Quelle: Eigene Darstellung
Wie lange hält dein Kennwort derzeit einem Hacker stand?
In Zeiten, in denen Cyberangriffe Alltag sind und aktuelle Supercomputer Milliarden Kombinationen pro Sekunde testen können (zukünftige Quanten-Computer womöglich noch viel mehr), wird die Kennwortsicherheit zur digitalen Überlebensfrage. In diesem Beitrag erfährst du, mit welchen Methoden Angreifende Kennwörter knacken – und welche einfachen Maßnahmen den Unterschied zwischen Datendiebstahl und digitaler Sicherheit machen können.
Brute-Force-Angriffe
Der Brute-Force Ansatz ist eine der grundlegendsten Methoden, um Kennwörter zu knacken. Dabei werden alle möglichen Kennwortkombinationen ausprobiert. Um zu verdeutlichen, warum dieser Ansatz in der Praxis an seine Grenzen stößt, nehmen wir ein Beispiel:
Stellen wir uns vor, wir nutzen die Rechenleistung des CLAIX-2023, der rund 14 PFLOPS (14 Billiarden Floating Point Operations Per Second) bietet – eine Operation ist in diesem Zusammenhang ein Rechenvorgang. Angenommen, das Testen der Kennwörter dauert nur eine Operation; dann würde es bei einem 94 Zeichen Alphabet (Groß- und Kleinbuchstaben, Zahlen und druckbare ASCII Sonderzeichen) bei einem zufällig generierten Kennwort der Länge 12 etwa ein Jahr dauern, um alle möglichen Kombinationen auszuprobieren. Bei 13 Zeichen sind es 100 Jahre und bei 14 Zeichen schon 10.000 Jahre. Bei einem Kennwort der Länge 16 sind es 84 Millionen Jahre. Mit der aktuellen Rechenleistung wäre es also schon unrealistisch, ein Kennwort mit 13 Zeichen per Brute-Force zu knacken.
Wörterbuch-Angriffe
Angreifende verzichten in der Praxis oft auf den rechenintensiven Brute-Force-Ansatz. Da Menschen in der Regel vorhersehbare und selten zufällig generierte Kennwörter verwenden, kommen so genannte Wörterbuch-Angriffe zum Einsatz.
Bei einem Wörterbuch-Angriff wird eine Liste häufig verwendeter Kennwörter oder anderer geläufiger Phrasen verwendet. Diese Listen können aus verschiedenen Quellen stammen, darunter häufig genutzte Kennwörter, sowie gängige Begriffe oder Namen aus verschiedenen Sprachen.
Auch Datenlecks von anderen Webseiten liefern Informationen für einen Angriff. Infolge von Sicherheitslücken, fehlerhafter Konfiguration oder menschlichem Versagen können Inhalte von Datenbanken öffentlich zugänglich werden. Da diese Lecks auch Anmeldeinformationen enthalten können, stellen sie eine Gefahr dar, vor allem wenn Kennwörter mehrmals verwendet werden. Bekannte Datenlecks betrafen unter anderen Facebook und Yahoo.
Deshalb gilt: Nutze in deinen Kennwörtern keine persönlichen Informationen, vermeide bekannte Muster und verwende Kennwörter nicht mehrmals.
Auf der Webseite Have I Been Pwned kannst du selbst herausfinden, ob deine Mail-Adresse oder dein Kennwort Teil eines bekannten Datenlecks waren.
Hashing-Algorithmen zur Sicherung von Kennwörtern
Um im Falle eines Datenlecks die Daten zu schützen, werden Kennwörter nicht in Klartext gespeichert, sondern als Hash. Ein Hash ist das Ergebnis eines sogenannten Hashing-Algorithmus – einem mathematischen Verfahren, das Daten, insbesondere Kennwörter, in eine feste Zeichenlänge umwandelt und verschlüsselt. Diese Transformation ist unumkehrbar, sodass es nicht möglich ist aus dem Hash das ursprüngliche Kennwort wiederherzustellen.
Im Gegensatz zur klassischen Verschlüsselung, bei der ein Schlüssel zur Wiederherstellung der Daten benötigt wird, dient diese Unumkehrbarkeit dem Kennwortschutz: Sollte jemand unbefugten Zugriff auf die Datenbank erhalten, sind nur die Hashes gespeichert – nicht die tatsächlichen Kennwörter. Bei einer Anmeldung wird das eingegebene Kennwort erneut gehasht und mit dem in der Datenbank gespeicherten Hash verglichen. Dieser Prozess macht es für Angreifende deutlich aufwändiger, ein Kennwort zu knacken, da viele Hashing-Algorithmen absichtlich viel Rechenleistung benötigen.
