Eigentlich ist alles klar bei der Vergabe von Passwörtern: Acht Zeichen, darunter Buchstaben (kleine wie große), Zahlen und Sonderzeichen – schon kann niemand mehr auf meinen Account zugreifen.
Denkste!
Wie Passwörter gespeichert werden
Das Problem liegt dabei gar nicht so sehr beim Passwort selbst, sondern in der Art und Weise, wie es der jeweilige Anbieter auf seinen Systemen speichert:
Als Stand der Technik gilt es, Zugangsdaten mit einem Hashing-Algorithmus zu „verschlüsseln“, sie also unlesbar zu machen. Daher ist es (bis jetzt) selbst mit gutem Willen unmöglich, ein Passwort aus dem Hashwert wiederherzustellen.
Bei einem Loginversuch vergleicht die Software also nie zwei Passwörter miteinander, sondern erzeugt aus dem eingegebenen Passwort einen Hash-Wert, den sie mit dem hinterlegten Wert vergleicht.
Angriffspunkt Hash-Algorithmus
Und genau hier setzen Hacker an. Es gibt nämlich verschiedene Hashing-Algorithmen; solche die nachwievor als schwer knackbar gelten und solche, die man eigentlich längst als unsicher einstuft.
Experten für Cybersecurity konnten kürzlich mithilfe einer leistungsfähigen Grafikkarte, ein zufällig erzeugtes acht Zeichen langes Passwort aus Groß-/Kleinbuchstaben sowie Zahlen und beliebigen Sonderzeichen in 59 Minuten aus einem MD5-Hash wiederherstellen.
Nun gilt MD5 allerdings schon seit Jahren als unsicher. Das Problem: Nutzer wissen für gewöhnlich nicht, welcher Algorithmus beim jeweiligen Online-Dienst zum Einsatz kommt.
Wie sicher sind sichere Algorithmen?
Im Vergleich dazu würde beim Hashing-Algorithmus „bcrypt“ (Variante mit 32 Iterationen) die Rekonstruktion des Passworts mit derselben Hardware über 99 Jahre in Anspruch nehmen.
Doch auch hier gilt „Wo ein Wille, da ein Weg“…
In einem Szenario nutzten die Forscher die Rechenkapazität von 10.000 leistungsfähigen Grafikprozessoren (GPUs) und konnten so ein 8-Zeichen-Passwort binnen fünf Tagen herausfinden. Bei 12 GPUs würde es immerhin noch geschätzt 12 Jahre dauern.
Man muss jedoch beachten, dass es sich so oder so um extreme Beispiele handelt. Allerdings spielt der Faktor Mensch ebenfalls eine Rolle:
Viele Anwender nutzen reichlich vorhersehbare Passwörter (Namen, Geburtsdaten, Orte). Da Hacker meist zuerst gängige Varianten suchen, verkürzt sich die Zeitspanne in solchen Fällen natürlich enorm, bis ein Passwort geknackt wurde.
Unsere Ratschläge in Sachen Passwörter
- Verwenden Sie für jeden Online-Dienst ein individuell festgelegtes Passwort.
- Nutzen Sie möglichst lange, komplexe Passwörter (alphanumerisch, Groß- und Kleinschreibung, mit Sonderzeichen, 20 Zeichen oder mehr).
- Ändern Sie Passwörter regelmäßig.
- Im Webbrowser oder einem Datentresor gespeicherte Zugangsdaten müssen durch ein starkes Master-Passwort verschlüsselt werden (idealerweise zehn Zeichen oder länger).
Autor: Tobias Eichner | Datum der Veröffentlichung: April 2024
Wichtig: Bitte beachten Sie die Nutzungsbedingungen und rechtlichen Hinweise für diesen Beitrag!
