Passwörter braucht jeder in seinem Alltag. Eine Gruppe Forscher erklärt jetzt, dass die meisten Codes nicht so sicher sind, wie ihr vielleicht denkt.
So ziemlich jeder von euch dürfte Passwörter in seinem Alltag nutzen. Sei es nun, um etwa seinen Computer zu entsperren oder auf Social Media oder das eigene Bankkonto zuzugreifen – solche Codes begegnen uns überall im Alltag.
Da ist es wenig überraschend, dass sich viele Nutzer kaum Zeit für anständige Passwörter nehmen. Und das spielt Hackern in die Karten, wie jetzt eine Gruppe von Sicherheitsforschern festgestellt hat.
Viele Passwörter lassen sich bereits in wenigen Minuten knacken
Was ist das für ein Bericht? Hive Systems ist eine Sicherheitsfirma, die sich auf Cyber Security und Lösungen gegen Hacking spezialisiert hat. Die Firma sitzt in Richmond, Virginia. In einem ausführlichen Bericht wird erklärt, dass viele Passwörter gar nicht so sicher seien, wie einige vermuten würden.
Einfach ausgedrückt: Hacker „knacken“ eure Passwörter, indem sie eine Liste aller Zeichenkombinationen auf einer Tastatur erstellen und sie dann hacken. Indem sie Übereinstimmungen zwischen dieser Liste und den Hashes der gestohlenen Kennwörter finden, können Hacker das richtige Kennwort herausfinden.
Je schneller und leistungsfähiger die Grafikkarte, desto schneller geht dieses „Knacken“ von Passwörtern. Bereits jetzt ist die RTX 4080 so schnell, dass man mit ihr viele Passwörter in unter 1 Stunde knacken kann.
Wie schnell geht das Lösen der Passwörter? Hier kommt es ganz drauf an, wie lang und kompliziert euer Passwort ist. Passwörter aus 5, 6 oder 7 Stellen lassen sich in wenigen Minuten lösen und stellen kein echtes Hindernis dar.
Setzt ihr nicht nur Klein- und Großbuchstaben ein, sondern auch Zeichen und Symbole, dann wird die Zeit spürbar angehoben: Ein Passwort aus 10 Zeichen, bestehend aus Klein- und Großbuchstaben, Zahlen und Symbolen benötigt immerhin schon 5 Jahre. Doch was muss ich sonst beachten?
Passwörter unter 10 Zeichen bleiben unsicher
Wie lang muss denn mein Kennwort sein?
- Besteht euer Code aus weniger als 10 Zeichen, dann ist es nach rund 3 Wochen geknackt.
- Ab 10 Zeichen könnt ihr die Zeit deutlich verlängern und könnt Hacker immerhin rund 5 Jahre beschäftigen.
- Bereits mit Passwörtern aus 11 Zeichen, bestehend aus Klein- und Großbuchstaben, Zahlen und Symbolen, brauchen Hacker rund 400 Jahre.
Ansonsten weisen die Forscher daraufhin, dass Nutzer auf private Informationen in Passwörtern verzichten sollen: Dinge wie der eigene Geburtstag, der Name der Ehefrau oder der Geburtsort lassen sich schnell herausfinden und solltet ihr im besten Fall vermeiden. Vor allem, wenn ihr damit eure Social-Media-Profile sichern wollt.
Mehr zum Thema Sicherheit: Weitere Tipps und Tricks und was ihr bei Passwörtern sonst noch alles beachten solltet, findet ihr in unserem Guide auf MeinMMO:
Tipps für starke Passwörter und warum ihr sie überhaupt braucht
Bitte lies unsere Kommentar-Regeln, bevor Du einen Kommentar verfasst.
naja 2k Jahre reichen vollkommend aus und für die wichtigen Sachen gibt es ja auch noch U2F.
Meine Passwörter haben meistens 14 Zeichen, Groß und Kleinbuchstaben, Zahlen und ab und zu noch Sonderzeichen. Das nützt trotzdem nichts, wenn die Webseiten auf denen die Passwörter angewendet werden, nicht die nötigen Sicherheitsstandards verwenden.
Alte Mails von meinem 12 Jährigen Ich wurden tatsächlich geknackt. Die “Hacker” haben dann versucht via Betrug Geld zu erschleichen. Gott sei dank waren weder die Mails und Passwörter irrelevant. Die Passwörter waren recht kurz.
Heute haben die meisten meiner Passwörter ne solide Länge von über 12 Zeichen+.
2 Faktor Authentifizierung kann auch viel wert sein.
Viel Spaß mit 32 zahlen und Buchstaben.
Und weniger als 4 Zeichen?
Hab oft das Wort “Po” als Passwort, da ich mir italienische Flüsse gut merken kann.
Du könntest “Arsch” nehmen, als Synonym 😉
Ist kein Fluss, sorry..😄
Vielleicht wäre es eine Bewusstseinserweiterung wenn man sogar europäische Flüsse zu deinem Lieblingsfluss dazulernt wie Rhein – Inn – Main…
Wer hat denn bitte nur 16 Zeichen als Passwort?
