Analyse beliebtester Passwort-Buchstaben für schnellere Brute-Force-Angriffe
Wenn bestimmte Zeichen in Kennwörtern häufig vorkommen, kann das Attacken deutlich beschleunigen. Eine Analyse zeigt: A sowie X, Y und Z sind besonders beliebt.
(Bild: Song_about_summer/Shutterstock.com)
In deutschen Passwörtern ist der am meisten verwendete Buchstabe das A, während im Deutschen selbst das E der häufigste Buchstabe ist. Dies geht aus einer Analyse des Security-Experten Tobias Schrödel hervor, der über 2,5 Milliarden Passwörter aus unterschiedlichen Ländern unter die Lupe genommen hat.
Eine weitere wichtige Erkenntnis ist, dass die Buchstaben X, Y und Z in Passwörtern bis zu 50-mal häufiger vorkommen, als in regulären Texten. Der Buchstabe T ist auf Englisch jedoch keine beliebte Wahl für Kennwörter, er kommt 50 Prozent seltener vor als im gewöhnlichen Gebrauch. Ansonsten gilt für englischsprachige Nutzer dasselbe wie für hiesige Anwender, jedoch gibt es in Asien andere Präferenzen: Sie verwenden zwei- bis dreimal mehr Ziffern in Kennwörtern.
Andere Präferenzen, anderes Vorgehen
Diese Ergebnisse sind für Angreifer und Security-Forscher wichtig, da sie die Geschwindigkeit einer Brute-Force-Attacke deutlich beschleunigen können. Ist der Standort des Opfers bekannt, wäre eine geänderte Reihenfolge – zum Beispiel ENIRS…JXYQ statt ABC…XYZ – der ausprobierten Kennwörter nach den obigen Präferenzen schneller.
Für seine Analyse zog Schrödel die sogenannte bigDB heran. Sie enthält im Klartext Milliarden E-Mail-Adressen und Passwörter. Ein Python-Skript sortierte die Daten nach Top-Level-Domains und berechnete die jeweilige Häufigkeit von Buchstaben und Sonderzeichen. Wie der Security-Experte selbst unterstreicht, könnten TLDs wie .com .net oder .org die Ergebnisse verfälschen: Sie werden weltweit verwendet und sind nicht nur dem Englischen zugehörig.
Hinzu kommt, dass die Daten der bigDB wenigstens fünf Jahre alt sind. Entsprechend könnten heutige Mindestanforderungen an Passwörter die Präferenzen verändert haben – und Brute-Force-Angriffe erschweren. Alle Ergebnisse seiner Analyse stellt Schrödel auf seiner Webseite zur Verfügung.
Oft ein Passwort für alle Dienste
Wie es um den aktuellen Stand der Passwort-Sicherheit in Deutschland steht, geht aus einer Umfrage des Bitkom hervor. So ändern 38 Prozent der hiesigen Nutzer ihre Passwörter regelmäßig – und 75 Prozent achten auf eine Mischung aus Buchstaben, Zahlen und Sonderzeichen.
Jedoch ziehen bloß 18 Prozent einen Kennwort-Generator hinzu, damit sie nicht nur Varianten derselben Phrase verwenden und unterschiedliche Dienste getrennt abgesichert sind. Hinzu kommt: 29 Prozent verwenden stets dasselbe Passwort.
(fo)
