Eines der lukrativsten Einfallstore für Cyber-Kriminelle sind schwache Passwörter. Tipps zu sicheren Passwörtern und deren Verwaltung findest du in diesem Artikel.
♦ Mit der Anzahl von Nutzerkonten bei Online-Dienstleistern wächst zugleich die Zahl der gestohlenen Nutzerdaten, die von Internetkriminellen missbraucht werden. Identitäts- und Datendiebstähle sind mittlerweile zum Milliardengeschäft einschlägiger Banden geworden. Die bedeutendsten Datendiebstähle der letzten Jahre waren unter anderem
- 2017 Yahoo mit 3 Milliarden (!) Nutzerdaten gestohlen
- 2018 Facebook mit knapp 50 Mio Zugangsdaten von Benutzerkonten mit teilweise sehr persönlichen Daten
- 2019 Veröffentlichung privater Daten von deutschen Politikern und Prominenten
- 2019 Autovermietung Buchbinder mit 3,1 Millionen Kundendaten inklusiv persönlicher Daten
Eine einfache Identität eines Nutzers besteht aus Benutzername und Passwort. Gelangen solche Identitäten in falsche Hände, können die Folgen fatal sein. Die Liste für einen potentiellen Missbrauch der Daten ist lang: Teure Wareneinkäufe auf Kosten des Bestohlenen, Kostenpflichtige Abonnements bei Streaming-Diensten, Abos für Online-Dating-Portale, Vertragsabschlüsse für Mobilfunkverträge usw.
All das muss nicht sein. Betroffene können sich vor Missbrauch schützen indem sie bei der Wahl ihrer Passwörter gewisse Regeln beachten. Wer seine Identität nicht durch ein sicheres Passwort schützt ist Kriminellen auf lange Zeit hilflos ausgeliefert.
Datendiebstahl ein Milliardengeschäft für Internetbanden
Mit der Registrierung eines Nutzers bei einem Dienstleister, werden Nutzernamen und Passwort in einer Datenbank des Anbieters gespeichert. Damit weist sich der Nutzer mit seiner digitalen Identität gegenüber dem Online-Dienst aus. Seriöse Dienstleister legen Passwörter nicht im Klartext, sondern in verschleierter Form als sogenannten Hash in ihrer Datenbank ab.
Nutzername | SHA1 Passwort-Hash | Salt |
Alfred63 | 0d1a9d987b884c9147f0ab3319aed4cd4c1c376b | &<6 |
Matti264 | 7c4a8d09ca3762af61e59520943dc26494f8941b | y#4 |
Conni@web.de | 2e2b6533a81bc15430cf65de46dc097eeb5ba70c | h)Y |
Zu jedem Hash kann nur ein Passwort gehören und aus dem Hash kann kein Passwort errechnet werden. Verschafft sich ein Hacker Zugang zu dieser Datenbank, lädt er die Kundendaten auf den eigenen Rechner herunter und versucht das Nutzerpasswort zu ermitteln. Gefundene Nutzername-Password-Paare verkauft er an professionelle Cyber-Banden, die ihrerseits die Identitäten für Erpressungsversuche, Wareneinkäufe, SPAM-Versand usw. missbrauchen.
Passwort-Cracker als Hochleistungsrechner
Jeder, der ein Zahlenschloss kennt, weiß, dass er durch Ausprobieren aller Zahlenkombinationen die richtige Kombination finden kann. Bei einem Zahlenschloss mit 4 Zahlenringen sind dafür maximal 10.000 verschiedene Einstellungen nötig.
Auf gleiche Weise arbeiten Passwort Cracker, indem sie alle möglichen Kombinationen ausprobieren (Brute Force Methode).
Das Schaubild zeigt, wie viele Kombinationen es bei einem 4-stelligen Passwort gibt, wenn das Passwort
a) nur aus Zahlen,
b) aus Groß- und Kleinbuchstaben
c) aus Zahlen, Buchstaben und Sonderzeichen mit insgesamt 82 Zeichen besteht. Bei einem 6-stelligen Passwort gibt es bereits 826= 304 Milliarden mögliche Kombinationen. Das bedeutet
Je mehr mögliche Kombinationen es gibt und je länger ein Passwort ist, desto länger dauert es, bis ein Passwort geknackt ist. |
Nun könnte man meinen, dass es eine kleine Ewigkeit dauert wird bis so ein 6-stelliges Passwort geknackt ist. Keineswegs. Schnelle Rechner sind heutzutage in der Lage ca. 200 Milliarden Passwörter pro Sekunde auszuprobieren. Der Passwort-Cracker generiert also Billionen von Passwörtern, berechnet den dazugehörigen Hash und vergleicht das Ergebnis mit dem Hash in der Nutzer-Datenbank. Sobald die beiden Hashwerte übereinstimmen, ist das richtige Passwort gefunden.
Um möglichst schnell ans Ziel zu gelangen, testen Passwort-Cracker zunächst Namen und Wörter aus dem Wörterbuch, womit sie bereits hohe Trefferquoten erzielen – danach folgen Zahlen- und Zeichenkombinationen.
Ob du bereits Opfer eines Datendiebstahls geworden ist kannst du im Webportal https://haveibeenpwned.com des australischen Sicherheitsexperten Troy Hunt erfahren. Dort gibst du einfach deine E-Mail Adressen ein und erhälst dann eine Auskunft darüber, ob und bei welchem Dienstleister-Server dein Account gestohlen wurde. Wird die E-Mail-Adresse gefunden, dann bist du Opfer eines Datendiebstahls geworden und solltest umgehend dein Passwort ändern. Ebenso überprüft das Portal im Menüpunkt „Passwords“ ob ein eingegebenes Kennwort in gestohlenen Nutzerdaten enthalten ist.
Warum ein sicheres Passwort vor Missbrauch schützt
Prinzipiell gilt: jedes Passwort ist knackbar – es ist lediglich eine Frage der Zeit. Ziel sollte also sein, ein Passwort zu finden, das eine möglichst lange Berechnungszeit erfordert. Die nachfolgenden Regeln helfen, sichere Passwörter zu finden, deren Rechenzeiten locker über ein Menschenleben hinaus gehen.
Sichere Passwörter …
|
Eine Liste der häufigsten Passwörter lässt sich bei Wikipedia nachschlagen. Alle dort gelisteten Passwörter lassen sich in weniger als 1 Millisekunde knacken.
Zudem sollten für unterschiedliche Dienste keine gleichen Zugangsdaten verwendet werden, um zu verhindern, dass mit einem einmal geknackten Passwort keine weiteren Konten kompromittiert werden können.
Nächste Seite: Tips für sichere Passwörter
Ehrlich gesagt habe ich nicht alles im Detail verstanden, aber wie schnell so ein Passwort geknackt werden kann, hat mich doch sehr überrascht. Natürlich habe ich sofort meine Passwörter bei Passwortcheck überprüft und war sichtlich geschockt. Es war ein wenig Arbeit, dafür kann man jetzt meine Passwörter zu meinen Lebzeiten nicht mehr knacken.
LiiiLooo