Daniel und Nadine ficken im Sommer in Frankfurt

Digitale Sicherheit ist ein fast allgegenwärtiges Thema.  Nutzer_innen können selbst ganz leicht einiges dazu beitragen, ihr digitales Leben sicherer zu gestalten, wenn einige Tipps rund um die Passwortwahl berücksichtigt werden.

2009 wurden im Wiki des Chaos Computer Clubs (CCC) mehrere 100.000 Passwörter, Profilbilder etc. von Online-Singlebörsen veröffentlicht. Unter den Portalen fanden sich Seiten wie ma-flirt.de (bekannt dafür von Neonazis frequentiert zu werden) oder auch flirt-datings.de. Der CCC distanzierte sich von dieser Aktion. Eine Auswertung dieser Passwörter zeigte jedoch, dass die zehn beliebtesten Passwörter allesamt in wenigen Sekunden ausgelesen werden könnten. So fand sich auf Platz Eins „123456“, gefolgt von „ficken“, „passwort“, „schatz“ und „baby“  – unter den Top 10 auch noch 6.) sommer 7.) hallo 8.) frankfurt 9.) daniel 10.) nadine. Dieses Phänomen beschränkt sich jedoch nicht auf Deutschland. So hat zum Beispiel http://erratasec.blogspot.co.at eine Analyse von 20.000 phpBB-Passwörtern1 durchgeführt, die ergab, dass die drei häufigsten Passwörter mit 3,03% „123456“, mit 2,13% „password“ und mit immerhin noch 1,45% „phpbb“ waren. Abseits vom Sieger „123456“ zeigte sich, dass 16% der gewählten Passwörter Vornamen und 14% Tastaturmuster wie „qwerty“ sind. Wird eine Kombination aus Zahlen und Buchstaben verlangt, ist „password1“ ganz weit vorne mit dabei.

,Passwortdiebstahl‘

Es zeigt sich also, dass Benutzer_innen immer noch sehr einfache Passwörter wählen, um ihre Accounts zu schützen. Es stellt sich die Frage, ob überhaupt ein Programm notwendig ist, um auf Profile mit solchen Passwörtern zuzugreifen. Wenn jedoch von ,Datenschutz‘,  ,Sicherheit im Internet‘ oder ,Passwortsicherheit‘ etc. gesprochen wird, wird grundsätzlich  nicht davon ausgegangen, dass ein_e Bekannte_r sich unerlaubterweise Zugang verschafft (obwohl auch davon abzuraten ist, Bekannten* Passwörter anzuvertrauen) oder einzelne Accounts spezifisch gehackt werden (außer es handelt sich um Signifikante Personen ,des öffentlichen Lebens‘ i. e. Prominente*, Politiker*innen). Denn in der Regel werden ganze Netzwerke auf einmal gehackt und mehrere tausend bis 100.000 Passwörter gleichzeitig ausgelesen. Im Folgenden werden drei der verschiedenen Methoden dafür kurz vorgestellt.

Dictionary Attacks

Bei dieser Methode des Erratens von Passwörtern wird eine Liste an Wörtern automatisch als Passwort ausprobiert. Erfolgbringend ist diese Methode nur, wenn es sich beim Passwort auch um eine sinnvolle Zeichenkombination handelt. Viele Dienste setzen ein oberes Limit für falsche Eingabeversuche, wodurch der Wörterbuchangriff verunmöglicht wird. Abseits davon bieten Sonderzeichen, Groß- und Kleinbuchstaben und nicht sinnvolle Zeichenkombinationen einen relativ guten Schutz gegen diese Art des Datendiebstahls.

Brute Force Attacks

Der einfachste Lösungsansatz beim Erraten von Passwörtern ist es, einfach alle potentiellen Lösungen auszuprobieren. Brute Force, ein Angriff mit ,roher Gewalt‘, wird der Vorgang genannt, bei dem alle Zeichenkombinationen durchprobiert werden. Auch wenn eine Brute-Force-Attacke theoretisch jedes Passwort findet, kann durch ein gut gewähltes Passwort die Wahrscheinlichkeit, dieses in absehbarer Zeit zu erraten, sehr gering gehalten werden. Um sich eine besseres Bild von der benötigten Zeit und der damit verbundenen Sicherheit des eigenen Passworts zu machen, hier eine Tabelle:

Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde:

Passwortlänge

Zeichenraum

4 Zeichen

5 Zeichen

6 Zeichen

7 Zeichen

8 Zeichen

9 Zeichen

10 Zeichen

26 [a–z]

< 1 Sek.

