Sie denken also, Ihre Internet-Passwörter sind sicher?
Paul Haskell-Dowland
, Autor zur Verfügung gestellt

Passwörter werden seit Tausenden von Jahren verwendet, um uns gegenüber anderen und in jüngerer Zeit gegenüber Computern zu identifizieren. Es ist ein einfaches Konzept - eine gemeinsame Information, die zwischen Individuen geheim gehalten und dazu verwendet wird, Identität zu „beweisen“.

Passwörter im IT-Kontext entstand in den 1960er Jahren mit Großrechner Computer - große zentral betriebene Computer mit Remote-Terminals für den Benutzerzugriff. Sie werden jetzt für alles verwendet, von der PIN, die wir an einem Geldautomaten eingeben, bis zur Anmeldung bei unseren Computern und verschiedenen Websites.

Aber warum müssen wir den Systemen, auf die wir zugreifen, unsere Identität „beweisen“? Und warum sind Passwörter so schwer zu finden?

Was macht ein gutes Passwort aus?

Bis vor relativ kurzer Zeit war ein gutes Passwort möglicherweise ein Wort oder eine Phrase mit nur sechs bis acht Zeichen. Aber wir haben jetzt Richtlinien für Mindestlängen. Dies liegt an der „Entropie“.

Wenn es um Passwörter geht, ist Entropie das Maß für die Vorhersehbarkeit. Die Mathematik dahinter ist nicht komplex, aber lassen Sie uns dies mit einem noch einfacheren Maß untersuchen: der Anzahl möglicher Passwörter, die manchmal als „Passwortraum“ bezeichnet werden.


Innerself-Abonnieren-Grafik


Wenn ein einstelliges Passwort nur einen Kleinbuchstaben enthält, gibt es nur 26 mögliche Passwörter ("a" bis "z"). Durch das Einfügen von Großbuchstaben erhöhen wir unseren Passwortbereich auf 52 potenzielle Passwörter.

Der Kennwortbereich wird weiter vergrößert, wenn die Länge erhöht und andere Zeichentypen hinzugefügt werden.

Wenn Sie ein Passwort länger oder komplexer machen, erhöht sich der potenzielle "Passwortraum" erheblich. Mehr Passwortplatz bedeutet ein sichereres Passwort.

Wenn Sie ein Passwort länger oder komplexer machen, erhöht sich der potenzielle "Passwortraum" erheblich. (Sie denken also, Ihre Internet-Passwörter sind sicher)

Wenn Sie sich die obigen Abbildungen ansehen, ist es leicht zu verstehen, warum wir dazu ermutigt werden, lange Passwörter mit Groß- und Kleinbuchstaben, Zahlen und Symbolen zu verwenden. Je komplexer das Passwort ist, desto mehr Versuche sind erforderlich, um es zu erraten.

Das Problem bei der Abhängigkeit von der Kennwortkomplexität besteht jedoch darin, dass Computer Aufgaben sehr effizient wiederholen können - einschließlich des Erraten von Kennwörtern.

Letztes Jahr a Rekord wurde eingestellt für einen Computer, der versucht, jedes erdenkliche Passwort zu generieren. Es wurde eine Rate erreicht, die schneller als 100,000,000,000 Vermutungen pro Sekunde war.

Durch die Nutzung dieser Rechenleistung können sich Cyberkriminelle in Systeme hacken, indem sie diese in einem so genannten Prozess mit möglichst vielen Kennwortkombinationen bombardieren Brute-Force-Angriffe.

Und mit der Cloud-basierten Technologie kann das Erraten eines achtstelligen Passworts in nur 12 Minuten erreicht werden und kostet nur 25 US-Dollar.

Da Passwörter fast immer verwendet werden, um Zugriff auf vertrauliche Daten oder wichtige Systeme zu erhalten, motiviert dies Cyberkriminelle, diese aktiv zu suchen. Es treibt auch einen lukrativen Online-Markt voran, auf dem Passwörter verkauft werden, von denen einige E-Mail-Adressen und / oder Benutzernamen enthalten.

Sie können fast 600 Millionen Passwörter online für nur 14 AU $ kaufen!

Wie werden Passwörter auf Websites gespeichert?

Website-Passwörter werden normalerweise geschützt unter Verwendung eines mathematischen Algorithmus namens aufgerufen Hashing. Ein gehashtes Passwort ist nicht erkennbar und kann nicht wieder in das Passwort umgewandelt werden (ein irreversibler Vorgang).

