Mal ehrlich: Wenn es darum geht, neue Passwörter zu erfinden, sind wir alles andere als kreativ. Sie sind zu kurz, zu offensichtlich, und Hacker sind geübt darin, sie zu entschlüsseln – entweder durch schlichtes Raten oder mithilfe von Passwort-Hashes aus umfangreichen, vorberechneten Tabellen.
Wie schlecht sind unsere kollektiv vorhandenen Erfindungskünste in Sachen Passwörter wirklich? Lesen Sie selbst. Bei einem riesigen Datendiebstahl bei RockYou im Jahr 2009 wurden 32 Millionen unverschlüsselte – ja, das hat mich auch schockiert – Passwörter gestohlen und ins Internet gestellt.
Wir haben nun eine relativ klare Vorstellung davon, wie einfallslos die Allgemeinheit an dieser Stelle sein kann.
Riskante Bequemlichkeit
Es ist wenig überraschend, dass „123456“ das beliebteste Kennwort war, das fast 300.000 Nutzer ausgewählt hatten, gefolgt von den üblichen Verdächtigen: „password“, „iloveyou“ und „rockyou“, der Name des Online-Gaming-Dienstes selbst.
Das Motiv dahinter, durchaus verständlich: Bequemlichkeit. Nachdem ich die RockYou-Dateien durchgesehen habe, kann ich sagen, dass die folgende Formel alles andere als originell ist: + „boy“ oder „girl“ + .
Hacker profitieren von unserem Wunsch nach Bequemlichkeit und stellen so fundierte Mutmaßungen mit hoher Trefferwahrscheinlichkeit an.
Es wird nur wenig komplizierter, wenn sie eine Liste mit Passwort-Hashes in die Finger bekommen, wie es bei dem berühmt-berüchtigten Sicherheitsvorfall bei LinkedIn der Fall war. Mithilfe bestehender Passwortlisten und Wörterbücher mit häufig verwendeten Wörtern lassen sich riesige Tabellen vorberechnen und Passwörter mit Hashwerten verknüpfen. Nach einem kurzen Reverse-Lookup ist die verschlüsselte Hash-Sequenz dann geknackt.
Ja, das Hinzufügen so genannter „Salts“ hilft. Doch angesichts der enormen Rechenleistung, die dem Durchschnittshacker zur Verfügung steht, sind nun auch Offline-Brute-Force-Attacken möglich.
Übrigens arbeiten Cindy Ng und ich gerade an einem E-Book über die zahlreichen Probleme der kennwortbasierten Authentifizierung. Hier gibt es dann auch eine detaillierte Ausführung zu Passwort-Hashes. Mehr dazu in Kürze!
Je länger, desto besser
Eine offensichtliche Möglichkeit, Hackern das Leben zu erschweren, ist schlicht längere Passwörter zu verwenden. Informationstheoretisch gesprochen geht es darum die Informationsentropie zu erhöhen.
Warum machen ein paar Zeichen mehr in einem Passwort einen so großen Unterschied? Das hat mit der Kraft des exponentiellen Wachstums zu tun.
Sagen wir, für die Wahl Ihres Passworts stehen Ihnen Groß- und Kleinbuchstaben (52 Möglichkeiten), Zahlen (10) und die sämtliche Interpunktionszeichen sowie sonstige alphanumerische Symbole (etwa 13) zur Verfügung. Durch ein zusätzliches Zeichen in Ihrem Passwort ergeben sich in Summe also 75 neue Möglichkeiten.
Bei einem sechsstelligen Kennwort gibt es 75 hoch sechs Möglichkeiten, also über 200 Milliarden. Im Zeitalter von Big Data ist das keine wahnsinnig große Zahl. Mit zwei Zeichen mehr stehen die Hacker vor einer Billiarde Möglichkeiten – das sind tausend Billionen.
Mit längeren Kennwörtern – ab etwa acht bis zehn Zeichen – sind Attacken, die auf dem Erraten von Passwörtern basieren von vornherein zum Scheitern verurteilt. Und Hacker, die eine Datei mit Passwort-Hashes ergattert haben, stünden vor einem ernsthaften Rechnerproblem.
Einfache, lange Passwörter
Wir Menschen sind tatsächlich in der Lage, uns lange Kennwörter auszudenken. Die Technik, die ich nun vorstelle, basiert auf einer altmodischen Gedächtnisstütze: der Eselsbrücke.
Die Idee dahinter ist, eine Geschichte zu erfinden und daraus Buchstaben und Symbole zu generieren. Ich weiß zum Beispiel, dass ich samstags bestimmte Besorgungen machen muss. Ich verwende also die folgende Geschichte: Jeden Samstag um 10 Uhr gehe ich zur Reinigung und hole meine 2 Hemden ab.
Aus diesem Satz nehme ich den ersten Buchstaben jedes Worts, um mein langes, nicht zu entschlüsselndes Kennwort zu zaubern: JSu10UgizRuhm2Ha. Dieses Passwort könnte ich mir normalerweise niemals merken. Doch dank meiner kleinen Geschichte kann ich es in Sekundenschnelle rekonstruieren.
Sie können Ihrer Kreativität dabei freien Lauf lassen und Geschichten über Fußballmannschaften und Spielergebnisse, Einkaufslisten und Rezepte erfinden.
Ihre Aufgabe ist nun also der gute Vorsatz fürs neue Jahr: Im Januar 2015 alle Passwörter ändern.
Oder IAinadgVfnJ:IJ2015aPä.
The post Der beste Passwortgenerator? Sie selbst! appeared first on Varonis Deutsch.
Wie soll ich vorgehen?
Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:
Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.
Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.
Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.