15bn years.. easy.
Der Meinung bin ich nicht. Wenn man die letzten Jahrzehnte mal beobachtet wurde das immer weiter rausgeschoben. Wie lang sollen die Dinger noch werden.
Das Hauptproblem ist aus meiner Sicht miese Umsetzung. Fängt schon damit an wenn man als Usernamen die Email nutzt. Die ist oft bekannt. So muss man tatsächlich nur noch das PW bruteforcen.
Nächstes Sache bruteforcen verzögern. Selbst 1000 Versuche wären dann schon ein Problem. Wenn jeder nur 1 sek dauert.
…usw gibt noch weitere Möglichkeiten
Kleiner Tip zum Nachdenken. EC Karte kommt mit 4 Zahlen aus.
Dein Gedankengang ist nachvollziehbar, aber dir fehlen hier paar Informationen. Es geht hier nicht darum, dass jemand irgendwie versucht direkt dein Konto zu hacken.
Es geht darum, wie leicht dein Passwort hackbar ist, wenn eine Datenbank geklaut wird. Dies kann durchaus mal vorkommen, weil eine Systemschwachstelle auf einem Server gehackt wurde.
Die Hacker haben jetzt eine Datenbank mit lauter Benutzernamen und deren Passwörtern. Die Passwörter liegen verschlüsselt vor. Wenn jetzt aber bekannt ist, wie die Passwörter verschlüsselt sind, kann man die Passwörter Bruteforcen.
In der Quelle ist ein Beispiel mit md5. Hat jemand “password” als sein Passwort gewählt, dann ist die gespeicherte Hash “5f4dcc3b5aa765d61d8327deb882cf99”. Also jetzt braucht der Hacker nur ein kleines Programm, dass per Bruteforce fröhlich Buchstaben und Wörter verschlüsselt und anschließend das Ergebnis mit der Hash “5f4dcc3b5aa765d61d8327deb882cf99” vergleicht. Und sobald die Software dann “password” probiert weiß der Hacker, dass wie das Passwort ist, dass du nutzt.
Das war jetzt übrigens vereinfacht, es gibt noch paar mehr Sachen, die es zu beachten gibt. Das wird in der Quelle ganz gut beschrieben, ist aber für die meisten wohl eher uninteressant 🙂
Aber jetzt hat der Hacker dein Passwort aus der geklauten Datenbank und kann sich bei dem Server, wo ers her hat einloggen. Jetzt kann er neben deinem Benutzernamen auch noch deine Email sehen (obwohl er die sicher schon vorher aus der Datenbank geholt hat). Mit deiner email kann man dann anfangen verschiedene Seiten mit dem tollen Passwort, dass gerade gehackt wurde zu nutzen.
Deswegen ist das Problem nicht die miese Umsetzung, denn an vielen Stellen ist es so, dass man schnell ausgesperrt wird, wenn man die falschen Daten zu oft eingibt
Ein hash ist und wird nie eine Verschlüsselung sein! Wer das behauptet hat einfach sein Job nicht gemacht und ist eines Programmierers/Datenbankdesigners nicht würdig. Bruteforce bringt bei einer 2 Faktor-Authentifizierung dem Angreifer auch nicht sonderlich viel.
Wie viele keine Ahnung haben und persönliche Daten ob nun im Jahre 2005, 2008, 2013 oder 2022 ungesichert im Klartext in einer Datenbank stehen hatten/haben, sind und bleiben (mit Verlaub) inkompetent. Cheers
An welcher Stelle wurde gesagt, dass Hash eine Verschlüsselung ist? 0o
Stimmt, zwei Faktor ist eine effektive Möglichkeit um Accounts besser zu schützen.
Und wieso sind die Leute, die persönliche Daten im Klartext in einer Datenbank stehen haben inkompetent? Wenn man nichts dagegen machen kann, dass persönliche Daten wie z.B. Email oder Name im Klartext hinterlegt werden bleibt einem ja lediglich sich nicht dort zu registrieren. Und ich glaube kaum einer fragt überall erst mal nach, ob wirklich alle persönlichen Daten verschlüsselt werden, bevor er sich irgendwo nen Account zulegt. Und im Jahre 2005 war es halt noch üblich, dass sehr viele persönliche Daten unverschlüsselt in der Datenbank gespeichert wurden.
Ich hab mich da jetzt schon lange nicht mehr mit beschäftigt. Ist es überhaupt aktueller Standard, dass persönliche Daten wie Name, email etc. verschlüsselt hinterlegt werden in Datenbanken? Wenn ja, mit welcher Methode wird das gemacht?
