Passwörter und Brute-Force – Die Länge macht den Unterschied

Heute am 2. Mai ist Welt Passwort Tag – nicht zu verwechseln mit dem Ändere dein Passwort-Tag am 01. Februar jedes Jahres. Unser Thema dazu ist Brute-Force

Brute-Force steht sinnbildlich für rohe Gewalt. Im Internet steht die Brute-Force-Methode für ein Verfahren zum Knacken von Passwörtern.

Dahinter steckt eine Methode, welche systematisch eine Liste von Zeichen-und Zahlenkombinationen ab arbeitet – bis es einen Treffer gibt.

Als erstes schauen wir uns nur die Kleinbuchstaben an:
Unser Alphabet hat 26 Buchstaben, und wenn man daraus ein sechsstelliges Passwort erzeugt, kommt man so auf bereits 308.915.776 mögliche Kombinationen.  

Wenn man nun auf eine Kombination von Klein-und Großbuchstaben setzt, ergeben sich einem sechsstelligen Passwort bereits 19.770.609.664 Möglichkeiten – fast 20 Milliarden.

Kombination aus Klein-und Großbuchstaben sowie Ziffern

Aber unsere Computer-Tastatur hat noch mehr Zeichen:
Nimmt man nun auch noch die Zahlen 0-9 hinzu, lassen sich aus diesen 62 Zeichen bereits 56.800.235.584 mögliche Passwörter erzeugen.

Fast 57 Milliarden mögliche Passwort Kombinationen hört sich nach sehr viel an. Für einen Menschen stellt das händische Ausprobieren all dieser Kombinationen eine schiere Unmöglichkeit dar – hinzukommt, dass viele Systeme bereits nach wenigen Fehlversuchen einen Account erstmal sperren.  

Computer = “Rechner”

Für einen Algorithmus sieht diese Herausforderung anders aus. Sie ist keine, denn nicht umsonst heißt ein Computer in der Umgangssprache „Rechner“.

Wenn man sich nämlich anschaut, wie schnell so ein „Rechner“ rechnen kann, konnte bereits im Jahr 2016 der schnellste Einzel-PC mit einer speziellen Software knapp 2,15 Milliarden Passwort-Kombinationen pro Sekunde (!) erzeugen.

In der Praxis bedeutet es nun, dass sich ein sechsstelliges Passwort aus Klein- und Großbuchstaben und Ziffern (z.B.: zB1aG4) in weniger als 30 Sekunden knacken lässt: eins aus nur Kleinbuchstaben (ardzdf) in weniger als einem Wimpernschlag.   

Vielfalt an Zeichen ausnutzen

Wie man bereits sehen kann, erhöht die Vielfalt an Zeichen exponentiell die Rechenzeit. Wenn man nun bereits 7 Zeichen einsetzt, liegt die Rechenzeit bereits bei über 27 Minuten.

Bei 8 Zeichen liegt man schon bei über einem Tag und bei 10 Zeichen dauert die Berechnung aller Möglichkeiten bereits über 12 Jahre.

Länge und Vielfalt machen den Unterschied!

Ergo – die Länge und Vielfalt der verwendeten Zeichen macht bei Wahl eines starken Passwortes einen wesentlichen Unterschied.

Aber hinter dem Algorithmus für Brute-Force Attacken steckt mehr als nur das lineare Erzeugen aller möglichen Kombinationen.

schalke04 vs. $chAlkeO4

Die Skripte und Programme zum Knacken von Passwörtern nutzen gewöhnlich auch zusätzliche Bibliotheken. Diese Bibliotheken enthalten Listen z.B. mit sämtlichen Begriffen aus Wörterbüchern und das nicht nur aus dem deutschen Duden. Hinzu kommt, dass im Internet etliche Listen mit geleakten Passwörtern kursieren, die ebenfalls zum Einsatz kommen

Ein guter Algorithmus wird deshalb sehr wahrscheinlich erst schalke04 (“Top Ten” deutscher Passwörter 2016) der als Passwort ausprobieren und erst sehr viel später bei $chAlkeO4 ankommen.

ASCII-Zeichen nutzen

Wie man anhand von $chAlkeO4 sehen kann – ein starkes Passwort sollte nicht nur aus Klein- und Großbuchstaben und Ziffern bestehen, sondern den gesamtem ASCII-Code ausnutzten. Der ASCII-Code enthält z.B. die deutschen Umlaute, genauso wie Sonderzeichen – vom Fragezeichen hin bis zum Doppelpunkt oder dem Euro-Symbol.  

Bei der Empfehlung zur Passwort-Länge schließen wir uns der Empfehlung des National Institute of Standards and Technology (NIST) an:

Ein starkes Passwort sollte inzwischen aus 12 Ziffern bestehen.  

Der Empfehlung ein starkes Passwort regelmäßig innerhalb von 3-6 Monaten zu ändern schließen wir uns übrigens nicht an.

Unsere Passwort-Tipps

Viel wichtiger sollte folgendes beachtet werden:

·  Wenn Du ein neues Kennwort vergibst, verwende kein Passwort, welches Du bereits in der Vergangenheit benutzt hast.

·  Verwende jedes Passwort nur einmal, egal ob für deinen Laptop, Online-Spiel, Social Media, WebShop usw.

·  Speichere oder notiere Dir deine Passwörter niemals im Klartext, bspw. in einem Word-Dokument, Text-Datei, PostIt oder einem Notizbuch.

·  Achte darauf, dass Dir bei der Passwort-Eingabe niemand über die Schulter schaut.

·  Das stärkste Passwort bleibt unsicher, wenn Du bei Sicherheitsfragen zur Passwort-Wiederherstellung auf unsichere Antworten setzt, die sich per Social Engineering leicht herausfinden lassen. Beispiel: “Was lautet der Name deiner Mutter”.

·  Ändere ein Passwort auch schon bei dem Verdacht auf Kenntnisnahme durch Dritte.

Links

Weitere Tipps zum Thema starkes Passwort findet Ihr auf Botfrei.de und auch in unserem Botfrei Wiki.

Der vom BSI entwickelte IT-Grundschutz ermöglicht es, listet außerdem auch sehr umfangreich und detailliert auf, was beim Passwortgebrauch zu beachten ist: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/

Wer sich für das Thema Brute-Force interessiert: Die Webseite der Passwortverwaltung-Software 1PW hat Tabellen erstellt, die zeigen wie lange bei welcher Passwort-Kombination eine Rechner bei einer Brute-Force Attacke „rechnet“. Die Rechnungen und Beispiele in diesem Beitrag beruhen auch auf den Angaben auf der Webseite: https://www.1pw.de/brute-force.php