Warum wir den Passwort-Krieg verlieren

Passwort Hack

LinkedIn, eHarmony, Yahoo - die Liste lässt sich beliebig fortsetzen: Alles Unternehmen, die Kundenzugangsdaten verloren haben. Wir kennen zwar alle die Regeln für sichere Passwörter, aber trotzdem könnte es sein, dass unsere Zugangsdaten immer unsicherer werden.

Keine Namen oder einfache Worte, sondern Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen verwenden und mindestens 10 Stellen verwenden – das sind die Regeln für die Passwortvergabe. Dennoch zeigt sich, dass das nicht reicht. Das Problem bei den Passwort-Beutezügen der letzten Zeit ist die Tatsache, dass die Passwörter von Millionen von Leuten bekannt sind. Ars Technica erklärte dazu folgendes:

Neue Hardware und moderne Methoden haben die Passwort-Cracks der letzten Zeit beflügelt. Die für Rechenaufgaben zweckentfremdeten Grafikprozessoren sind tausende Male schneller als Prozessoren und können Passwörter in einer Geschwindigkeit ausprobieren, die bislang unerreicht war. Ein einzelner PC mit einer einzelnen AMD Radeon HD7970 GPU kann zum Beispiel pro Sekunde 8,2 Milliarden Passwortkombinationen ausprobieren – abhängig von dem Algorithmus, der dazu verwendet wird. Vor 10 Jahren konnten das nur Supercomputer.

Jedes Mal wenn ein Hack passiert, erhalten die Angreifer zudem mehr Informationen darüber, die die Benutzer Passwörter auswählen. Sie besitzen nun riesige Datenberge von Passwörtern, die in die Angriffsmodelle mit einbezogen werden können.

Wichtiger noch als die tatsächlich verwendeten Passwörter ist der Einblick in die Art und Weise, wie Menschen Passwörter nutzen. Die meisten Anwender versuchen, sowohl ein leicht zu merkendes aber auch schwer zu erratendes Passwort zu erstellen.

Wenn man sich zum Beispiel die Passwörter ansieht, die beim Einbruch in RockYou erbeutet wurden, dann sieht man, dass praktisch alle Großbuchstaben am Anfang des Wortes verwendet wurden und fast alle Zahlen und Sonderzeichen am Ende. Außerdem gibt es eine starke Tendenz, Vornamen gefolgt von Jahreszahlen zu verwenden, wie zum Beispiel Julia1984 oder Christopher1965.

Was ist also der Ausweg aus dieser Situation? Ehrlich gesagt – außer dass man ständig seine Passwörter wechseln und für jeden Zugang ein separates Passwort verwenden sollte, gibt es unter Umständen gar keine befriedigende Lösung. Auf Ars Technica kann man dazu noch mehr lesen. [Leslie Horn / Andreas Donath]

[Via Ars Technica, Bild: Yellowj/Shutterstock]

Tags :