Hexadezimal-Kette aus Zahlen und Buchstaben.

Hash-Generatoren wie der Hashgenerator.de zeigen, wie lang so eine Zeichenkette bei verschiedenen kryptologischen Hashfunktionen ist und was passiert, wenn man in der Nachrichtenzeile jeweils nur einen Buchstaben austauscht. SHA-1 mit 160 Bit und einer 40-stelligen Hexadezimalzahl als Hashwert gilt zwar längst nicht mehr als sicher, veranschaulicht aber ganz gut, was passiert, wenn im Nachrichtenfeld kein Wert oder Friedrich Schillers „Die Bürgschaft“ steht.

SHA1-Streuwert ohne Nachricht und „Die Bürgschaft“ im Eingabefeld:

da39a3ee5e6b4b0d3255bfef95601890afd80709

69a6db5aa7ac399fc2df77d3ff3d796cc1294e6f

Beide Hashwerte sind mit 40 ASCII-Zeichen bei der Hashfunktion SHA-1 jeweils gleich lang, der für das leere Nachrichtenfeld ebenso wie der für die Schiller-Ballade mit 5.251 Anschlägen inklusive Leerzeichen. Je kürzer die Nachricht, desto leichter und schneller lässt sie sich aber mit entsprechender Hardware oder Software zurückverfolgen.

 

Viele Passwörter sind zu kurz und einfach

Viele Webseiten empfehlen oder geben vor, dass das Passwort mindestens aus einem Großbuchstaben, einer Zahl und einem Sonderzeichen besteht. Aber selbst wenn man das befolgt, ist man mit einem kurzem Passwort weniger auf der sicheren Seite als mit einem längeren.

Dass achtstellige Passwörter zum Beispiel nicht sicher sind und sich in zweieinhalb Stunden knacken lassen, hat ein sich Tinker nennender Hacker im Web-Magazin The Register dargelegt. Dazu genügt schon ein frei verfügbares Passwort-Recovery-Tool namens Hashcat, merkt ein Blog des finnischen B2B-Cybersecurity-Spezialisten F-Secure an.

Wie schnell Hacker an Passwörter kommen, hänge sehr stark von der Hashfunktion ab. Je schwächer diese ist, desto mehr Hashes lassen sich prüfen pro Sekunde. Bei SHA-512 sind es im Schnitt „nur“ 300.000 Werte pro Sekunde. Bei dem immer noch weit verbreiteten, aber als unsicher geltenden NTLM-Hash von Microsoft genügen dagegen acht leistungsstarke Nvidia-Grafikkarten um mit 100 Milliarden Hashwert-Checks pro Sekunde das Passwort blitzschnell zu knacken. Als wesentlich günstigere „Brechstange“ genügt aber laut dem F-Secure Blog auch eine AMW-Cloud für unter 50 Euro im Monat.

Durch lange Passwörter ist mehr Sicherheit gegeben. (Quelle: Pexels / Pixabay)

Längere Passphrasen sind sicherer

Während Google, Microsoft und Yahoo mindestens ein achtstelliges Passwort erfordern, begnügen sich Facebook, LinkedIn und Twitter mit einem sechsstelligen Passwort. Da nützt auch keine Mischung aus Groß- und Kleinschreibung, Zahlen und Sonderzeichen, um so kurze Passwörter sicher  zu machen.

Besser ist dagegen eine Passphrase aus fünf oder mehr Wörtern. Dies kann zum Beispiel eine Stelle aus Schillers „Bürgschaft“, einem Lied oder Gedicht sein. Je ausgefallener, desto besser. „Dies ist ein Passwort“ ist als Passphrase keine gute Idee. Ein Ausrufezeichen oder eine andere Interpunktion oder eine Zahlenfolge in der Mitte erhöht noch die Komplexität, lässt sich aber unter Umständen leichter merken als eine Anhäufung mehrerer Sonderzeichen. Eine direkt aufeinander folgende Zeichenkette wie $%& ist kaum sicherer als nur ein Sonderzeichen am Ende des Passwortes.

F-Secure empfiehlt, dass das Passwort mindestens zwölfstellig ist und sich nicht unter den Top-Listen befindet. Es gibt mehrere solcher Listen. Das britische National Cyber Security Centre (NCSC) zählt zu den ersten 20 Passwörtern ganz vorne Zahlenreihen, gefolgt von qwerty, password, Iloveyou, Monkey und Dragon. Sehr beliebt sind international wie in Deutschland auch F…-Wörter, Hello oder Hallo und master oder Master, wie das Hasso-Plattner-Institut (HPI) in Potsdam immer wieder bestätigt.

Bei der Erstellung von Passwörtern sollte man besonders Acht geben. (Quelle: pixabay / kalhh)

Empfehlenswert: Zwei-Faktor-Authentifizierung oder Passwort-Manager

Statt nur eines mehr oder weniger sicheren Kennwortes empfiehlt F-Secure die Verwendung einer Zwei-Faktor-Authentifizierung oder eines Passwort-Managers wie F-Secure KEY, der alle Passwörter, E-Mails, PINs, Anmelde- und Zugangsdaten für Kreditkarten oder Online-Banking an einem Ort sicher abspeichert und die Nutzer davon entbindet, sich all diese Zugangsdaten zu merken oder gar für jedermann zugänglich an den Monitor zu heften. Denn für den Zugang zu verschlüsselten Daten genügt ein sicheres Master-Kennwort. Außerdem erleichtert der Passwort-Manager durch automatische Eingabe auch das Ausfüllen von Online-Formularen.

Als Premium-Version und Teil des Rundumschutzes F-Secure TOTAL bietet KEY als Passwort-Manager Zugangssicherheit über ein Master-Passwort auf mehreren Geräten. Für Consumer und die Passwort-Verwaltung auf nur einem Gerät ist F-Secure KEY für Windows, Mac, iOS und Android in über 25 Sprachen auch kostenlos erhältlich.

 

Quelle Titelbild: Pexels / energepic.com

Hier schreibt Redaktion für Sie

Mehr Artikel vom Autor