Crypto-Tool sagt Knackdauer für Passwörter voraus
Statt einer Qualitätsanzeige in Form von bunten Balken informiert das Crypto-Tool Thor's Godly Privacy über die voraussichtliche Dauer einer erfolgreichen Brute-Force-Attacke auf das gewählte Passwort.
- Daniel Bachfeld
Statt einer Qualitätsanzeige in Form von bunten Balken informiert das Windows-Crypto-Tool Thor's Godly Privacy (TGP) über die voraussichtliche Dauer einer erfolgreichen Brute-Force-Attacke auf das Passwort. TGP berechnet die Dauer aus der Anzahl Iterationen, die ein Brute-Force-Tool benötigen würde, um die richtige Kombination von Zeichen zu erreichen.
Grundlage der Berechnung ist eine Klasse-F-Attacke mit einem Durchsatz von 1 Milliarde Passwörtern pro Sekunde sowie einem Keyspace von 96, indem alle Buchstaben in Groß- und Kleinschreibung sowie alle Zahlen und Sonderzeichen, Klammern und dergleichen vorkommen (961 + 962 + 963 + 964 + ...). TGP gibt jedoch nicht nur die Dauer für das Durchprobieren des gesamten Keyspaces an, sondern konkret auch für das jeweilige Passwort; 10 × der Buchstabe A unterscheidet sich von 10 Tilden erheblich.
Das Tool führt auf diese Weise eindrucksvoll vor, dass die Länge eines Passworts für seine Widerstandsfähigkeit wichtiger ist, als seine Komplexität – wenn man nicht gerade lange Simpelkennwörter wie "Steuerhinterziehungsbranche" benutzt, die sich durch Wörterbuch-Attacken knacken lassen. Nach Einschätzung des Entwicklers Timothy "Thor" Mullen ist die Anzeige für Anwender hilfreicher als grüne und rote Balken oder Qualitätsangaben wie "gut", "mittel" oder "schlecht".
Der sogenannte PasswordStrength Checker ist Bestandteil der Schlüsselerzeugung für TGP, mit dem sich Dateien verschlüsseln lassen. TGP (“encryption for the cloud”) bettet die verschlüsselte Datei Base64-kodiert in ein XML-Formular ein, das sich auf einfache Weise auf Webseiten veröffentlichen lässt. Wer mit dem PasswordStrength Checker rumspielen, sich aber nicht das ganze Crypto-Tool installieren möchte, kann auch auf die Online-Version zurückgreifen. Dort sollte man jedoch keine Passwörter eingeben, die man später verwenden will.
Zuletzt führte die Empfehlung von Bitkom zum Umgang mit Passwörter zu einer kontroversen Diskussion. Bitkom forderte, dass Firmenmitarbeiter ihre Kennwörter regelmäßig ändern sollten und es zudem Vorgaben zur Mindestlänge und dem Schwierigkeitsgrad des Passwortes geben sollte. (dab)