< 1 Sek.

< 1 Sek.

8 Sek.

4 Min.

2 St.

2 T.

52 [A–Z; a–z]

< 1 Sek.

< 1 Sek.

20 Sek.

17 Min.

15 St.

33 T.

5 J.

62 [A–Z; a–z; 0–9]

< 1 Sek.

< 1 Sek.

58 Sek.

1 St.

3 T.

159 T.

27 J.

96 (+ Sonderzeichen)

< 1 Sek.

8 Sek.

13 Min.

21 St.

84 T.

22 J.

2.108 J.

 (Quelle: http://de.wikipedia.org/wiki/Passwort)

 

Social Engineering

Die erfolgreichste Art, an fremde Passwörter zu kommen, zielt weder auf die Schwachstellen von Computersystemen noch auf schlechte Passwörter ab, sondern auf den Menschen an sich. Ob mit Phishing-E-Mails („Ihr Passwort wurde aus Sicherheitsgründen zurückgesetzt. Klicken Sie hier, um es zu ändern.“), oder mit einem Telefonanruf („Hallo, hier spricht die IT-Abteilung. Wegen eines Server-Updates müssen wir Ihr Passwort ändern …“), die meisten Passwortdiebstähle und Betrugsversuche erfolgen noch immer direkt zwischen Menschen und sind deswegen auch nur mit Aufklärung und Verständnisvermittlung zu verhindern.

Zusätzliche Gefahren und einfache Lösungen

Sollten die Passwörter dann ausgelesen sein, ist in erster Linie der Zugriff auf eben jenes Konto möglich. Sollte jedoch dieselbe E-Mail-Adresse in Kombination mit demselben Passwort und evtl. sogar mit demselben Benutzer_innennamen auf mehreren Plattformen benutzt werden, ist es ein leichtes, auch an die dort gespeicherten Informationen heranzukommen. Ebenso unangenehm kann es sein, wenn das gehackte Passwort aus persönlichen Daten besteht, so wurde dann nicht nur der Zugriff auf eben jenes Konto ermöglicht, sondern auch gleich noch das Geburtsdatum oder die Telefonnummer mitgeliefert.

Doch solche Gefahren lassen sich relativ einfach umgehen. Grundsätzlich gilt für Passwörter:- je länger desto besser. Den gesamten zur Verfügung stehenden Zeichen- und Symbolraum ausnutzen, was bedeutet, Passwörter mit Groß- und Kleinschreibung, Zahlen und Nummern zu verwenden. Außerdem sollten Passwörter nicht ,recycelt‘ also mehrmals für verschiedene Anwendungen verwendet werden. Da eine lange Zeichenkette ohne Sinn mit Sonderzeichen schwer zu merken ist – wer merkt sich schon „u}u€S+AH0s{]“? – gibt es auch einfachere Wege, solche Passwörter zu kreieren und sie sich auch zu merken. Eine Möglichkeit besteht darin, sich einen Satz zu überlegen, dessen Anfangsbuchstaben das Passwort ergeben. So ein Satz kann zum Beispiel lauten „Auf twitter verbringe ich 90% meines Tages & es kostet mich 0€!“ daraus ergibt sich das Passwort „Atwvi90%mT&ekm0€!“. Ein solches 17-stelliges Passwort mit Sonderzeichen, Groß- und Kleinbuchstaben zu entschlüsseln ist de facto nicht machbar und trotzdem ist es relativ leicht zu merken. Und sollte das dann doch zu schwer zu merken sein, lässt sich auch aus den 10 beliebtesten Passwörtern ein guter Schutz für persönliche Daten machen, etwa mit D&NfiSiF&s9Msz3! (Daniel & Nadine ficken im Sommer in Frankfurt & sind 9 Monate später zu 3!). Mit so wenig benötigter Umstellung sollte es dann auch wirklich für niemanden mehr ein Problem sein, ein sicheres Passwort zu haben.

 

Anmerkungen:

1 Das ,Besondere‘ an phpBB ist, dass irgendwelche Passwörter gewählt werden können und es keine Minimalanforderungen gibt.