Manche Passwörter sind im Nu knackbar – doch wer hat eigentlich Schuld daran?

Von 193 Millionen geleakten Passwörtern knackten Forscher rund die Hälfte innerhalb von einer Stunde. Aber die Schuldzuweisung darf nicht einseitig erfolgen.

In Pocket speichern vorlesen Druckansicht 270 Kommentare lesen

(Bild: Song_about_summer/Shutterstock.com)

Update
Lesezeit: 4 Min.

Sicherheitsforscher von Kaspersky zeigen in einem aktuellen Bericht, wie sie mit modernen Grafikkarten Passwörter in sekundenschnelle geknackt haben. Damit das klappt, müssen aber einige Voraussetzungen erfüllt sein. Die Schuld dafür ist nicht alleinig bei Besitzern von Online-Accounts und deren "schwachen" Kennwörtern zu suchen.

In ihren Versuchen haben die Forscher eigenen Angaben zufolge die Rechenkraft von Nvidias aktueller High-End-GPU GeForce RTX 4090 genutzt, um Passwörter via Brute-Force- oder Wörterbuch-Attacke offline zu knacken.

Beim Brute-Force-Ansatz werden stumpf alle erdenklichen Kombinationen von Zeichenkombinationen durchprobiert, bis ein Kennwort erraten ist. Je mehr Rechenkraft zur Verfügung steht, desto schneller geht diese Abfrage vonstatten. Bei Wörterbuch-Attacken greifen Cyberkriminelle auf große Listen mit geleakten Log-in-Daten zurück und probieren diese aus.

Als Grundlage nutzen die Forscher 192 Millionen Passwörter, die geleakt sind und im Darknet kursieren. Die Kennwörter haben sie in ihren Versuchen vor dem Knacken mit dem Hash-Algorithmus MD5 inklusive Salt-Wert behandelt. MD5 gilt schon lange als unsicher, aber hier geht es ja um einen theoretischen Versuch. Sie geben an, dass die ihnen zur Verfügung stehende Rechenkraft 164 Milliarden Hashes pro Sekunde ausprobieren kann.

In diesem Szenario konnten sie eigenen Angaben zufolge 28 Prozent der Kennwörter mit Groß- und Kleinbuchstaben in weniger als einer Minute knacken. Kommen dazu noch Ziffern, schrumpft der Wert auf drei Prozent. Und für 55 Prozent würde der Vorgang aufgrund der Passwortkomplexität länger als ein Jahr dauern. Mit optimierten Algorithmen wie ngram_seq, die die Wahrscheinlichkeit des nächsten Zeichens berechnen, konnten sie die Erfolgsquote weiter steigern.

Als Fazit schieben die Sicherheitsforscher den schwarzen Peter den Eigentümern von Accounts zu und geben als Grund zu schwache Passwörter an – doch so einfach ist das nicht. Klar ist, dass niemand Passwörter wie "qwertz1234" oder "password" nutzen sollte. Ferner sollte es selbstverständlich sein, für jeden Account ein anderes Passwort zu nutzen und, wo immer es geht, eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Alternativ kann man für mehr Sicherheit auch auf Passkeys setzen.

Der eigentliche Fail liegt aber darin, dass Angreifer erst gar keinen Zugriff auf die Server von Anbietern von Onlinediensten und die darauf gespeicherten Zugangsdaten bekommen dürfen. Hier sind also Amazon, Facebook & Co. in der Pflicht, ihre Systeme vernünftig abzusichern, sodass es erst gar nicht zum Offline-Cracking kommen kann. Das ist in vielen Fällen aber offensichtlich nicht der Fall und online kursieren Listen mit Millionen Einträgen von kopierten Log-in-Daten aus Cyberattacken.

Falls es doch mal in der IT kracht, müssen die Passwörter ausreichend abgesichert auf den Servern liegen. Auch hier stehen die Anbieter in der Pflicht. Für die Absicherung der Zugangsdaten dienen Hash-Verfahren. Das schon länger als unsicher geltende MD5-Verfahren sollte dafür selbstverständlich nicht genutzt werden. Ein derartiger Hash lässt sich nämlich schlicht zu schnell berechnen, sodass Angreifer in vergleichsweise kurzer Zeit viele Möglichkeiten ausprobieren können. Hier sollten "langsame" Verfahren wie bcrypt zum Einsatz kommen, die in vielen Iterationen angwendet werden. Das Bruteforcing fordert in so einem Fall derart viel Ressourcen und Rechenzeit ein, sodass es sich für Angreifer in der Regel nicht lohnt.

Doch es geht noch schlimmer: Immer wieder gibt es Fälle, in denen Passwörter sogar im Klartext auf Servern liegen. Das ist grob fahrlässig und ein Schlag ins Gesicht der Kunden und Nutzer einer Onlineplattform. In vielen Fällen haben Accountinhaber demzufolge gar nichts falsch gemacht und wiegen sich in Sicherheit, die die jeweiligen Anbieter aber oft nicht garantieren können.

Update

Problematik von MD5 im Kontext von Passwörtern im Fließtext korrigiert.

(des)