Endlich keine kryptischen Passwörter mehr

Gestern habe ich mich mal wieder irgendwo im Internet in einem Forum angemeldet. Natürlich wurden sämtliche Hürden gemeistert, auch den optisch grausam verunstalteten Bestätigungscode vom Bitmap habe ich korrekt abgetippt. Nur mit dem Passwort wollte es nicht so recht klappen. Mein Standard-Password "Forum$$14" war dem Betreiber nicht sicher genug. Großbuchstaben hätten gefälligst in der Mitte zu erscheinen. Zweimal das gleiche Sonderzeichen - und das auch noch hintereinander - sei ...

Gestern habe ich mich mal wieder irgendwo im Internet in einem Forum angemeldet. Natürlich wurden sämtliche Hürden gemeistert, auch den optisch grausam verunstalteten Bestätigungscode vom Bitmap habe ich korrekt abgetippt. Nur mit dem Passwort wollte es nicht so recht klappen. Mein Standard-Password „Forum$$14“ war dem Betreiber nicht sicher genug. Großbuchstaben hätten gefälligst in der Mitte zu erscheinen. Zweimal das gleiche Sonderzeichen – und das auch noch hintereinander – sei ja nun wirklich das Letzte.

Ach, was solls, ich nehme „-.,mNbVcXy<„. Das ist die unterste Reihe einer QWERTZ-Tastatur, von rechts nach links gelesen. Das Passwort geht immer, hat keine fehleranfälligen Umlaute und kann nur von deutschsprachigen Hackern geknackt werden. Schließlich weiß jeder, dass die bösen Hacker alle aus dem Ausland kommen und die kennen den Trick nicht, weil sie eine andere Tastatur haben.

Doch der Forumsbetreiber ist nicht auf dem aktuellen Stand. Mit herkömmlichen Quad-Core-CPUs sind sogenannte Strong-Passwords zwar nur in einigen Monaten zu knacken, doch Abhilfe schaffen andere Multitalente. Neuere Grafikkarten von ATI und Nvidia brauchen nur einige Tage. Wem das zu lange dauert, der nimmt einfach eine Playstation mit Cell-Prozessor.

Ein Password, dass aus acht Zeichen besteht, hat immer nur eine Verschlüsselungsstärke von 64-Bit, auch wenn der darunterliegende Algorithmus mehr kann, beispielsweise 128-Bit. Eine weitere Reduktion der Verschlüsselungsstärke findet dadurch statt, dass realistisch gesehen, nur Zeichen verwendet werden, die man auf seiner Tastatur findet.

Eine zur „Crackstation“ umfunktionierte Playstation benötigt heute keine Wörterbuch-Attacke, um Passwörter mit acht Zeichen zu knacken. Endlich gibt es keinen Grund mehr, Passwörter zu verlangen, die ich mir unter die Tastatur kleben muss.

Themenseiten: Analysen & Kommentare

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu Endlich keine kryptischen Passwörter mehr

Kommentar hinzufügen
  • Am 18. März 2008 um 17:45 von Stormy

    Na ob das Argument zählt. Alleine der Versuch mittels Bruteforce Attacke auf einen Server zu gelangen scheitern an der Zeit. Und wenn die CPU noch so schnell und noch so sehr parallelisiert ist. Im Internet haben wir Laufzeiten .. vom Client zum Server beim Forum nochmal intern für die MySQL oder jedwede andere DB Query etc.

    von daher machen „sichere“ Passwörter schon sinn.

    Stormy

  • Am 20. März 2008 um 12:20 von Christoph H. Hochstätter

    Hallo Stormy,

    das ist natürlich richtig. Über das Internet ist wenig zu machen. Ein vernünftiger Authentifizierungsmechanismus verlangsamt nach spätestens fünf Versuchen die Antwort (Tarpit-Prinzip) oder sperrt den Hacker gleich ganz aus. Da reicht sogar ein relativ einfaches Passwort.

    Interessant wird es, wenn jemand Zugang zu den Hash-Tables auf dem Server hat. Ein Diskussionsforum ist da weniger relevant. Sollte aber ein Mitarbeiter Zugriff auf die MD5-Tables bei einer Bank bekommen oder einem ähnlich sicherheitsempfindlichen Bereich, dann kann er mit seiner „Crackstation“ schon einiges anrichten.

