Feb 02

Neuer Passwort-Hack deckt Irrglauben auf

Dachtet ihr auch, eure Passwörter seien halbwegs sicher durch Kombination verschiedener Buchstaben/ Zahlen und Sonderzeichen? Tja, weit gefehlt!

klenner.at hat mal die neusten Erkenntnisse bezüglich Passwort-Sicherheit für euch zusammengetragen. Wie soll Ihrer Meinung nach ein Passwort aussehen? Hauptsache variabel, mit unterschiedlichen Kombis aus Elementen und natürlich so, dass man sich das Passwort einigermaßen merken kann... so lautet der Standard bei so ziemlich Allen, die Passwörter für sich erstellen, oder?!

Zugegeben: Wir waren selbst etwas überrascht, dass die vermeintlich "bessere" Variante Passwörter zu erstellen nicht wirklich sicherer ist, als wenn man einfach nur "Baum" eingibt.

In der letzten Zeit gab es mehrere Einbrüche, bei denen die verschlüsselte Form von Passwörtern nicht nur "abgefischt", sondern auch zurückgerechnet wurde. Im Wesentlichen heißt das, dass es nun eine Datenbank mit 1,4 Milliarden Passwort-Kombis gibt, die eins zu eins im Klartext ersichtlich sind.

Die bisherige Annahme, dass Passwörter sicher sind, wenn man sie leicht "mutiert" ist schlichtweg falsch.

Bisher ging man aber genau davon aus, da der sog. Passwort-Hash komplett anders aussieht, sobald sich nur ein einziger Buchstabe ändert. Da es Hackern aber jetzt auch gelingt, diese Kombinationen zurückzurechnen, kann man die Muster, mit denen die Passwörter erstellt wurden ebenfalls erkennen. Da wir alle wahrscheinlich aus demselben Holz geschnitzt sind, werden wir für alle unsere Passwörter wahrscheinlich ein ähnliches Muster verwenden und man kann erahnen,was das im Endeffekt bedeutet.

Wenn Hacker durch Rückrechnung einmal das "Schema F" erkannt haben, dann ist es nicht schwer die anderen Passwörter auch zu knacken. Leider sind die meisten Nicht-Hochintelligenten von uns auf gewisse Muster angewiesen, um sich die Menge an Passwörtern überhaupt jemals merken zu können - und wahrscheinlich sind die Meisten nicht mal ansatzweise so gewissenhaft - seien wir doch mal ehrlich... ;)

Die Frage ist nun: Was kann man jetzt am besten tun ?

Es gibt 2 Möglichkeiten und die erste klingt nicht gerade verlockend:

1. Mutation des Benutzernamens: Würde bedeuten, man müsste sich pro Plattform eine eigene E-Mail Adresse anlegen. So ist es für Angreifer schwerer (wenn natürlich nicht unmöglich) die unterschiedlichen Benutzer-Accounts und Mail-Konnten zu verbinden und Muster zu erkennen. Dies würde folgendermaßen aussehen: max.amazon@mustermann.at, max.ebay@mustermann.at, usw.
Wir werden uns allerdings alle einig sein, dass das ziemlich schwachsinnig und viel zu aufwendig ist.

​Daher plädieren wir zu folgender Lösung:

2. Einen guten Passwort-Manager: Damit lassen sich völlig sinnfreie Passwort-Kombinationen ganz automatisch generieren und bei Bedarf kopieren und einfügen. Kein Überlegen, kein Merken, kein nix. Muster Fehlanzeige.

3. Eine andere Möglichkeit ist es, für Konten (die man sowieso nicht regelmäßig bis eher selten nutzt) einfach jedes Mal das Passwort resetten zu lassen. Bei den meisten Plattformen sowieso kein größeres Problem (und bei Vielen wahrscheinlich eh Routine ;P ).

Ende 2017 wurde die Datenbank mit den 1,4 Mrd. gehackten User-Daten und Passwörtern veröffentlicht. Unter folgendem Link können Sie überprüfen, ob unter den gehackten Konten auch eins von Ihnen dabei ist: https://verify.4iq.com/. Sicher ist Sicher!



Passwort-Hack

Falls Sie zwischenzeitlich Ihre Zugangsdaten zu diversen Applikationen oder Systemen noch nicht geändert haben, würden wir es Ihnen dringend empfehlen. Überall, wo Ihr Passwort verwendet wurde, sollte dies - unabhängig vom Benutzernamen - geändert werden.

Sichere Passwörter sollten sowohl klein- als auch großgeschriebene Buchstaben, Zahlen und Sonderzeichen enthalten. Darüber hinaus sollte das Passwort über eine Mindestlänge von 20 Zeichen verfügen. Sichere Passwörter haben eine entsprechend hohe Entropie. Deshalb sind vor allem zu kurze Passwörter ein großes Problem. 

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.