Passwörter werden unsicherer… wirklich?
Aktuell treibt ein neuer böser Geist sein Unwesen in den News. Mehrere Portale berichten, dass bisher als Sicher eingeschätzte Passwörter nicht mehr als sicher gelten würden. Als Sicher galten Passwörter mit mindestens acht Zeichen Länge, bei denen mindestens Sonderzeichen und Ziffern mit im Spiel sind.
Schnellere Hardware macht es möglich
Jetzt berichten n-tv, ShortNews und Winfuture, dass dies so nicht mehr stehen bleiben könne. Hintergrund hier ist, dass man ein solches Passwort mit einem Brute-Force-Angriff binnen weniger Stunden knacken könne. Rechnerisch wird das wie folgt begründet: bei acht Stellen kann das Passwort rund 6 Billionen verschiedene Kombinationsmöglichkeiten aufweisen. Mit einem „normalen“ Hochleistungs-PC bräuchte man rund ein Jahr, diese durchzuprobieren. Mit der aktuellen Entwicklung leistungsfähiger Hardware – vor allem im Bereich Grafikkarten, die sich für andere Berechnungen auch nutzen lassen – würde dieser Zeitraum auf rund sechs Stunden schrumpfen. Ebenso wird das Szenarion des Distributed Computing, bei dem viele PC-Systeme parallel kooperieren und die Kombinationen ausprobieren, herangezogen.
Echte Gefahr?
Sicherlich dürften die Szenarien rechnerisch richtig sein. Aber auf der anderen Seite lassen diese Szenarien einen wesentlichen Punkt aus: Die Anwendung der Passwörter. Praktisch jede Internet-Anwendung, die Passwörter benötigt, ist so nicht zu knacken. Alleine durch die Zeit, die die Datenübertragung beim Ausprobieren aller Kombinationen benötigen würde, werden diese angeblichen sechs Stunden Höchstdauer ins Nirvana geschossen. Dies dauert schlicht nach wie vor viele Jahre. Ferner haben die meisten qualifizierten Softwaresysteme eine Bremse oder sogar eine Höchstzahl an Login-Versuchen – wahlweise absolut oder pro Stunde/Tag/Woche etc. Hier ist ein Brute-Force-Angriff schlicht nicht möglich. Brute-Force-Angriffe sind sicherlich möglich. Beispielsweise kann man sich vorstellen, dass eine verschlüsselte Datei oder eine Datenbank eines Passwort-Safes in falsche Hände gekommen ist. Auf diesen verschlüsselten Daten direkt einen solchen Angriff auszuführen, wird nicht mehr durch andere Sicherheitssysteme geschützt; hier greift also die Berechnung. Andererseits muss der Angreifer in diesem Szenario auch wieder erst einmal an diese Datei kommen. Besteht die Möglichkeit, muss man sich sicherlich Gedanken über das Passwort machen oder auf andere Dinge, wie Dongles, Einweg-Passwörter, Token-Systeme usw. ausweichen.
Kategorie: Nachrichten, Sicherheit, Software