Menü schließen
Menü umschalten

Passwortsicherheit: Entschlüsslungstechniken und Empfehlungen

Das Bild zeigt die im Jahr 2022 häufigsten verwendeten Passwörtern.

Schwache Passwörter behalten auch 2022 die Oberhand

Das Entschlüsseln von Passwörtern bleibt weiterhin eine erhebliche Sicherheitsbedrohung. Laut einer Analyse des Passwortmanagers NordPass sind auch im Jahr 2022 die häufigsten Passwörter in Deutschland noch immer äußerst offensichtlich und leicht zu entschlüsseln (https://nordpass.com/de/most-common-passwords-list/):

  1. 123456
  2. password
  3. 123456789
  4. 12345
  5. hallo

Angesichts der fortbestehenden Bedrohung sollten Passwörter schon längst durch benutzerfreundlichen und starken Authentifizierungsmethoden wie Passkeys und FIDO2 ersetzt werden. Leider vertrauen viele Organisationen noch immer auf veraltete Passwortverfahren. Die bloße Einhaltung von Mindestanforderungen, wie eine bestimmte Passwortlänge oder die Verwendung von Groß- und Kleinbuchstaben, hält die Benutzer nicht davon ab, bei der Wahl des Passworts nachlässig zu sein.

Entschlüsselungstechniken

Abhängig von den verwendeten Techniken und Angriffsmethoden kann die Entschlüsselung des Passworts auf verschiedene Weise erfolgen. Um die Methoden zu verstehen, muss man sich zunächst das Verfahren der Passwortspeicherung genauer betrachten:

Verschlüsselung

Das eingegebene Passwort wird mithilfe eines Schlüssels in einen unkenntlichen Zeichencode umgewandelt, der bei Bedarf durch den entsprechenden Entschlüsselungsschlüssel wiederhergestellt werden kann.

Hasing

Das eingegebene Passwort wird mithilfe eines kryptografischen Algorithmus in eine eindeutige Zeichenfolge (Hash-Wert) umgewandelt, die sich nicht mehr umkehren lässt.
Die Betreiber von Diensten verwenden in der Regel die Hashing-Methode, da die Passwörter nicht umgewandelt, sondern nur auf ihre Gültigkeit überprüft werden müssen. Will ein Angreifer nun ein Passwort knacken, muss er zunächst den Hashwert auslesen. Dies kann mit Hilfe von Angriffsmethoden wie Man-in-the-Middle-Angriffen, gehackten Login-Datenbanken oder Phishing-Versuchen erreicht werden. Der nächste Schritt ist die Entzifferung des Hash-Wertes. Dazu gibt es verschiedene Techniken, die dies ermöglichen:

Brute Forcing

Der Angreifer probiert systematisch alle möglichen Zeichenkombinationen aus, bis er das richtige Passwort gefunden hat. Dieser Ansatz ist zeitaufwändig, da es bei längeren und komplexeren Passwörtern eine große Anzahl von möglichen Kombinationen gibt.

Rainbow Table

Da die Hash-Algorithmen öffentlich bekannt sind, ist es möglich, umfangreiche Listen mit vorberechneten Passwort-Hashes zu erstellen. In den so genannten Rainbow-Tabellen sind die berechneten Hash-Werte und die zugehörigen Klartext-Passwörter bereits gespeichert. Wenn also ein Hash-Wert bekannt ist, kann die Tabelle nach diesem Wert durchsucht werden. Dadurch können Angreifer das Brute-Forcing-Verfahren umgehen und das Kennwort schneller entschlüsseln. Es gibt jedoch eine zusätzliche Sicherheitsmaßnahme, die der Nützlichkeit einer Rainbow Table entgegenwirkt. Beim „Password Salting“ fügt der Server am Anfang und am Ende eines Passworts Zufallswerte hinzu, die nur dem Server bekannt sind. Die daraus resultierenden Hashes stimmen nicht mehr mit den bekannten Hashes überein.

Dictionary Attack

Der Angreifer verwendet eine Liste mit häufig verwendeten Wörtern, Passphrasen oder Kombinationen von Zeichen, um ein Passwort zu erraten. Anstatt alle möglichen Kombinationen wie beim Brute-Force-Angriff auszuprobieren, durchsucht der Angreifer das Wörterbuch nach Übereinstimmungen. Diese Art von Angriff kann effektiv sein, wenn das gewählte Passwort aus einem allgemeinen Wort besteht, ist aber weniger erfolgreich bei komplexen oder einzigartigen Passwörtern.

Credential Stuffing

Benutzer verwenden in der Regel dasselbe Root-Passwort für mehrere Dienste. Der Angreifer probiert das geknackte Passwort oder Variationen davon in mehreren Diensten aus. Dies kann dazu führen, dass alle Dienste des Benutzers kompromittiert werden.

