Miese Passwörter allerorten

0 Bewertungen
1
5
0
 
 
 
Bewerten
 
 
 
 
 
 
0 Kommentare  
639 Aufrufe  

Michael Kranawetter, National Security Officer (NSO) bei Microsoft Deutschland, hat sich die Ergebnisse einer Studie in Zusammenarbeit von britischen und chinesischen Universitäten zur Sicherheit von Passwörtern angesehen. Ein verstörendes Ergebnis: Je nach Dienst und Publikum können bis zu 10,44 Prozent der verwendeten Passwörter einfach erraten werden, indem man die zehn populärsten Kennwörter durchprobiert.

Miese Passwörter – alle Jahre wieder oder immer brandaktuell. Die für 2016 veröffentlichte Studie "Targeted Online Password Guessing: An Underestimated Threat" wurde von Wissenschaftlern der Peking University und der Fujian Normal University, China, sowie der Lancaster University, Großbritannien, angefertigt. Untersucht wurde dabei speziell die Erfolgswahrscheinlichkeit, wenn ein Angreifer neben einigen persönlichen Daten seines Opfers – wie etwa Name und Geburtsdatum – auch ein Passwort kennt, das die Person bereits an anderer Stelle verwendet hat. Die Hypothese war, dass viele Menschen das gleiche Kennwort für mehrere Dienste und Zugänge verwenden oder es jeweils nur leicht abändern (sog. Schwester-Passwörter).



Hätten Sie das gedacht? Bis zu zehn Prozent der verwendeten Passwörter können einfach erraten werden.

Nun wird man zunächst denken: Wie häufig kommt es denn wohl vor, dass überhaupt das erste Passwort einer Person bekannt wird? Doch Tatsache ist: Datendiebstahl macht’s möglich. Als Datenbasis für die Untersuchung benutzten die Wissenschaftler tatsächlich insgesamt zehn Passwort-Sammlungen, die in den vergangenen Jahren bei englisch- und chinesischsprachigen Diensten wie Yahoo, dem Spieleforum RockYou oder dem E-Commerce-Anbieter Dodonew erbeutet und anschließend im Internet veröffentlicht wurden. Insgesamt kamen auf diese Weise rund 95 Millionen Passwörter und Benutzerkennungen zusammen.

Ene mene miste – Raten führt am Weitesten

Als ein verstörendes Ergebnis ihrer Untersuchung nennen die Autoren die Erkenntnis, dass je nach Dienst und Publikum zwischen 0,79 und 10,44 Prozent der verwendeten Passwörter einfach erraten werden können, indem man die zehn populärsten Kennwörter durchprobiert. Andererseits verwenden weniger Anwender Schwester-Passwörter als zunächst angenommen. Bei den Sammlungen von chinesischen Websites lag der Anteil bei etwa 30 Prozent, bei den englischsprachigen Sites sogar bei weniger als 20 Prozent.

Auf Basis dieser Untersuchungen entstand das Framework TarGuess, mit dem die Wissenschaftler vier Szenarien für das Erraten von Online-Passwörtern testeten, die TarGuess-I bis IV genannt wurden. TarGuess-I beispielsweise wurde mit der E-Mail-Adresse einer Person, ihrem Benutzernamen, dem Realnamen und dem Geburtsdatum gefüttert und konnte mit diesen Daten bei 100 Versuchen in 20,18 Prozent aller Fälle das richtige Passwort erraten. TarGuess-III bekam zusätzlich ein Schwester-Passwort als Ratestütze und erzielte auf diese Weise bei 100 Versuchen eine Erfolgsquote von 23,48 Prozent. TarGuess-IV schließlich konnte noch auf weitere persönliche Informationen wie etwa das Geschlecht der Person zugreifen und erriet so bei 100 Versuchen 24,51 Prozent der Passwörter. Bei 1.000 Versuchen lag die Quote bei 30,66 Prozent.

Mit anderen Worten: Kennt ein Krimineller ein vom Opfer schon mal verwendetes Passwort und kann er sich einige wenige persönliche Informationen über die Person beschaffen, kann bei 1.000 Versuchen in nahezu vier von fünf Fällen das verwendete Passwort knacken. Das eigentliche Knacken dauert dann mithilfe eines durchschnittlichen PCs wenige Sekunden.

Die Lage ist nicht aussichtslos

Auch wenn es sich anders anhört: Anwender und Administratoren können sich schützen. Jeder Passwort-Manager wie LastPass, KeePass oder 1Password enthält auch einen Passwort-Generator, der Kennwörter in nahezu beliebiger Komplexität nach dem Zufallsprinzip erzeugt. Administratoren wiederum haben beispielsweise die Möglichkeit, nach der falschen Eingabe eines Passworts eine Verzögerung in den Anmeldeprozess einzubauen, wodurch das Durchprobieren von Hunderten von Kennwörtern erheblich verlangsamt und erschwert wird.

Weitere Informationen zu Passwort-Managern finden Sie hier. Allgemeine Tipps von Microsoft zum Erstellen sicherer Passwörter erhalten Sie auf dieser Seite.

Kommentar verfassen

LOGIN für heise Business Services

Sie haben noch keinen Account?
Hier registrieren und informieren.