Bei den Dienste-Anbietern im Internet hat es sich inzwischen herumgesprochen, dass die Speicherung von Passwörtern im Klartext keine gute Idee ist. Daher werden in der Regel nicht die Passwörter, sondern nur deren Hashwerte gespeichert. Hash-Verfahren wie MD5 oder SHA256 berechnen aus einem Klartext eine kryptische Prüfsumme. So wird aus dem Wort „geheim“ der MD5-Hash „e8636ea013e682faf61f56ce1cb1ab5c“. Das funktioniert wie eine Einbahnstraße, sodass sich aus dem Hashwert nicht der Eingabewert rekonstruieren lässt – zumindest nicht ohne großen Aufwand. Um das Passwort bei einer Anmeldung zu verifizieren, wird erneut der Hashwert berechnet und mit dem gespeicherten Wert verglichen. Wenn nun ein Hacker Zugriff auf die Daten erlangt, kann er mit den Hashwerten der Passwörter zunächst wenig anfangen.
Auf die Hashfunktion kommt es an
Wirklich sicher sind Passwort-Hashes aber nicht, denn viele Nutzer wählen simple und kurze Passwörter. Erst kürzlich hat ein Hacker mit dem Pseudonym Tinker gegenüber dem Web-Magazin The Register erläutert, wie sich bestimmte Hashwerte von achtstelligen Passwörtern in zweieinhalb Stunden knacken lassen. Dazu ist lediglich ein frei verfügbares Passwort-Recovery-Tool namens Hashcat nötig sowie ziemlich potente Hardware.
Wie schnell ein Hacker an das Passwort kommt, hängt stark von der verwendeten Hashfunktion ab. Je schwächer die Hashfunktion, desto mehr Hashes können pro Sekunde überprüft werden. Bei der Hashfunktion SHA512 lassen sich im Schnitt rund 300.000 Werte pro Sekunde checken. Das Knacken von Passwörtern dauert damit sehr lange. Schwach, alt, aber weit verbreitet sind die NTLM-Hashes von Microsoft. Mit acht Nvidia GTX 2080Ti GPUs schafft man über 100 Milliarden Hashes pro Sekunde, und die dazugehörigen Passwörter sind rasch entschlüsselt. NTLM ist auch auf neuen Rechnern noch häufig anzutreffen, da es mit alten Systemen kompatibel ist. Wem die geschätzt 10.000 Euro für die Hardware zu teuer sind, der kann sich die Rechenleistung etwa in der AWS-Cloud für weniger als 50 Euro mieten.
Passwörter müssen nicht kompliziert sein, sondern lang
Die unsicheren achtstellige Passwörter sind weit verbreitet, da sie bei vielen Diensten die Mindestanforderungen erfüllen. Google, Microsoft und Yahoo erfordern mindesten acht Stellen, Facebook, LinkedIn und Twitter sogar nur sechs. Auch Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen machen kurze Passwörter nicht wirklich sicher. Besser ist zum Beispiel eine zufällige 5-Wort-Passphrase. Eine Länge von 12 Zeichen sollte ein Passwort keinesfalls unterschreiten. Und falls Sie eines der unten aufgeführten Passwörter nutzen, dann sollten Sie diese schnellstens ändern.
Wenn möglich sollte zudem eine Zwei-Faktor-Authentifizierung verwendet werden. Ein Hacker benötigt dann nicht nur das Passwort, sondern auch physischen Zugriff auf Ihr Gerät. Die beste Option ist die Verwendung eines Passwort-Manager. Alles, was Sie sich dann merken müssen, ist das Master-Passwort für den Zugriff auf den Passwort-Tresor. Der Passwort-Manager von F-Secure heißt Key und lässt sich in der Einzelplatzversion kostenlos nutzen. Key ist auch Bestandteil von F-Secure Total.
Kategorien