Schwache Passwort-Hashes

Hash-Algorithmen wie MD5 oder SHA-1 gelten heute als schwach und können schnell geknackt werden. Wenn ein System die Hashes von Benutzerpasswörtern mit einem derartigen Algorithmus speichert, kann die gesamte Datenbank schnell geknackt werden. Moderne Systeme empfehlen sicherere Algorithmen, wie z. B. bcrypt, das “gesalzene” Passwort-Hashes verwendet.

Neben den verschiedenen Methoden zum Knacken eines Passworts gibt es auch frei verfügbare Tools, die die oben erläuterten Angriffsmethoden verwenden. Die Verfügbarkeit solcher Tools hat die eigentliche Absicht, Sicherheitslücken und Schwachstellen zu identifizieren und zu verbessern, Systeme zu stärken und gemeinsam an der Verbesserung der Sicherheit zu arbeiten.

Empfehlungen für sichere Passwörter

Die Erstellung eines sicheren Passworts ist von entscheidender Bedeutung, um den Schutz Ihrer Online-Konten und persönlichen Informationen zu gewährleisten. Die folgenden Maßnahmen empfehlen wir:

1.

Fokussierung auf Passwortlänge​

Traditionell wurden Passwortrichtlinien darauf ausgerichtet, dass Passwörter eine bestimmte Komplexität aufweisen müssen. Jedoch hat sich gezeigt, dass lange Passwörter eine größere Sicherheit bieten, selbst wenn sie weniger komplexe Zeichen enthalten. Ein langes Passwort besitzt eine größere Anzahl von möglichen Kombinationen und bietet somit einen besseren Schutz vor Brute-Force-Angriffen.

2.

Verwendung einer Passphrase ​

Eine Passphase besteht aus einer Kombination von Wörtern und basiert auf einer natürlichen Sprache, z.B. „DerRotePiratIsstGerneOstereier“. Dies erleichtert den Benutzern das Merken, ohne auf schriftliche Aufzeichnungen zurückgreifen zu müssen. Zudem führen Passphrases zu einer höheren Gesamtlänge und sind widerstandsfähiger gegen Wörterbuchangriffe. Die Verwendung einer Passphrase anstelle eines kryptischen Passworts bietet somit eine gute Balance zwischen Sicherheit und Benutzerfreundlichkeit.

3.

Einzigartige Passwörter

Die Wiederverwendung von Passwörtern für verschiedene Konten stellt ein erhebliches Sicherheitsrisiko dar. Wenn ein Angreifer in den Besitz des Passworts gelangt, kann er schnell und einfach alle anderen Konten kompromittieren. Für jeden genutzten Dienst sollte ein eindeutiges und sicheres Passwort verwendet werden. Die Verwendung eines Passwortmanagers kann dabei helfen, Passwörter für jeden Dienst zu erstellen und zu verwalten.

4.

Verzicht auf regelmäßige Passwortänderungen

Die Empfehlung, Passwörter regelmäßig zu ändern, wird zunehmend in Frage gestellt. Häufige Änderungen können dazu führen, dass die Benutzer einfachere und vorhersehbarere Passwörter wählen, die sie sich leichter merken können. Wenn ein Passwort sicher ist und nicht kompromittiert wurde, besteht keine unmittelbare Notwendigkeit, es zu ändern. Anstatt sich nur auf die regelmäßige Änderung von Passwörtern zu konzentrieren, sollten zusätzliche Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung eingesetzt werden.

5.

Nutzung von sicheren Hash-Algorithmen

Erhöhte Hash-Sicherheit bedeutet, dass selbst kürzere Passwörter viel länger brauchen, um geknackt zu werden. Moderne und sichere Hash-Algorithmen wie bcrypt oder Argon2 werden daher empfohlen, um eine angemessene Sicherheit für Passwörter und gespeicherte Daten zu gewährleisten.

Es ist unbestreitbar, dass das Thema Passwortsicherheit weiterhin von großer Bedeutung ist. Die fortwährende Verwendung schwacher Passwörter und die Nachlässigkeit bei der Auswahl und Verwaltung von Passwörtern sind nach wie vor eine ernsthafte Bedrohung. Verbessern Sie Ihre Sicherheit und stellen Sie sicher, dass Ihr Unternehmen und Ihre Benutzer nicht Opfer werden.

Weitere Beiträge

Keinen Beitrag mehr verpassen?

Wir benachrichtigen Sie, wenn ein neuer Beitrag veröffentlich wird.

ABONNIEREN
Suche

Weitere Beiträge