Das ewige Problem mit dem Passwort „Password“. Im Jahr 2010/11 wurde die Passwort-Datenbank des Gossip-Blogs Gawker gehackt. Das klingt zunächst noch nicht tragisch, wird aber umso ernster, wenn man sich die Reichweite des Blogs ansieht: Zu Gawker Media gehören insgesamt zehn verschiedene Webseiten, darunter so bekannte Blogs
wie Gizmodo, Kotaku oder Lifehacker. All diese
Seiten teilen sich eine gemeinsame Nutzer-Datenbank, schließlich soll der User dank
Single-Sign-On auf jeder Seite des Zusammenschlusses ohne Probleme Kommentare hinterlassen kann. Die Passwort-Diebe, eine Gruppe namens Gnosis, konnten sich 1,25 Millionen Logindaten verschaffen. Gawker reagiert prompt und transparent: Unter anderem meldete jede Website im Verbund mehrfach den Angriff und riet Nutzern dazu, neue Passwörter zu wählen.
wie Gizmodo, Kotaku oder Lifehacker. All diese
Seiten teilen sich eine gemeinsame Nutzer-Datenbank, schließlich soll der User dank
Single-Sign-On auf jeder Seite des Zusammenschlusses ohne Probleme Kommentare hinterlassen kann. Die Passwort-Diebe, eine Gruppe namens Gnosis, konnten sich 1,25 Millionen Logindaten verschaffen. Gawker reagiert prompt und transparent: Unter anderem meldete jede Website im Verbund mehrfach den Angriff und riet Nutzern dazu, neue Passwörter zu wählen.
Das eigentliche Ausmaß wurde allerdings erst sichtbar, als die Daten kurze Zeit später im Bittorrent-Netzwerk auftauchten. Zwar waren die meisten Passwörter verschlüsselt, der Großteil war aber so einfach, dass simple Brute-Force-Attacken genügten. Das Blog des Wall Street Journal hat die 50 häufigsten Passwörter zusammengetragen und IT-Sicherheitsexperten werden die Hände über dem Kopf zusammenschlagen: Auf Platz 1 liegt „123456“, Platz zwei nimmt „password“ ein gefolgt von „12345678“. Weiter finden sich in der Datenbank so wenige exotische Kennwörter wie „internet“, „sunshine“, starwars oder letmein. Der Fairness halber muss dazu gesagt werden, dass die in der Top 50 gesammelten Kennwörter sich aufgrund ihrer Einfachheit besonders leicht knacken ließen. Es darf aber getrost davon ausgegangen werden, dass komplexe Passwörter in der Gawker-Datenbank deutlich in der Unterzahl sind.
Der Hack zeigt eindringlich, wie wenig sich Nutzer noch immer um starke Kennwörter kümmern – egal welche Hürden man auferlegt, es scheint als würden die User immer den Weg des geringsten Wiederstandes wählen. Zugegebenermaßen, nicht jeder kann sich ein fünfzehn-stelliges Kennwort mit Groß/Kleinschreibung, Zahlen und Sonderzeichen merken, aber ein wenig mehr als „abc123“ sollte schon möglich sein.
Richtig problematisch wird es, wenn man daran denkt, dass die Anwender die gleiche Kombination aus E-Mail und Passwort wahrscheinlich bei mehreren Diensten oder gar im Unternehmensumfeld verwenden. Hat man einmal einen Dienst geknackt, muss ein Skript die Kombinationen nur noch in den anderen Angeboten überprüfen.
Dabei bieten nahezu alle modernen Browser die Möglichkeit, das vergebene Passwort sicher abzuspeichern – und bei Bedarf auch wieder anzuzeigen. Ebenso gibt es zahlreiche Passwort-Safe-Tools, die sich teilweise sogar mit mobilen Geräten abgleichen können. Vor allem Unternehmen sollten sich klar machen, wie wichtig der Schutz der Zugangsdaten ist – schließlich nützen die stärksten Sicherheitsvorkehrungen nichts, wenn ein Angreifer sich mit einem legalem Account und einem schwachen Kennwort Zugang verschaffen kann.
Die Technik spielt den dabei den Angreifern in die Hände. War die Rechenleistung vor einigen Jahren noch weit davon entfernt, längere Passwörter per Brute Force schnell zu knacken, erledigen aktuelle Tools und Systeme diese Aufgaben deutlich schneller. Das liegt zum einen an leistungsfähigen CPUs mit mehreren Rechenkernen, aber auch an moderneren Knack-Anwendungen. Aktuelle Programme nutzen neben der CPU auch die Rechenkraft der Grafikkarte. Laut einem Report des Georgia Tech Research Institutes eignen sich die GPUs ideal für die parallelen Rechenaufgaben, mit denen sich Passwörter knacken lassen. Deutlich schneller gehen Dictionary-basierte Attacken von statten, sprich, wenn das eigene Passwort in einem Wörterbuch auftaucht. Dieser Trend wird sich nicht umkehren, nicht zuletzt aufgrund der Möglichkeiten von Cloud-Computing. Bereits Ende 2009 hat ein Forscher erfolgreich demonstriert, wie man Amazons Cloud-Dienst EC2 nutzen kann, um ein Passwort zu knacken. Zieht man die dazu in Betracht, welche Rechenleistung hinter Botnets wie Conficker, Mariposa oder BredoLab steckt, wird klar, wozu sich diese Systeme neben dem Spam-Versand noch einsetzen lassen.
Es liegt also an den Nutzern, es den Angreifern möglichst schwer zu machen. Grundsätzlich sollte man natürlich möglichst lange Kennwörter verwenden. Die Security-Abteilung von dem Systembetreuer Pietro Scherer rät aus Gründen der Sicherheit zu 14 Zeichen oder mehr.
Eine andere Möglichkeit sind Programme zur Passwortverwaltung. Kostenlos ist beispielsweise KeePass, eine Open-Source-Lösung. Diese lässt sich zudem über Plugins erweitern, etwa um ein On-Screen-Keyboard oder einen Passwort-Generator nach zurüsten. Die Software unterstützt auch eine portable Installation, etwa auf einem USB-Stick, um die eigenen Passwörter immer verfügbar zu haben. Alternativ kann man die Datenbank auch an einen Dienst wie Dropbox oder Live-Mesh auf verschiedenen Systemen verfügbar machen.
Eine andere Alternative für Nutzer mit verschiedenen Systemen ist LastPass, oder vielmehr die kostenpflichtige Premium-Version davon. LastPass kann die gespeicherten Kennwörter zwischen verschiedenen Rechnern synchronisieren. Das klappt nicht nur mit Windows oder Mac OS; sondern auch mit mobilen Betriebssystemen wie Windows Phone, Android oder iOS.
Keine Kommentare:
Kommentar veröffentlichen