Gute und schlechte Passwörter - Raten mit Brute-Force

Betrifft den Punkt „Schwachstellenausnutzung“ der Cyber Kill Chain.

Für fast alle WebServices benötigt man ein Passwort. Das Passwort soll die Identität eines Menschen bestätigen. Ruft man beispielsweise seine eMails ab benötigt man den Benutzernamen und das dazugehörende Passwort. Beide Informationen müssen gültig sein; erst dann kann der eMail-Service genutzt werden.

Passwörter zu merken ist für den Großteil der Menschen ein Problem. Daher nutzen viele einfache Passwörter; also sowas wie DasistmeinPasswort oder 12345 oder Admin, oder …

Ebenfalls sehr populär sind sog. „Keyboard-Walk-Passwörter“ wie beispielsweise 1qayxsw2 oder 1qwert oder auch mit GROSS-Kleinschreibung wie cde3.

Generell kann man sich merken, dass alle Wörter, die in einem Wörterbuch (Duden o.ä.) stehen, innerhalb von Millisekunden von Computern erraten werden. Das gilt auch ebenso für die Keyboard-Walk-Passwörter. Damit sind solche Passwörter wertlos.

hivesystems.io hat eine Tabelle erstellt um zu zeigen wie schnell Passwörter geraten werden können.

Diese Tabelle dient jedoch nur der Veranschaulichung. Warum?

Nun, in der Tabelle steht, dass ein Computer, für ein Passwort mit 17 Zeichen und GROSS-Kleinschreibung, ca. 100 Milliarden Jahre benötigt, um das Passwort zu erraten. Allerdings schrieb ich oben, dass alle Wörter eines Wörterbuchs binnen kürzester Zeit erraten werden. So hat das folgende Passwort sogar 38 Zeichen, allerdings ist es völlig wertlos:

Besser wäre also dieses Passwort mit tatsächlich nur 17 zufällig gewählten Zeichen:

Computer können die Passwörter so schnell erraten, weil es viele Passwortlisten gibt, welche der Computer einfach abarbeitet. Solche Passwortlisten gibt es quasi für jede Sprache und jedes Wörterbuch der Welt. Das computergestützte Durchprobieren nennt man „Brute-Force-Methode“.

Passwortlisten kann man sich beispielsweise hier klicken: https://github.com/antara-mane17/Portable-Wordlist-Password

Generell kann man davon ausgehen, dass zufällig generierte Passwörter mit GROSSBUCHSTABEN, Kleinbuchstaben, Zahlen, Sonderzeichen und einer Länge von mind. 16 Zeichen schon sehr gut sind.

Beispiel: 9!rB=Xsc%?J4mqfj

Noch besser sind länge Passwörter mit zusätzlich noch Spezialzeichen.

Beispiel: z×·FÊâ3@Á%C¬,}Ë>5Æð]²jù©kÑÀdüÇöìc¯£¦#^(ú»YÓõa2º°Ô

Solche sicheren Passwörter kann man sich i.d.R. nicht merken. Dafür gibt es Passwortmanager, wie beispielsweise KeePass.

Ich empfehle immer einen Passwortmanager zu benutzen. Der Passwortmanager merkt sich die Passwörter und man ist auch nicht versucht für verschiedene WebDienste das gleiche Passwort zu verwenden.

Derzeit wird mehr und mehr eine 2-Faktor-Autorisierung (2FA) von vielen WebDiensten angeboten.

Man identifiziert sich gegenüber einem WebDienst nicht nur mit dem Benutzernamen und dem Passwort, sondern zusätzlich noch mit einer zweite Information, beispielsweise einer Zeichenfolge, die man per SMS erhält. Das bieten beispielsweise Banken, Amazon, PayPal, Microsoft, … an.

Ich empfehle dringend die 2FA überall zu nutzen wo es geht. Damit kann man u.a. die oben beschriebene Brute-Force-Methode abwehren.