Immer wieder wird empfohlen, dass gute Passwörter mindestens aus acht Zeichen bestehen sollten. Wie neue Untersuchungen zeigen, können auch diese Passwörter geknackt werden. Es ist daher sinnvoll, längere Passwörter zu erstellen.
Seit vielen Jahren gelten Passwörter als sicher, wenn sie komplex sind, also aus Zahlen, Buchstaben und möglichst auch aus Sonderzeichen bestehen. Darüber hinaus sollten sie mindestens über acht Zeichen verfügen. Wie das Cybersecurity-Unternehmen Hive Systems erst kürzlich berichtete, lassen sich aus acht Zeichen bestehende Passwörter mit einem Hashing-Algorithmus und ausreihender GPU-Leistung knacken. Der Zeitaufwand ist dafür nicht allzu groß.
Passwörter mit acht Zeichen schon innerhalb einer Stunde geknackt
Das Cybersicherheits-Unternehmen Hive Systems fand kürzlich heraus, dass nur 59 Minuten ausreichen, um ein zufällig generiertes Passwort aus acht Zeichen sowie einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu knacken. Mit einer Nvidia-Grafikkarte des Typs RTX 4090 lässt es sich aus dem dazugehörigen MD5-Hash rekonstruieren. Deutlich sicherer ist ein Hashing-Algorithmus mit bcrypt, der aus 32 Iterationen besteht. Immerhin kann kein Mensch zu Lebzeiten ein solches Passwort knacken, denn dafür sind 99 Jahre erforderlich.
Das Problem besteht darin, dass die Nutzer zumeist nicht wissen, welchen Algorithmus die verwendeten Dienste anwenden. Viele Onlinedienste arbeiten mit dem Verfahren MD5, das jedoch schon länger als unsicher gilt. Wird die Passwortkomplexität nicht durch Richtlinien vorgegeben, nutzen nicht alle Anwender die maximal mögliche Komplexität. Häufig dauert es ihnen zu lange, die Passwörter zu generieren. Weiterhin besteht die Gefahr, Passwörter zu vergessen.
Auch Passwörter mit bcrypt innerhalb einiger Tage rekonstruierbar
Der als sicher geltende bcrypt-Algorithmus ist noch kein Garant dafür, dass ein damit erzeugtes Passwort nicht innerhalb weniger Tage geknackt werden kann. Auch das wurde von Hive Systems getestet. Der Cybersecurity-Experte weist auf einen Extremfall hin. Der bcrypt-Hash eines aus acht Zeichen bestehenden Passworts, das eine hohe Komplexität aufweist, kann mit 10.000 A100-GOUs von Nvidia schon innerhalb von fünf Tagen zurückgerechnet werden.
Ein Passwort aus acht Zeichen ist für Cyberkriminelle, die sich viel davon erhoffen, ein Passwort zu knacken, und bereit sind, für die Rechenressourcen entsprechend viel zu bezahlen, kein größeres Problem mehr. Um ein solches Passwort aus acht Zeichen zu knacken, bedarf es zwölf Jahre, wenn zwölf A100-GPUs dafür verwendet werden. Generieren die Anwender ihre Passwörter zufällig, halten die Forscher das für angemessen. Wichtig ist aber auch, dass die Nutzer ihre Passwörter von Zeit zu Zeit ändern.
Passwörter häufig nicht zufällig erstellt
Der Sicherheitsexperte Hive Systems weist auf die Vorhersehbarkeit von Menschen hin. Viele Menschen generieren ihre Passwörter nicht zufällig. In der Realität wird die Rekonstruktion eines Passworts dadurch einfach und ist oft schon innerhalb kurzer Zeit durchführbar. Die Zeitangaben von Hive Systems gelten als Best-Case-Szenario.
Verschiedene Faktoren können die Rechenzeit deutlich verkürzen, unabhängig davon, wie komplex die Passwörter sind und aus wie vielen Zeichen sie bestehen. Das ist dann der Fall, wenn die Passwörter bereits in bekannten Datenlecks auftauchten oder wenn Wörterbucheinträge enthalten sind.
Viele Dienste empfehlen schon jetzt, dass ein Passwort mindestens aus zwölf Zeichen bestehen sollte. Die Forscher von Hive Systems haben bei ihren Untersuchungen schon im letzten Jahr festgestellt, dass sich schon ein Passwort aus elf Zeichen mit Brute-Force-Angriffen sofort knacken lässt. Handelt es sich um ein bcrypt-Passwort, sind immerhin zehn Stunden erforderlich, um das gleiche Passwort zu rekonstruieren. Sehr leicht sind Passwörter aus weniger als sieben Zeichen zu knacken.
Möglichst lange Passwörter erstellen
Auf seiner Webseite empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) sichere Passwörter aus mindestens acht Zeichen. Es weist allerdings darauf hin, dass Passwörter umso sicherer sind, je mehr Zeichen sie enthalten. Die Veröffentlichung zu sicheren Passwörtern stammt bereits aus 2020. Sie enthält auch Hinweise, wie sich sichere Passwörter generieren lassen.
Hive Systems empfiehlt Passwörter aus mindestens 13 Zeichen, damit das Sicherheitsniveau „grün“ erreicht wird. Solche Passwörter sind komplex genug, wenn sie aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.
Quellen: Golem, tarnkappe.info, BSI