Wenn Sie versuchen, sich anzumelden, wird das von Ihnen eingegebene Kennwort auf dieselbe Weise gehasht und mit der auf der Site gespeicherten Version verglichen. Dieser Vorgang wird bei jeder Anmeldung wiederholt.

Beispielsweise erhält das Kennwort "Pa $$ w0rd" den Wert "02726d40f378e716981c4321d60ba3a325ed6a4c", wenn es unter Verwendung des SHA1-Hashing-Algorithmus berechnet wird. Versuch es sich selbst.

Bei einer Datei mit gehashten Passwörtern kann ein Brute-Force-Angriff durchgeführt werden, bei dem jede Zeichenkombination für eine Reihe von Passwortlängen ausprobiert wird. Dies ist mittlerweile so üblich, dass es Websites gibt, auf denen neben ihrem (berechneten) Hash-Wert auch gängige Passwörter aufgeführt sind. Sie können einfach nach dem Hash suchen, um das entsprechende Passwort anzuzeigen.

Der Diebstahl und Verkauf von Passwortlisten ist mittlerweile so verbreitet, a spezielle Website - haveibeenpwned.com - steht zur Verfügung, um Benutzern zu helfen, zu überprüfen, ob ihre Konten "in the wild" sind. Dies umfasst mittlerweile mehr als 10 Milliarden Kontodaten.

Wenn Ihre E-Mail-Adresse auf dieser Site aufgeführt ist, sollten Sie das erkannte Passwort sowie auf allen anderen Sites, für die Sie dieselben Anmeldeinformationen verwenden, unbedingt ändern.

Ist mehr Komplexität die Lösung?

Sie würden denken, dass wir bei so vielen Kennwortverletzungen, die täglich auftreten, unsere Kennwortauswahlpraktiken verbessert hätten. Leider letztes Jahr jährlich SplashData-Passwortumfrage hat sich in fünf Jahren kaum verändert.

Die jährliche SplashData-Passwortumfrage 2019 ergab die häufigsten Passwörter von 2015 bis 2019.Die jährliche SplashData-Passwortumfrage 2019 ergab die häufigsten Passwörter von 2015 bis 2019.

Mit zunehmender Rechenleistung scheint die Lösung komplexer zu werden. Aber als Menschen sind wir nicht in der Lage (oder motiviert), sich hochkomplexe Passwörter zu merken.

Wir haben auch den Punkt überschritten, an dem wir nur zwei oder drei Systeme verwenden, die ein Passwort benötigen. Es ist heutzutage üblich, auf zahlreiche Websites zuzugreifen, für die jeweils ein Kennwort erforderlich ist (häufig von unterschiedlicher Länge und Komplexität). Eine kürzlich durchgeführte Umfrage ergab, dass es im Durchschnitt 70-80 Passwörter pro Person.

Die gute Nachricht ist, dass es Tools gibt, mit denen diese Probleme behoben werden können. Die meisten Computer unterstützen jetzt die Kennwortspeicherung entweder im Betriebssystem oder im Webbrowser, normalerweise mit der Option, gespeicherte Informationen auf mehreren Geräten zu teilen.

Beispiele sind Apple iCloud Keychain und die Möglichkeit, Passwörter in Internet Explorer, Chrome und Firefox zu speichern (obwohl weniger verlässlich).

Passwort-Manager Mit KeePassXC können Benutzer lange, komplexe Kennwörter generieren und an einem sicheren Ort speichern, wenn sie benötigt werden.

Während dieser Speicherort noch geschützt werden muss (normalerweise mit einem langen „Hauptkennwort“), können Sie mit einem Kennwortmanager für jede Website, die Sie besuchen, ein eindeutiges, komplexes Kennwort haben.

Dies verhindert nicht, dass ein Passwort von einer anfälligen Website gestohlen wird. Wenn es jedoch gestohlen wird, müssen Sie sich keine Sorgen mehr machen, dass Sie auf allen anderen Websites dasselbe Passwort ändern.

Natürlich gibt es auch in diesen Lösungen Schwachstellen, aber vielleicht ist das eine Geschichte für einen anderen Tag.

Über die Autoren

Paul Haskell-Dowland, Associate Dean (Computer und Sicherheit), Edith Cowan Universität und Brianna O'Shea, Dozentin für ethisches Hacken und Verteidigung, Edith Cowan Universität

Dieser Artikel wird erneut veröffentlicht Das Gespräch unter einer Creative Commons-Lizenz. Lies das Original Artikel.