Ihr Passwort: Das größte Sicherheitsrisiko

Für Eindringlinge in Netzwerke ist das eine Goldgrube. Schlechte Passwörter machen es nicht unbedingt einfacher, in das Netzwerk einer Firma einzubrechen, aber für Hacker, die Zugang zu Konzerncomputer auf andere Weise haben, sind sie eine wahre Fundgrube. Passwörter, die auf einem Server gefunden wurden, machen häufig den Weg frei in andere Server, und mit den digitalen Schlüsseln zu einem Großteil der Konten im Netzwerk kann ein Eindringling ungestraft umherwandern und sogar den Eindruck erwecken, dass er ein legitimer User ist.

Deshalb versuchen Hacker Passwörter an sich zu bringen, sobald es eben geht. Einige Viren und Würmer senden die Passwortdatei eines infizierten Computers an den Virenautor zurück. In dieser Woche macht ein Wurm, der sich in Computer hineinwindet, auf denen Microsofts SQL Server 7.0 installiert ist, mit dem Namen DoubleTap genau das. Der 1i0n-Wurm, der Anfang 2001 Linux-Server infizierte, schnappte sich Passwortdateien. Der SirCam-Virus konnte in einigen Fällen sogar die System-Passwörter senden.

Selbst die paranoideste Sicherheitsabteilung und High-Tech-Zäune können nicht viel machen, wenn der Generaldirektor seine wichtigsten Dateien mit „god123“ sichert. Schlimmer noch, einige Firmen und Organisationen verlassen sich nur auf ein Passwort – und nichts weiter – mit dem sich ihre Angestellten authentifizieren.

In Sicherheitskreisen beobachten Experten das Problem bereits seit Jahrzehnten.

Vor dem Internet, 1979, als Speicher noch mit der Anzahl der Bits, die auf einen Zentimeter Magnetband passten, gemessen wurde, fand ein vielbeachteter Aufsatz heraus, dass ein Drittel aller Passwörter in weniger als fünf Minuten geknackt werden konnte.

Nach einem Passwort mit acht Zeichen oder Zahlen zu suchen, dauerte damals 66 Jahre mit dem besten Computer, dem PDP-11/70, der fast 50.000 Kombinationen in der Minute verarbeiten konnte.

Die Studie fand heraus, dass User fast immer schlechte Passwörter wählten, was dazu führte, dass Eindringlinge Abkürzungen benutzen konnten, um in Netzwerke einzudringen.

Von den mehr als 3.300 Passwörtern, die die Autoren Ken Thompson und Robert Morris Sr. untersuchten, waren ungefähr 17 Prozent drei Zeichen oder weniger lang, fast 15 Prozent bestanden aus vier Zeichen (Buchstabe oder Zahl) und weitere 15 Prozent waren in einem der damals verfügbaren Wörterbücher zu finden. Alles zusammen genommen konnte fast die Hälfte aller Passwörter in weniger als sechs Stunden gefunden werden.

Seien Sie sich aber über eines im Klaren: Ein Acht-Zeichen-Passwort kann sehr sicher sein, sogar wenn heutige Computer versuchen, es zu entschlüsseln.

Es gibt mehr als 6,6 Billiarden verschiedene Acht-Zeichen-Passwörter, wenn man die 95 druckbaren ASCII-Zeichen benutzt. Obgleich einige Passwort-Entschlüsselungs-Programme fast 8 Millionen Kombinationen pro Sekunde testen können, würde es immerhin im Schnitt noch 13 Jahre dauern, um ein Acht-Zeichen-Passwort zu entschlüsseln.

In den vergangenen zwei Jahrzehnten wurden Betriebssysteme entwickelt, die die Sicherheit von Passwörtern verbessern. In der Vergangenheit konnte jedermann die Passwortdatei – die Sammlung der Schlüssel zu den Softwareschlössern des Systems – lesen, was es Hackern ermöglichte, die Datei zu kopieren, um sie dann auf dem eigenen Computer zu entschlüsseln.

Heutzutage erlauben Betriebssysteme nur dem Systemadministrator, die verschlüsselten Passwörter zu lesen. Das zwingt Hacker dazu, Systemadministratorprivilegien zu bekommen, bevor sie die Datei herunterladen können. Außerdem ist es normal geworden, nur drei Versuche zu erlauben: User, die nicht das richtige Passwort innerhalb der ersten drei Male benutzen, werden ausgesperrt.