Passwort-Sicherheit: Size does matter

passwort 01
News

Eigentlich heißt es ja “size doesn’t matter”, aber wenn es um Passwortschutz geht, zählt die Länge schon. Die (noch) aktuelle Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik liegt laut Maßnahme M 2.11 bei 8 Zeichen, wenn alphanummerische Zeichen verwendet werden. Leider wird diese Empfehlung von der Realität überholt.

Dank immer schnellerer Mehrkernrechner, Cloud-Computing oder dem Einsatz von schnellen Grafikprozessoren (sog. CUDA) lassen sich manche schwache Passwörter mit 8 Zeichen schon in wenigen Stunden bis Tagen knacken.

Hash-Verfahren

Bis vor kurzem war es auch ausreichend, ein Passwort sicher zu verwahren, in dem man es mit kryptographischen Verfahren verschlüsselte. Ein diesbezüglicher Artikel von heise Security Online hat sich ausführlich mit dem Thema beschäftigt und beschreibt zunächst die verwendete Technik:

Dabei wird aus dem Passwort eine Zeichenkette abgeleitet, die keinerlei Rückschlüsse auf das eigentliche Passwort zulassen. Der einzige Weg später herauszufinden, ob ein Passwort zu einem Hash passt, ist, das Passwort erneut zu hashen und die Ergebnisse zu vergleichen. So arbeiten die Authentifizierungssysteme in Betriebssystemen und Webanwendungen – und auch Passwort-Cracker müssen diesen Weg gehen. Lange Zeit galt das Hash-Verfahren MD5 für diese Zwecke als ausreichend widerstandsfähig, weil die Laufzeit zum Durchprobieren aller Kombinationen Angreifern die Rekonstruktion eines Passwort aus dem Hash schwerer machte. Das Durchprobieren (Brute Force) aller Passwortkombinationen mit Crackern wie John the Ripper bei einem guten Passwort dauerte auf handelsüblicher Hardware Monate wenn nicht gar Jahre. Die Zeiten haben sich geändert.

Salt-Verfahren und Key-Stretching

Doch es gibt neue Verfahren. Ab einer Passwortlänge von 12 Zeichen (wieder alphanummerisch) kann nämlich das beste Knack-Programm und der schnellste Rechner nichts mehr ausrichten – zumindest nicht mehr in vertretbarer Zeit.

Bei dem sog. Salt-Verfahren werden an eher schwache Passwörter zufällige Zeichen angehängt, mit gehasht und im Klartext abgespeichert. Letzteres erscheint zwar widersprüchlich, ist aber sicher, denn das Salt-Verfahren muss nur zufällig aber nicht geheim sein und es muss dem Angreifer von außen eine sehr lange zu prüfende Zeichenkette präsentieren.

Ein weiteres Verfahren (Key-Stretching) besteht darin, durch gewollte Hash-Wiederholungen die Zeit zu erweitern, in der die Hash-Werte geprüft werden. Diese Zeit ist für den einzelnen Vorgang, z.B. Abprüfen des eingegeben richtigen Passwortes, unerheblich, bremst aber die Brute-Force-Attacken deutlich aus. Optimal ist sicher eine Kombination beider Verfahren.

Sicherheitsrisikofaktoren

Attacken auf und Einbrüche in Computersysteme haben – zumindest gefühlt – in den letzten Monaten exponentiell zugenommen. Dabei werden oft auch Passwörter gezielt ausgespäht und mitgenommen. Auch in diesem Blog sind die Beiträge zu Datendiebstählen leider ansteigend. Das Problem hat auf Seiten der Passwortsicherheit vor allem zwei Ursachen, die im Zusammenspiel fatale Sicherheitslücken aufreißen können:

Risikofaktor Mensch / Benutzer

Menschliche Gehirne sind nicht primär darauf ausgelegt, sich ständig wechselnde nicht-sinnvolle Zeichenketten wie G5%bh8&Km zu merken. Also macht ein Benutzer es sich leichter. Neben den “Klassikern” wie das Post-It mit dem aktuellen Passwort auf dem Bildschirm oder unter der Tastatur als Merkhilfe werden Passwörter vom Benutzer einfach leichter merkbar gemacht, z.B. durch die Verwendung von Wörtern, die einen Sinn ergeben – und die sich leider auch in Wörterbüchern finden. Eine weitere Methode, der Flut der Passwörter zu entgehen, ist es, eben für alle Gelegenheiten immer dasselbe zu verwenden. Und umso besser, wenn es nicht gewechselt werden muss…

Risikofaktor Mensch / Administrator

Auch Administratoren sind nur Menschen und alles, was das Leben unnötig kompliziert, wird gerne weggelassen. Die oben erwähnten Verfahren zur Verbesserung der Verschlüsselungssicherheit bei Passwörtern sind in der Regel nicht Standard sondern erfordern zusätzliche Einstellungen und Installationen.

Passwortempfehlungen

Zusätzlich zu den schon hier veröffentlichen Empfehlungen bzgl. Passwortregelungen kann das Wissen um Passwortverschlüsselung und -sicherheitslecks vielleicht dazu beitragen, dass unsere Beiträge zu Datendiebstählen wieder verringert werden.

Abschließend dazu heise Security Online:

Administratoren sollten sich nicht auf die Standardeinstellungen ihrer Systeme verlassen, sondern die sichersten Methoden einsetzen — und dies seinen Anwender mitteilen. Als Nutzer eines Forums oder eines Online-Shops hat man jedoch keinen Einfluss darauf, ob der Anbieter eine sichere Methode benutzt. Schlimmer noch: Man kann nicht mal abschätzen, womit er die Passwörter überhaupt verschlüsselt. Für den Anwender liegt der beste Schutz deshalb in der Wahl verschiedener Passwörter. Das Autoren-Kennwort für das Typo3-CMS sollte nicht das gleiche wie für das PayPal-Konto sein.

Grundsätzlich gilt: Länge ist Trumpf – sofern das Wort in keinem Wörterbuch steht. Dabei dürfen die Passwörter für nicht ganz so wichtige Konto ruhig etwas kürzer sein als die für Bezahldienstleister.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.