Passwörter
29.05.2013, 00:00 Uhr
90 Prozent sind unsicher
Alle Jahre wieder werden Passwortlisten getestet und Jahr für Jahr zeigt sich, dass die Passwörter der Anwender nicht besser geworden sind und die Server sie nicht oder nur wenig besser schützen.
Immer Besser werden jedoch die Hacker, welche die verschlüsselten Passwörter in Klartext verwandeln und ihre Werkzeuge. Im März hat Nate Anderson, ein Journalist bei Ars Technica einen Selbsttest gemacht. Er schaffte es aus einer Liste von 16.449 verschlüsselten Passwörtern (MD5 cryptographic hash) knapp die Hälfte zu entschlüsseln. Er brauchte dafür einige Stunden, ohne wie er selbst sagt vorher schon einmal geübt zu haben.
Später lud Ars Technica drei erfahrene Hacker ein und stellte ihnen dieselbe Aufgabe. Der am schlechtesten abschneidende Hacker entschlüsselte 62 Prozent der Passwörter innerhalb einer Stunde und beantwortete dabei noch eine Menge Fragen. Der beste Hacker knackte 90 Prozent der Passwörter, brauchte dafür ein paar Stunden mehr und nutzte dafür etwas leistungsfähigere Hardware: Einen Rechner mit zwei statt nur einer Grafikkarte (AMD Radeon 6990), deren GPUs die Rechenleistung für die Hackersoftware bereitstellten.
Wie jede Liste enthielt auch die Testliste die üblichen, nicht ausrottbaren Passwörter "123456789" oder "letmein", aber auch laut gängiger Meinung relativ sichere Passwörter wie "qeadzcwrsfxv1331," wurden geknackt. Als Gründe wurden drei wichtige Punkte ausgemacht:
- Die zu schwache Standardverschlüsselung per MD5-Allgorithmus. Schließlich schafft eine GPU acht Milliarden Versuche pro Sekunde. Selbst per SHA512crypt-Funktion, welche einen Text durch 5.000 Hashing-Operationen jagt, limitiert diese Zahl lediglich auf 2.000 Versuche pro Sekunde.
- Die Nutzer setzen auf leicht zu merkende, nicht auf zufällige Passwörter. Zudem enthalten die Passwörter sehr oft Bestandteile, die in den Wortlisten der Hacker zu finden sind.
Die komplette, mehrseitige englischsprachige Story finden Sie hier. [bl]