Deloitte: „Ende der Passwortsicherheit für 2013 erwartet!“

passwort 04
News

Die Unternehmensberatung Deloitte hat erneut Vorhersagen für die Entwicklungen in verschiedenen technischen Bereichen veröffentlicht. In diesen Jahresvorhersagen für 2013 ist auch der Bereich der Passwortsicherheit ein größeres Thema.

Auf Basis diverser Studien wird dort vermutet, dass die Kombination aus Benutzername und Passwort alleine nicht mehr ausreicht, um die Sicherheit der IT-Systeme zu gewährleisten.

Das komplexe Passwort

Deloitte betrachtet die gängigen Empfehlungen zur Passworterstellung (8 Stellen, Groß- und Kleinschreibung, Zahl, Sonderzeichen) und vergleicht sie mit den wachsenden technischen Möglichkeiten der Angreifer:

“An eight-character password chosen from all 94 characters available on a standard keyboard is one of 6.1 quadrillion (6,095,689,385,410,816) possible combinations. It would take about a year for a relatively fast 2011 desktop computer to try every variation.“

Durch geänderte Verhaltensweisen der Nutzer und die wachsenden technischen Möglichkeiten durch Rechnernetze und Clouddienste schwächt sich diese lange Zeit zum Erraten eines Passwortes jedoch signifikant ab.

Der Nutzer als Schwachstelle

Die Statistik hilft dem Angreifer

Ein Großteil der Nutzer setzt die vorgegebenen Anforderungen ähnlich um. In der Regel befindet sich der Großbuchstabe am Anfang und die Zahl am Ende, wobei die Ziffern zusätzlich in aufsteigender Reihenfolge angeordnet werden.

Dazu nutzt die Mehrzahl der User nur sechs der 32 verfügbaren Sonderzeichen. Diese Erkenntnisse reduzieren die möglichen Passwort-Kombinationen bereits erheblich. Deloitte bezieht sich hier auf eine kürzlich erfolgte Studie:

“In a recent study of six million actual user-generated passwords, the 10,000 most common passwords would have accessed 98.1 percent of all accounts.

Viele Seiten, wenige Passwörter

Oftmals verwenden Nutzer nicht für jede Webseite und jeden Dienst ein eigenes Passwort, privat wie geschäftlich. Nach Angaben von Deloitte hat der Durchschnittsuser 26 passwortgeschützte Accounts, er verfügt aber nur über fünf verschiedene Passwörter. Eine schlecht gesicherte Webseite für Onlinespiele hebelt auf diesem Weg eventuell das hoch gesicherte Firmennetzwerk aus.

Neue technische Entwicklungen

Deloitte weist darauf hin, dass eine auf das Hacken von Passwörtern optimierte Rechenmaschine selbst die maximale Zahl von 6.095.689.385.410.816 Möglichkeiten in nur 5,5 Stunden austesten kann. Die Kosten für einen solchen Server mit einer großen Zahl an Grafikprozessoren betrugen im Jahr 2012 noch rund 30.000 US-Dollar.

Aber selbst ohne eine Investition in dieser Größenordnung ermöglichen die diversen Cloud-Dienste, die kurzfristig riesige Rechenkapazitäten bereitstellen können, einen Angriff mit vergleichbarem Erfolg zu geringeren Kosten. Dazu kommen noch kostenlose Varianten, wie z.B. das Crowd-Hacking, bei dem die Rechenleistung einzelner Computer über das Internet kombiniert wird.

Gibt es eine Lösung?

Ein Weg zu sichereren Systemen sind längere Passwörter. Ein Passwort mit 10 oder 12 statt acht Stellen vervielfacht die Möglichkeiten. Hier stößt man jedoch immer mehr an die Grenzen dessen, was die Mitarbeiterinnen und Mitarbeiter praktikabel im Alltag einsetzen können. Zur Unterstützung haben wir hier einige Tipps zur Passwortauswahl zusammengestellt.

Eine weitere Lösung könnte in der Verbindung mehrerer Sicherheitsmerkmale liegen. Neben dem Wissenselement (Passwort) könnten biometrische Merkmale (z.B. Fingerabdruck) oder technische Hilfmittel (z.B. Smartcard, Token) in der Kombination die Sicherheit extrem anheben.

Fazit

Die IT-Welt bleibt nicht stehen, die Ressourcen für einen Angriff auf die Unternehmens-IT sind immer leichter zu erlangen. Die IT-Abteilung eines Unternehmens muss diese Entwicklungen berücksichtigen und sollte sie nicht auf die leichte Schulter nehmen. Es wird auch in zukunft wesentlich sein, die Mitarbeiter im übertragenen Sinn „mitzunehmen“ und sie für die wachsenden Risiken zu sensibilisieren.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

5 Kommentare zu diesem Beitrag

  1. Man kann es nur immer wieder neu betonen, den Quatsch mit Sonderzeichen und willkürlichen Buchstabenfolgen sollte man direkt vergessen. Der dadurch erzeugt Mehraufwand im Brute Force Verfahren fällt nicht ins Gewicht, und Wörterbuchangriffe sind eher ein Ding der Vergangenheit, die verfügbare Rechenkraft ist längst hoch genug, daß dies nur noch eine Alternative zu Beginn (um die Klassiker zu fangen), aber kein Standard mehr ist. Länge ist aktuell das sinnvollste, irgendein Satz, den man sich gut merken kann, die dabei entstehenden 30+ Zeichen sind (noch) verhältnismäßig aufwendig. Und natürlich social engineering als Angriff im Auge behalten, da fallen auch immer wieder viele drauf rein.

  2. Neben den von sic dargestellten neueren Ansätzen für sichere Passwörter, spielen auch die Applikationseinstellungen eine wesentliche Rolle. So sind mir noch applikationsspezifische Passwortregeln in Erinnerung, die bei Falscheingabe eines Passwortes eine Wartezeit auferlegen, die sich mit jeder weiteren Falscheingabe verdoppelt. So kann man sich zwar 5 mal vertippen und es ist noch praktikabel, aber nach 10 oder mehr versuchen wird es zumindest unlustig (auch für einen Algorithmus). Oder der Klassiker, das Sperren eines Account nach x-maliger Falscheingabe, da helfen dan auch 6.095.689.385.410.816 potentielle Versuche in 5,5h nichts mehr.
    (Da ich kein Techniker bin stellt sich mir die Frage, welche Systeme, Applikationen oder DBs überhaupt Billionen von Anmeldeversuche pro Stunde akzeptieren und verabreiten können? Wo ist dies praxisrelevant?)

    Ich vermute es gibt schon heute für die gängigen Systeme Lösungsmöglichkeiten, auch günstige und welche die mit wenig Aufwand umzusetzen sind.
    Gefragt sind natürlich unter anderem die DSBs, die in Ihrem Verantwortungsbereich sensibilisieren und auf neue Lösungen hinwirken sollten.

  3. Hi,

    also sagen wir es mal so:

    „Wenn jemand mit einer solchen kriminellen Energie meine Daten haben möchte, bekommt er sie auch. Nur ich glaube nicht das mein Facebook Account für eine Aktion in dieser Größe relevant ist und ich mir daher auch keine sorgen machen muss. Nur die großen Firmen sollten aufrüsten um nicht nachher als Verlierer dazustehen.“

    VG
    Yannic

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.