[ziesell]

Zitat:

Forscher machen den Test: 59 Prozent aller Passwörter in unter 60 Minuten knackbar

Forscher haben per Brute-Force-Methode mit einer Nvidia Geforce RTX 4090 Millionen von Passwörtern aus dem Darknet geknackt.



Sicherheitsforscher von Kaspersky haben untersucht, wie schnell sich gängige Passwörter mit einer modernen GPU vom Typ Nvidia Geforce RTX 4090 knacken lassen. Durchgeführt wurde die Untersuchung anhand einer Datenbank mit 193 Millionen echten Nutzerpasswörtern, die die Forscher aus dem Darknet bezogen. Sämtliche Passwörter lagen dabei in Form von gesalzenen MD5-Hashes vor.

Zwar gilt der MD5-Algorithmus schon seit Jahren als unsicher, jedoch ist für Anwender in der Regel nicht ersichtlich, ob ein Onlinedienst in Sachen IT-Security alles richtig macht und auf sicherere Hashing-Algorithmen wie etwa bcrypt setzt. Insofern sind die praktischen Auswirkungen der von Kaspersky durchgeführten Tests nicht zu unterschätzen.

Die Forscher versuchten, anhand der Hashes die zugehörigen Klartextpasswörter per Brute-Force-Methode zu ermitteln. Zunächst kam nur klassisches Brute Forcing zum Einsatz, später wendeten die Forscher auch fortgeschrittene Algorithmen an, um etwa häufig vorkommende Wörter, Ziffernfolgen oder andere Zeichenkombinationen zu berücksichtigen und so den Rechenaufwand zu verringern.

Der Einsatz von Wörtern verschärft das Problem

Mit der Nvidia-GPU war es den Kaspersky-Forschern möglich, 164 Milliarden MD5-Hashes pro Sekunde zu generieren. Damit konnten sie 45 Prozent aller Passwörter aus der untersuchten Stichprobe innerhalb einer Minute knacken, 59 Prozent innerhalb einer Stunde und 73 Prozent innerhalb eines Monats. Nur bei 23 Prozent der Passwörter dauert es nach Angaben der Forscher länger als ein Jahr, bis sie geknackt sind.

Mit einem Anteil von 57 Prozent enthielten die meisten untersuchten Passwörter eine häufig vorkommende Zeichenfolge, etwa leicht zu merkende Ziffernfolgen, Namen oder andere beliebte Wörter. Diese ließen sich durch optimierte Algorithmen tendenziell schneller knacken. Bei 67 Prozent davon war dies innerhalb von einer Stunde möglich.

Acht Zeichen sind zu wenig

Gewiss spielt die Passwortlänge eine entscheidende Rolle hinsichtlich der Zeit, die ein erfolgreicher Brute-Force-Angriff benötigt. Selbst mit klassischem Brute Forcing ließ sich laut Kaspersky jedes Passwort aus der Stichprobe, das maximal acht Zeichen lang war, innerhalb eines Tages knacken. Anhand smarter Algorithmen, die beispielsweise Wörterbucheinträge berücksichtigen, sei dies aber auch bei längeren Passwörtern möglich.

Ob nur ein einzelnes Passwort geknackt werden soll oder eine ganze Datenbank von Passwörtern, macht allerdings zeitlich keinen großen Unterschied. "Während des Angriffs prüft der Hacker die Datenbank auf den in der aktuellen Iteration erhaltenen Hash. Ist der Hash in der Datenbank vorhanden, wird das Kennwort als geknackt markiert und der Algorithmus fährt mit der Arbeit an den anderen Kennwörtern fort", erklärten die Forscher.

Passwortmanager helfen

Kaspersky empfiehlt Anwendern, Passwörter mit möglichst großer Zufälligkeit zu verwenden und dabei alle vier Symbolklassen (Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) zu berücksichtigen. Entsprechende Passwörter lassen sich beispielsweise mit gängigen Passwortmanagern generieren – und auch direkt speichern. Bei der Wahl des Passwortmanagers ist allerdings Vorsicht geboten.

Darüber hinaus sollte jedes Passwort nur für einen einzigen Dienst genutzt werden, so dass auch mögliche Schäden im Falle einer Kompromittierung auf diesen Dienst beschränkt bleiben. Zusätzlich empfiehlt es sich, Nutzerkonten überall dort, wo möglich, mit einer Zwei-Faktor-Authentifizierung zusätzlich abzusichern.

Als Alternative zum klassischen Passwort bietet sich außerdem der Einsatz von Passkeys an, wobei auch diese nicht frei von Kritik sind.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[rexgullx]

Das zeigt aber zwei wesentliche (Schwach-)Punkte auf, die nicht vom Passwortinhaber zu verantworten sind:

Erster Punkt ist die ausreichende Absicherung der Datenbanken gegen ausleiten der Daten.

Zweiter Punkt ist das vom Betreiber angewendete Schlüsselverfahren für solche Datenbanken und wie man sieht, sind MD5-Hashes wohl nicht die beste Verschlüsselung.

Ein dritter Punkt sind die Vorgaben die der Betreiber bei der Erstellung eines Passworts machen könnte (Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen verwenden, Mindestlänge) aber aus Gründen der Bequemlichkeit für den Anwender nicht erzwingt oder schlimmer noch nicht einmal ermöglicht.

So wird man bei aller Vorsicht „sichere“ Passwörter einzurichten ausgebremst.

[Avantasia]

Ist aber auch sehr viel Dummheit dabei, ich kenne zig meiner Freunde,
die für alles das selbe Kennwort nehmen und das seit Jahren.
Und sich dann wundern wenn nichts mehr geht.

[Thorasan]

Nun würde ich es nicht rein als Dummheit bezeichnen. Es ist natürlich "bequem", überall das selbe zu nutzen. Aber es gibt eben auch mehr als genug Nutzer, die Passwortmanager nicht kennen. Und die können und wollen sich nicht hunderte Passwörter merken, schon überhaupt nicht, wenn sie auch noch "sicher" sein sollen.
Leider gibt es nach wie vor keine verlässliche Methode, die den Passwortwahn stoppen liesse. Man braucht ja heute quasi überall eins.
Und, und das ist der eigentliche Hohn dabei: Egal wie sicher es ist - es ist trotzdem nicht sicher.

[andi1953]

Ich denke auch, dass die Bequemlichkeit ein großes Problem ist. Es ist ja auch viel einfacher überall das gleiche kurze Wort einzugeben. Viele lernen eben leider erst durch Schmerz