Das geht nicht gegen dich, dass ist nur allgemeiner Natur, dass das richtig interpretiert wird. Da gibt es noch immer andere „Spezialisten“ ;).
auch im Jahre 2005 gab es Datenschutz der (wie heute) oft nicht umgesetzt wurde. Selbst da landeten personenbezogene Daten in keiner meiner Datenbanken im Klartext. Das ist und bleibt unverantwortlich. Der Endnutzer kann da natürlich nicht viel machen.
Einer der Gründe warum ich aktiv meine Selbstständigkeit 2009 aufgegeben habe, war das mangelnde Bewusstsein für Datenschutz und billig billig billig. Selbst damals konnte man schon auf sehr einfache Weise Daten (wenigstens als BLOB etc.) verschlüsselt ablegen, unabhängig davon, dass die Daten als SSL verschlüsselt übermittelt werden.
Selbst Jahre später bei Sony, Facebook und vielen Anderen gab es Leaks mit personenbezogenen Klartextdaten. Selbst hier auf der Seite gibt es Dinge die man so schon 2005 nicht hätte programmieren sollen. Aber nunja, ist eine Frage des Verständnis, der Weitsicht und des Wollens.
Cheers
Ah ok, jetzt weiß ich wie dus gemeint hast, danke für die Klarstellung 🙂
Danke, aber mir fehlen keine Informationen. Ja es gibt viele Angriffswege.
Wenn das ordentlich gehasht ist kann das so nicht passieren.
Da sind wir wieder bei meiner Aussage von der schlechten Umsetzung.
Bis jetzt war es so, daß bei allen Datenbanken die gehackt wurden eine miese Umsetzung vorlag. MD5 ist zb ein uralter Hash, den man nicht mehr verwenden sollte. Da fehlen dir scheints ein paar Informationen.
Sorry für das Missverständnis, allerdings wirkte dein Beitrag so als würde es ausreichen, “bruteforcen zu verzögern” und/oder andere Benutzernamen als email-Adresse zu nutzen. Daher habe ich eine Erklärung abgegeben, warum das nichts bringt.
Und MD5 habe ich ganz simpel deswegen gewählt, weil in der Quelle ein Beispiel mit MD5 genannt wurde inklusive passender Hashes.
Ich hätte natürlich auch PBKDF2 SHA-256 erwähnen könne und auf Salt & Pepper eingehen können aber es ging ja nicht darum, was heutzutage am besten genutzt wird, sondern lediglich darum, warum deine Vorschläge herzlich wenig bringen würden.
Von daher, nein, mir fehlen keine Informationen. Und wenn dir auch keine Fehlen, dann umso besser! War nur aus deinem Post nicht wirklich ersichtlich, das tut mir leid.
Und klar, ist es an einigen Stellen schlecht umgesetzt mit der Verschlüsselung. Aber selbst die beste Verschlüsselung bringt nichts, wenn der Server aufgrund einer Schwachstelle gehackt wurde und die User PWs genutzt haben, die leicht zu bruteforcen sind. Und es gibt leider noch immer eine Menge Menschen, die irgendwelche Wörter als PW nutzen und dieses PW dann überall weiternutzen.
Nein, ich meinte das schon so. Man kann über die Webseite angreifen, Loginserver oder über die Datenbank, wenn man die hat. Gemacht wird alles. Nur die DB zu schützen, ist zu kurz gedacht.
Wenn sich die Website an die NIST Empfehlung hält(PBKDF2 SHA-256) und genug Iterationen benutzt, muss das Passwort nicht so lang sein, dazu dann noch en Salt und schon steigt die Zeit für eine Bruteforce-Attacke sehr stark an. Nur muss das halt der Website Betreiber umsetzen.
genau das meine ich
Schon mein Email PW ist 19 stellig,
von daher.
Nicht zwangsläufig, auch längere PW wurde schon geknackt wenn sie bestimmten Methoden unterliegen, zB Aneinanderreihung von Wörtern. 😉
mein PW : 23djflad0394=)Ӥ!kjlfaPW ist so gut, das kann keiner Knacken
oh hoppla 😂
🙂
war aber kein schlechtes PW
Ja Sätze die Sinn machen sind nicht sicher als Passwort.
Da ich alle PW im Kopf haben will,
benutze ich meisst zwei Namen meine Charaktere in MMOs gemixt mit Pins meiner Kreditkarten und Sonderzeichen.
warum willst du alle deine passwörter im kopf haben?
Passwortmanager z.B. Keepass und gut ist. Sync via beliebiger cloud.
So hast du alles überall und brauchst dir nur ein wirklich langes und gutes Passwort zu merken.
Ein Kumpel hatte sein PW für den PW Manager vergessen.Hehehe
Nee einfach weil ich es kann.
Passwortmanager kann man knacken… Und dann hat man alle Passwörter. Das Gedächtnis oder ein reales Notizbuch sind nicht entschlüsselbar.
Zeig mir bitte die Quelle wo ein AES-256 verschlüsseltes Passwort geknackt wurde.
Sicheres hauptpasswort vorausgesetzt.