Nicht gut genug
Passwörter allein laut Prognose nicht mehr länger sicher
Über Jahre galten Passwörter mit mindestens acht Zeichen, darunter Ziffern und Sonderzeichen, als relativ sicher. Unter Berücksichtigung der insgesamt 94 Tasten einer Standardtastatur, ergaben sich laut Deloitte bei acht Zeichen immerhin 6,1 Quadrillionen Kombinationsmöglichkeiten. Um ein solches Passwort zu knacken, hätte selbst ein schneller Rechner 2011 noch ein ganzes Jahr gebraucht.
Inzwischen habe die Technologie in diesem Bereich aber Fortschritte gemacht, schreibt das Beratungsunternehmen und spricht daher bereits vom "Ende der passwortbasierten Sicherheit": Eine auf sogenannte Brute-Force-Attacken spezialisierte Maschine, bei der die Berechnungen etwa auf Grafikkarten ausgelagert würden, verkürze das Knacken eines achtstelligen Passworts auf nicht einmal mehr sechs Stunden.
Die Kosten für ein derartiges System hätten 2012 bei rund 30.000 US-Dollar (22.400 Euro) gelegen, doch solche Rechner seien inzwischen gar nicht mehr zwingend nötig: Mittels sogenanntem Crowd-Hacking könnte die Aufgabe auch auf Tausende weniger leistungsstarke Computer, die jeweils nur ein Teil des Puzzles in Angriff nehmen, verteilt werden. In Summe – beispielsweise über ein Botnet – seien sie schneller als jede einzelne Maschine.
Nutzer erleichtert Angreifern das Knacken
Zusätzlich vereinfacht wird den Angreifern das Knacken der Passwörter laut Deloitte durch den Nutzer. Dieser neige demnach nicht nur dazu, bekannte Namen oder Worte zu wählen, sondern beginne Passwörter in der Regel auch mit einem Großbuchstaben, wohingegen die Ziffern meist erst am Ende stünden. Obwohl ein Keyboard 32 Sonderzeichen und Symbole habe, nutze der durchschnittliche User gerade einmal sechs davon. Passwörter würden dadurch weniger zufällig und somit schwächer, schreibt Deloitte.
Eine Auswertung von sechs Millionen Passwörtern ergab etwa, dass sich mit den 10.000 gebräuchlichsten von ihnen 98,1 Prozent aller Konten knacken ließen. Noch viel schlimmer als der Gebrauch von nicht zufälligen Passwörter sei jedoch die häufige Wiederverwendung der Logins: So besitze der Durchschnittsanwender zwar 26 passwortgeschützte Online-Accounts, aber nur fünf verschiedene Passwörter.
Weniger sichere Logins auf Touch-Geräten
Erschwerend hinzu kommt, dass Nutzer immer öfter über Touch-Geräte auf ihre Konten im Internet zugreifen. Im Vergleich zu einer herkömmlichen Tastatur dauere das Eintippen eines starken Passworts auf diesen Geräten jedoch deutlich länger, was laut Deloitte wiederum dazu führe, dass immer mehr Nutzer auf einfacher zu merkende und weniger komplexe Passwörter zurückgreifen. Das Beratungsunternehmen zitiert dabei aus einer Studie, der zufolge die Eingabe eines zehnstelligen Passworts per Tastatur zwischen vier bis fünf Sekunden benötigt, auf einem Touch-Gerät jedoch zwischen sieben und 30 Sekunden.
Ein Passwort allein nicht genug
Deloitte empfiehlt Online-Diensten, Banken und anderen Anbietern daher, mehrere Authentifizierungsmethoden zu verwenden. Denkbar seien etwa Einweg-Passwörter, die per SMS auf ein Mobiltelefon geschickt werden, USB-Dongles oder biometrische Verfahren. Zwar habe jedes System für sich eine Schwäche, die Wahrscheinlichkeit, dass Cyberkriminelle neben Nutzername und Passwort jedoch auch über die Telefonnummer oder eine Kopie des Fingerabdrucks verfügten, sei jedoch gering.
Google: Ring als Passwortspeicher
In einem Artikel für das Magazin "IEEE Security & Privacy" hatten zwei Google-Mitarbeiter erst kürzlich erklärt, dass es an der Zeit sei, aufwendige Passwortregeln aufzugeben und nach etwas Besserem zu suchen. Der Internetkonzern selbst habe diesbezüglich bereits mit Hardwareschlüsseln experimentiert. Damit sich die Nutzer mit der Technik auch anfreunden könnten, sei es jedoch nötig, diese ansprechend zu verpacken und benutzerfreundlich zu gestalten. Als Beispiel führten die Google-Mitarbeiter einen Ring als Passwortspeicher an, der per NFC oder Bluetooth drahtlos mit dem Computer kommuniziert.
Mehr Web
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.