    Gleiches gilt für mit Passwort verschlüsselte Dateien, und so weiter.

    Gruß

    Christoph H. Hochstätter

  • Am 27. März 2008 um 9:27 von Dr. Seltsam

    Ich kann da nur zustimmen – im web nützt die Crackstation nicht wirklich, auch wenn sie als Hashbreaker sensationell günstig ist. Was ich aber teile ist die Verwunderung über den Kennwortfanatismus bestimmter Webseiten. Mancher Webmaster sollte bedenken, dass es bei seiner Seite nicht um Online Banking geht und dass auch Kennwörter, deren Großbuchstabe am Anfang steht, schon eine massive Hürde für Brute-Force-Attacken darstellen, sofern man das Lexikon austrickst.

  • Am 28. März 2008 um 13:57 von Christoph H. Hochstätter

    Hallo Dr. Seltsam,

    das ist tatsächlich extrem lächerlich. Die typischen Webforen sind nicht so wahnsinnig schützenswert. Und wie gesagt, wenn ein Betreiber nach fünf falschen Versuchen eine Zeitsperre von einer Stunde einbaut, dann reicht ein Password aus vier Ziffern von Null bis Neun.

    Das ist bei der ec-Karte ja auch nicht anders. Dreimal falsch eingegeben, dann darf man bei seiner Bank vorsprechen und ein paar Gebühren entrichten.

    Gruß

    Christoph H. Hochstätter

  • Am 31. Mai 2008 um 0:20 von Michi911

    Das schlimmste an der Misere ist, das viele Webseitenbetreiber Umlaute nicht zulassen. Ausserdem sind meist etliche Sonderzeichen gesperrt.
    Und wer heute die Passwort noch mit MD5 sichert, der sollte sich mal gedanken über SHA machen.
    Auch wenn die Hash Tables der SQL wirkich zugänglich sind, so gibt es immer noch Möglichkeiten die Hashs intern noch mal zu bearbeiten, das es schwieriger wird, diese passend zusammen zu setzen.

    Und so lächerlich finde ich den Aufwand bei einigen Betreibern nicht, Ich kenne einige leute, die QWERTZ oder ASDFG als Passwort nehmen.

    Gerade die Onlinespiele sind beliebte Opfer von Hackangriffen.
    Niemand wird sich freuen, wenn sein Account gehackt ist, in dem er Monate an Zeit investiert hat.

    Was ich viel lächerlicher finde sind die sogenannten Security Codes. Der Buchstaben und Zahlensalat. Mit ner guten Bilderkennungssoftware kann man ohne weiteres dieses Sysem austricksen.

  • Am 1. Juli 2008 um 12:58 von zet

    zu den bildcodes:
    ich denke manchmal wirklich schon das ich bilderkennungs sftw. benutzen sollte, da diese die zeichen wohl besser erkennt als ich.
    zeitweise gabs bei rapidshare eine code form, wo ich teilweise bis zu 10 versuche brauchte um das richtige zu erkennen.
    wo is da der sinn..
    und passwörter ..
    ich hab seit jahren ein immer gleichbleibendes, relativ einfaches pw für fast alles.
    mal mit ner kleinen zahlenkombo o.ä. aber zu 90% dasselbe pw.
    dieses hat sogar unter 10 zeichen, weder besondere umlaute usw un so fort.
    gehackt wurde ich deswegen trotzdem noch nich :/

  • Am 14. Juli 2008 um 11:43 von Joy

    Hi also bei den sogenannten Security Codes, hadelt es sich auch vielmehr um einen Schutz gegen Spam Bots soweit ich weiß. Die Codes haben glaube ich nicht sehr viel mit der Passwortsicherheit zu tun.

  • Am 6. August 2008 um 19:57 von chris

    wie wärs wenn die Forensoftware-Hersteller einfach beim registrieren md5(md5(passwort)) statt md5(passwort) nehmen? dann müsste man erstmal den md5 hash vom md5 hash vom passwort knacken :P von mir aus sogar md5(sha1(md5(passwort)))

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *