Schlecht geschützt

77% der häufigsten Logins in unter 10 Minuten zu knacken

(Bild: © 2010 Photos.com, a division of Getty Images)

Eine aktuelle Studie des auf Unternehmensdatenschutz spezialisierten Unternehmens Imperva zeigt, dass sich die Sicherheit typischer Passwörter in den letzten zwei Jahren kaum verbessert hat: 77 der 100 häufigsten Passwörter aus fast 100.000 untersuchten Datensätzen ließen sich mit einem einfachen Online-Service innerhalb von zehn Minuten entschlüsseln, schreibt der Anbieter in seinem "Hacker Intelligence Initiative"-Report zum Thema Passwort-Sicherheit.

Für die neueste Ausgabe seines monatlich erscheinenden Reports untersuchte der Sicherheitsanbieter 95.167 Passwörter, die durch ein aktuelles Datenleck veröffentlicht wurden. Die Zugangsdaten der Website "FilmRadar.com" waren durch die sogenannte SHA1-Hashfunktion - eine übliche Verschlüsselungstechnik für Passwörter - gesichert.

Die Verschlüsselung sei allerdings in der Praxis irrelevant, wenn die hinterlegten Informationen einfach zu erraten seien - was bei den untersuchten Passwörtern erstaunlich oft der Fall gewesen sei, wie Imperva schreibt: Die meisten der 100 populärsten Passwörter ließen sich mit Hilfe sogenannter Regenbogen-Tabellen innerhalb von wenigen Minuten erraten. Zusammen machten sie rund zehn Prozent des gesamten Datenbestandes aus.

Immerhin fünf Prozent der Passwörter hielten einem Wörterbuchangriff nicht einmal zwei Minuten stand - bei einer Datenbasis von 100.000 Benutzern seien dies immerhin 2.000 Zugangsdaten, auf die Hacker praktisch frei zugreifen könnten. Die meisten der 15 populärsten Passwörter – darunter Logins wie "Blink123", "Hello123" oder "abcd1234", ließen sich durch solche Methoden extrem einfach entschlüsseln.

Neben dem Einsatz effektiverer Verschlüsselungstechniken empfiehlt der Sicherheitsanbieter daher Unternehmen, die Passwortwahl der Benutzer durch eine strengere Passwort-Richtlinie in die richtige Richtung zu lenken. Eine solche Richtlinie sollte etwa nicht nur bestimmte Zeichentypen vorgeben, sondern die gewählten Kombinationen auch mit Hacker-Wörterbüchern vergleichen. Hotmail beispielsweise erlaube seit kurzem keine verbreiteten Passwörter mehr, so der Anbieter in einer Aussendung. Auch seitenspezifische Begriffe sollten überprüft und eingeschränkt werden. Zudem rät der Anbieter dazu, längere Passwörter zu erlauben.