SimplyScience: Mit einem sicheren Passwort gegen Hacker

Schemazeichnung eines Brute-Force-Angriffs — Bei einem Brute-Force-Angriff in alphabetischer Reihenfolge werden alle Kombinationen von Passwörtern getestet, bis das korrekte Passwort gefunden ist – hier 'abc' (vereinfachtes Modell mit ausschliesslich Kleinbuchstaben).

Die Eingabe eines „sicheren Passworts“ für jedes Online-Konto wird heute standardmässig empfohlen. Oft wird diese Empfehlung begleitet von Vorgaben bezüglich der Passwortlänge und der Verwendung bestimmter Zeichen (Grossbuchstaben, Zahlen, Sonderzeichen etc.). Doch wie sinnvoll sind all diese Einschränkungen und erfüllen sie wirklich ihren Zweck?

Um dies zu beantworten, ist es wichtig zu verstehen, wie ein unsicheres Passwort für bösartige Zwecke missbraucht werden kann und welche Folgen dies haben kann.

Der Brute-Force-Angriff

Angenommen, ein Hacker möchte ohne deine Zustimmung auf eines deiner persönlichen Konten zugreifen. Eine der einfachsten Möglichkeiten, dies zu erreichen, ist der Brute-Force-Angriff (übersetzt „Methode der rohen Gewalt“, auch erschöpfende Suche genannt). Der Hacker probiert dabei alle möglichen Kombinationen von Passwörtern auf der Website durch, bis er das richtige gefunden hat. Theoretisch kann man mit dieser Technik jedes Passwort herausfinden.

Moment: Wenn dieses Verfahren narrensicher ist – welchen Sinn hat es dann überhaupt, ein Passwort zu verwenden? 🤨

Das Geheimnis liegt in der Anzahl der Passwörter, die getestet werden müssen. Je grösser diese ist, desto mehr Zeit wird der Angreifer brauchen, um dein Passwort zu finden. Deshalb wird ein Angreifer bei seiner Offensive oft die exotischen Buchstaben (ÿ, ù, µ usw.) weglassen. Wenn man nur die häufigsten Buchstaben in einem Passwort verwendet, kann man die Anzahl der zu testenden Passwörter drastisch reduzieren und trotzdem effektiv bleiben.

Die Anzahl der möglichen Passwörter der Länge L für ein Alphabet der Grösse N wird durch die folgende Formel veranschaulicht: Anzahl der Passwörter = N^L.

Beispielsweise beträgt die Anzahl der Passwörter mit zwei Zeichen, wenn man nur die 26 Kleinbuchstaben a–z des lateinischen Alphabets berücksichtigt, 26² = 676.

Wenn man auch Passwörter mit 3 Zeichen berücksichtigen will, muss man zu dieser Zahl die entsprechende Anzahl an Passwörtern addieren:

Anzahl der Passwörter mit 2 oder 3 Zeichen = 676 + 26³ = 676 + 17'576 = 18'252.

Und so geht es weiter, indem man den Wert für 4 Zeichen (26⁴ = 456'976), 5 Zeichen (26⁵ = 11'881'376) usw. addiert.

Man sieht, dass man sehr schnell auf riesige Zahlen kommt: mehr als 8 Milliarden, selbst wenn man nur Passwörter mit einer Länge von bis zu 7 Zeichen betrachtet, die nur die 26 Kleinbuchstaben unseres Alphabets enthalten. Wenn wir auch die Grossbuchstaben und alle Zahlen verwenden, kommen wir auf über 3 Billionen (!) zu testende Passwörter.

Um dem entgegenzuwirken, kann ein Angreifer Wortlisten verwenden, um den Prozess zu beschleunigen. Er kann zum Beispiel alle Wörter des deutschen Rechtschreibdudens (etwa 148'000) oder alle Passwörter mit einer bestimmten Form testen, z. B. ein Grossbuchstabe gefolgt von Kleinbuchstaben und Zahlen. Diese Verfahren können die Entschlüsselungszeit je nach Passwort deutlich beschleunigen.

Deshalb ist es wichtig, ein Passwort zu wählen, das nicht nur kompliziert, sondern auch unvorhersehbar ist. So kann ein Angreifer keine beschleunigenden Verfahren einsetzen und muss alle Kombinationen durchprobieren.

Heutzutage sind Websites so intelligent gestaltet, dass sie wiederholte Anmeldeversuche blockieren, und können eine Wartezeit vorschreiben, bevor ein neues Passwort versucht wird. Dies macht einen Brute-Force-Angriff auf die betreffenden Websites praktisch unmöglich, da es die Versuche auf einige Dutzend pro Stunde beschränken kann.

