PASSWÖRTER - DIE SELBSTPRODUZIERTE SICHERHEITSLÜCKE

13.07.2016 Allgemeines

Am 5. Februar ist alljährlich der „Safer Internet Day“. Eine regelrechte Woge von Warnungen über Sicherheitsrisiken bei der Nutzung des Internets schwappt dann über uns hinweg. Der Fingerzeig auf Software-Lösungen oder gesetzliche Regelungen ist nicht immer angebracht.

Sicherheitslücken zu schließen hat jeder Online-Nutzer zu einem guten Teil selbst in der Hand. Alle naselang wird von uns irgendwo ein Passwort gefordert, um den Geschäftsverkehr im Internet sicher – todsicher – zu machen. Aber wie viel ist die Sicherheit eines solchen Passwortes wert? Das liegt zu einem guten Teil in unserer Hand. Für uns sind es vielleicht nur ein oder zwei Handgriffe oder Anschläge auf der Tastatur, die über die Frage entscheiden, ob nach den gängigen Entschlüsselungsverfahren unser Passwort in sechs Sekunden oder erst in 600 Jahren geknackt werden kann.

Dass die von Bequemlichkeit und Ideenmangel diktierten Kombinationen „123456“ oder „qwertz“ den Zugang zu ihren Computerdaten für jeden Hacker aufreißen wie ein Scheunentor, ist inzwischen hinlänglich bekannt und erwiesen. Aber auch der Geburtsort ihrer Mutter – auch wenn es Castrop-Rauxel ist – schützt Ihr System ebenso mangelhaft wie der exotische Name ihrer Katze. Jeder Begriff, der sich in einem Wörterbuch oder Lexikon finden lässt, sollte aus Ihren Überlegungen für sichere Passwörter verbannt werden. Zugegeben: Jeder von uns hat inzwischen schon eine kleine Passwort-Bibliothek zu verwalten, das nervt gelegentlich und die Hilfetaste „Passwort vergessen?“ zu bemühen, kostet immer Zeit. Aber die schlechteste Idee ist es, ein Passwort für alle Anwendungen zu erfinden und dauerhaft einzusetzen. Wird dieser Code kompromittiert, steht die gesamte Computersicherheit da wie ein Haus, das bei der Urlaubsreise mit offenstehender Haustür und geöffneten Fenstern zulässt.

Die Passwort-Sicherheit ist zwar keine Milchmädchen-Rechnung, dennoch mit dem Beherrschen der Grundrechenarten nachvollziehbar. Die Spezialisten gehen zunächst von dem Beispiel aus, dass ein Passwort, das die durchschnittliche Länge von sechs Zeichen hat und – wie oft der Fall – nur aus Kleinbuchstaben besteht. Das bedeutet, es kann aus 26 verschiedenen Zeichen bestehen, was bei sechs Zeichen Passwortlänge insgesamt 308.915.776 (also fast 309 Millionen) Kombinationen zulässt. Das hört sich zunächst nach sehr viel an. Doch – so die Fachleute für Sicherheit – sind beispielsweise mit dem handelsüblichen Core 2 Quad Q6600, der auf 3 GHz übertaktet wurde, 45.423.600 Tastenanschläge pro Sekunde möglich. Schwächere CPUs mit weniger Kernen erreichen leicht immerhin die Hälfte davon.

Für das sechs Zeichen lange Passwort benötigt die Quad-CPU lediglich 6,8 Sekunden. Mit einem Wort, einer solchen Hacking-Attacke bietet dieses faktisch keinen Widerstand. Besteht das Kennwort aber aus Klein- und Großbuchstaben und Zahlen, gibt es bei sechs Zeichen schon 56.800.235.584 Kombinationsmöglichkeiten. Um das Passwort zu knacken, rechnet die Quad-CPU jetzt rund 21 Minuten. Auch dies ist keine nennenswerte Zeitbarriere für jemanden, der an das Konto oder Betriebsgeheimnisse will. Erhöht man bei den Passwörtern die Stellenzahl auf sieben, so werden aus den 21 Minuten bereits rund 22 Stunden.

Anders sieht die Welt der Computersicherheit schon aus, wenn man das Passwort um eine Stelle erhöht. Für acht Zeichen würde unsere Quad-CPU fast zwei Monate brauchen; für zehn Zeichen fast 600 Jahre. Sonderzeichen und jede weitere Stelle verlängern die Berechnung um ein Vielfaches. Die Wahrscheinlichkeit, Opfer der Brute-Force-Methode (von engl. brute force = rohe Gewalt, also das Ausprobieren aller Möglichkeiten) zu werden, sind in verschiedenen Internet-Foren beschrieben.

Wer aber hat Lust, sich in zirkusreifer Gehirnakrobatik scheinbar sinnlose Zeichenfolgen als Passwörter zu merken? Die beliebteste Methode scheint heute darin bestehen, sich Sätze, die nur für einen persönlich einen Sinn ergeben, zu chiffrieren. So könnte sich hinter Ig5JiMzS die Abkürzung zur autobiografischen Bemerkung „Ich ging 5 Jahre in München zur Schule“ verstecken. Selbst für jemandem aus dem persönlichen Umfeld kaum zu erratende Codierung, wenn man sie nicht jedem auf die Nase bindet und aus Mangel an Vertrauen in die eigene Merkfähigkeit dann noch an den Bildschirm klebt.

Zurück