Eine zusätzliche Schutzmaßnahme ist das sogenannte Salting. Hier wird jedem Kennwort einen zufälliger Wert (Salt) hinzugefügt, bevor es gehasht wird. Dies verhindert, dass Angreifende mit vorgefertigten Listen häufig verwendeter Kennwörter arbeiten können, da für jedes Kennwort ein einzigartiger Hash erstellt wird.
Auch alte und unzureichend konfigurierte Hashing-Algorithmen sind durch die kontinuierlich steigende Rechenleistung gefährdet. Angreifende können heute mit geringem Aufwand auf enorme Rechenressourcen zugreifen, sodass selbst früher als sicher geltende Verfahren zunehmend unter Druck geraten.
Wie werden Datenbanken vor steigender Rechenleistung geschützt?
Moderne Hashing-Algorithmen wie Argon2 – der Gewinner der Password Hashing Competition – lösen das Problem der kontinuierlich steigenden Rechenleistung, indem sich der Rechenaufwand des Algorithmus flexibel anpassen lässt. Argon2 ermöglicht es Entwicklerinnen und Entwicklern sowie Administratorinnen und Administratoren Parameter wie den Speicherverbrauch, die Anzahl der Iterationen, die Anzahl der benutzten CPU Kerne sowie die Länge von Kennwort und Salt individuell anzupassen.
So lässt sich der Rechenaufwand eines Hashs kontrollieren und es wird sichergestellt, dass der Algorithmus der zunehmend steigenden Rechenleistung angepasst werden kann. Dadurch wird gewährleistet, dass Angreifende, auch bei Einsatz Leistungsfähiger Hardware, kaum in der Lage sind, große Mengen an Kennwort-Hashes in kurzer Zeit zu berechnen.
Fazit
Die Sicherheit von Kennwörtern hängt im Wesentlichen von der Komplexität und der angewandten Schutztechnik ab. Während Brute-Force-Angriffe bei langen Kennwörtern nahezu aussichtslos sind, können Wörterbuch-Angriffe Erfolg haben – insbesondere, wenn einfache oder vorhersagbare Kennwörter benutzt werden.
Um die Sicherheit weiter zu erhöhen, ist es ratsam, Passwortmanager zu nutzen. Diese helfen dabei, komplexe Kennwörter zu generieren und sicher zu speichern, zusätzlich bieten sie auch Schutz vor Phishing-Angriffen. Wenn möglich sollte das Master-Kennwort des Passwortmanagers aber mit einem weiteren Faktor gesichert werden. Besonders praktisch und sicher ist es, wenn Kennwörter direkt im Browser generiert und verwaltet werden.
Das Bundesamt für Sicherheit empfiehlt folgendes um ein sicheres Kennwort zu erstellen.
Weitere Tipps, wie du dich am besten schützt und worauf du weiterhin achten solltest, findest du in den folgenden Beiträgen, wobei das eigentliche Ändern des Kennwortes zu einem bestimmten Stichtag und nicht anlässlich eines Inzidentes eher obsolet ist, wie eine Publikation der Ruhr Universität Bochum (RUB) darlegt.
• Hilfe, mein E-Mail-Passwort wurde kompromittiert!
Verantwortlich für die Inhalte dieses Beitrags ist Marc Weerts
Könnt ihr mir helfen, mein passwort wiederzukriegen, von meiner alten e-mail-adresse
Hallo Marc,
wenn du von deiner RWTH-E-Mail-Adresse sprichst können wir dir gerne weiterhelfen.
Sollte es noch nicht so lange her sein, dass du dich das letzte Mal angemeldet hast, kannst du dich wieder anmelden.
Informationen rund um den E-Mail-Lifecycle findest du unter nachstehendem Link: https://help.itc.rwth-aachen.de/service/1jefzdccuvuch/article/cf05b9b569cb41d48fb61358d800cb71/
Das Kennwort zur E-Mail-Adresse kann ganz leicht im Selfservice geändert werden.
Bei weiteren Fragen wende dich gerne an unseren IT-ServiceDesk.
Die Kontaktinformationen sind unter nachstehendem Link zu finden: https://www.itc.rwth-aachen.de/go/id/rbnjb/
Liebe Grüße
Das IT Center Blog Team