Ok – das scheint also doch nicht zu funktionieren. Warum dann all diese Berechnungen? 🤔😂

Es gibt noch eine weitere Gefahr, die deinem Passwort droht und die auf demselben Prinzip basiert. Dazu müssen wir den Begriff des Hashings einführen.

Passwortspeicherung mittels Hashing

Vereinfacht gesagt ist eine Hashfunktion ein Prozess, bei dem ein beliebiger Text in eine zufällige Zeichenfolge mit fester Länge umgewandelt wird: einen Hash.

Einige Beispiele dafür findest du im nachfolgenden Bild.

Illustration einiger Beispiele von Hashing — Beispiele für Hashes, die aus der MD5-Hashfunktion resultieren. Versuche es mit deinen eigenen Sätzen auf https://md5decrypt.net/.

Jedes Mal, wenn man dieselbe Hashfunktion auf denselben Text anwendet, wird derselbe Hash erzeugt. Es gibt jedoch keine umgekehrte Funktion, mit der man einen Hash wieder in den Ursprungstext übersetzen kann. Haching ist eine besondere Datenverschlüsselungstechnik, die eine Nachricht unlesbar macht, ohne dabei die Möglichkeit zu bieten, die Originalnachricht wiederherstellen zu können, wie es bei anderen Verschlüsselungstechniken oft der Fall ist.

Diese Eigenschaft macht Hashes nützlich für die Speicherung von Passwörtern, insbesondere auf Webseiten. Eine Website muss dein Passwort nicht im Klartext speichern, sondern kann einfach den Hash deines Passworts speichern, ohne dass dies deine Anmeldung auf der Website beeinträchtigt.

Beispiele für aus korrektem und falschem Passwort erzeugten Hashes mit darauffolgendem Abgleich — Login auf einer Seite mittels Hash-Vergleich

Jeden Tag werden Dutzende von Websites gehackt und Listen mit Millionen von E-Mail-Adressen und Passwort-Hashes ins Netz gestellt. Dies ist eine Goldgrube für Hacker, die direkt einen Brute-Force-Angriff auf die Hashes durchführen können, ohne auf die entsprechenden Websites zugreifen zu müssen. So können sie die Schutzmechanismen umgehen, welche die Anzahl der Versuche begrenzen.

Der Brute-Force-Angriff auf einen Hash folgt mehr oder weniger dem gleichen Prinzip wie der Versuch, sich direkt auf der Website einzuloggen: Man generiert alle möglichen Passwörter, hasht sie und vergleicht sie mit den Hashes, die in den geleakten Listen zu finden sind. Wenn man denselben Hash für ein Passwort findet, ist die Wahrscheinlichkeit sehr hoch, dass man das Passwort des Nutzers gefunden hat. Wenn er dieses auch auf anderen Websites verwendet, hat man nun Zugang zu seinem Konto auf allen Websites, auf denen er angemeldet ist.

Dies bedeutet, dass man nicht nur ein sicheres Passwort haben muss, sondern ein anderes sicheres Passwort für jedes Konto, falls einer der Hashes durchsickert und entschlüsselt wird. Einige wenige Websites speichern zudem die Passwörter ihrer Nutzer immer noch im Klartext, also ohne sie zu verschlüsseln. Ein Grund mehr, für all deine Konten unterschiedliche Passwörter zu setzen!

Schlussfolgerung

Tabelle mit Zeitschätzungen für das Knacken unterschiedlich komplizierter Passwörter — Die benötigte Zeit zum Knacken eines Passworts hängt von der Länge des Passworts und den verwendeten Zeichen ab. Im Bild werden amerikanische Abkürzungen verwendet: k=1000, m=million, bn=billion (deutsch: Milliarde), tn=trillion (deutsch: Billion). Illustration: Hive Systems

Die Zeit, die abhängig von der Länge des Passworts und dem verwendeten Alphabet für die Entschlüsselung eines Passworts aus seinem Hash benötigt wird, ist in der nachfolgenden Abbildung zusammengefasst. Es würde demnach mit der besten aktuellen Hardware 438 Billionen (438'000'000'000) Jahre dauern, um ein 18 Zeichen langes Passwort zu entschlüsseln, das Gross- und Kleinbuchstaben, Zahlen sowie Sonderzeichen verwendet.

Zusammenfassend ist für die Wahl eines Passworts also Folgendes zu empfehlen:

Ein Passwort bevorzugen, das du noch nie zuvor verwendet hast
Keine Wörter aus dem Wörterbuch einbeziehen
Kein vorhersehbares Format benutzen (z. B. einen Satz)
Mindestens (!) 10 Zeichen verwenden, darunter Kleinbuchstaben, Grossbuchstaben, Zahlen und Sonderzeichen

Zumindest, wenn du deine Google-, Instagram- und Snapchat-Konten nicht skrupellosen Hackern zur Verfügung stellen willst 😉 ...