Passwort-Sicherheit

Ein Angreifer, der versucht, in eine passwortgeschützte Anwendung (passwortgeschütztes RAR, E-Mail...) einzudringen, hat mehrere Möglichkeiten, an das Ergebnis zu gelangen, ohne das Passwort zu kennen. Einige von ihnen erfordern ein gewisses Maß an Intelligenz, Witz und Wissen, andere wiederum erfordern ein wenig Glück und körperliches Training. Fassen wir also zunächst zusammen, welche Möglichkeiten ein Angreifer hat.

So knackt man das Passwort einer Person

• Finden Sie jemanden, der das Kennwort kennt (z. B. den Besitzer der E-Mail), und holen Sie sich das Kennwort von ihm - überreden Sie ihn, bestechen Sie ihn, schlagen Sie ihn zusammen. Ich werde diese Methode in diesem Artikel nicht weiter beschreiben :-).
• Versuchen Sie, das Passwort auf unauffällige Weise zu erpressen, z. B. durch eine gefälschte E-Mail, professioneller wird dies als Phishing bezeichnet. Die Methode besteht darin, eine E-Mail an den Kontoinhaber zu schicken und ihn aufzufordern, Ihnen den Login-Namen und das Passwort zurückzusenden. Es liegt an Ihnen, zu entscheiden, wie glaubwürdig die Nachricht ist, denn eine Aufforderung allein würde wahrscheinlich nicht ausreichen, Sie müssen eine Geschichte hinzufügen. Oft können wir sehen, dass die Datenbank abgestürzt ist, also fordern wir alle Benutzer auf, ihr Passwort und ihren Benutzernamen erneut einzugeben, oder wir werden ihre Mailbox löschen usw. Wenn die Nachricht wirklich ernst aussieht, ist die Erfolgsquote nicht gering.
• Wörterbuchangriff - wir laden einige Pakete mit den gängigsten Passwörtern aus dem Internet herunter und probieren sie alle aus. Wenn wir Glück haben und der Besitzer einige häufigere Passwörter hat, können wir sie tatsächlich leicht bekommen. Dies führt zu der entscheidenden Lektion: Geben Sie keine Passwörter heraus, die Sinn ergeben. Geben Sie sich zum Beispiel ein emin-Passwort, und ich garantiere Ihnen, dass der erste lamoide Hacker es in Sekunden knacken wird. Dies ist wahrscheinlich die effektivste Methode, denn wenn Sie ein großes Passwort-Wörterbuch haben, können Sie die Passwörter eines Großteils der Benutzer ohne großen Aufwand erraten.
• Brute-Force ist die dümmste Methode, Brute-Force. Sie besteht darin, alle möglichen Varianten von Passwörtern auszuprobieren, die es auf der Welt gibt. Das Programm setzt einen Buchstaben nach dem anderen nach einem bestimmten Algorithmus zusammen und versucht zu sehen, ob es auf das gewünschte Passwort trifft. Wenn es es gefunden hat, speichert es das Passwort und beendet es. Wir werden diese Methode noch näher erläutern.

Brute-Force

Ein Programm, das diese Methode anwendet, erstellt einfach verschiedene Variationen von Wörtern und versucht zu sehen, ob es zufällig auf das Kennwort gestoßen ist. Lassen Sie uns berechnen, wie lange der Versuch dauern könnte.

Nehmen wir an, wir haben ein fünfstelliges Passwort, das nur aus den Kleinbuchstaben des englischen Alphabets besteht (kein tschechisches č, š usw.). Die Anzahl der Buchstaben des englischen Alphabets beträgt sechsundzwanzig. Jetzt zählen wir einfach, wie viele verschiedene Passwörter wir aus fünf solchen Buchstaben konstruieren können. Wir werden Variationen verwenden, weil uns die Reihenfolge wichtig ist (der Passwortbaum ist nicht dasselbe wie Morst, obwohl er aus denselben Buchstaben besteht) und wir müssen Variationen mit Wiederholungen verwenden, weil sich Buchstaben in Passwörtern wiederholen können. Und nun kommen wir zur eigentlichen Berechnung. Die Formel für Varianten mit Wiederholung lautet V'(k, n) = n^k. Nach n setzen wir die Anzahl der Buchstaben ein, aus denen wir wählen können - die Anzahl der Buchstaben des englischen Alphabets, und nach k setzen wir die Anzahl der Buchstaben ein, aus denen das Passwort besteht, in diesem Fall fünf. Das ergibt 265, das sind etwa zwölf Millionen verschiedene Varianten. Ist das viel oder zu wenig?

Das hängt davon ab, was für einen Rechner wir haben. Ein älterer Schinken schafft ein paar Vergleiche in einer Sekunde, supermoderne Computer schaffen zehntausendmal mehr. Ich gehe in diesen Beispielen davon aus, dass der Computer zehn Millionen Vergleiche und Auswertungen pro Sekunde bewältigen kann. Inzwischen hat sich wohl jeder ausgerechnet, dass ein fünfstelliges Passwort von einem solchen Computer in zwei Sekunden aufgedeckt werden würde, was nicht gerade ein positives Ergebnis ist. Aber wir wollen nicht aufgeben.

Wir verstärken das Passwort

Ein fünfstelliges Passwort ist nicht wirklich sicher; einige vernünftige Systeme erlauben es nicht einmal, ein so kurzes Passwort zu wählen. Es heißt, dass ein Passwort nicht mehr als acht Zeichen haben sollte. Berechnen wir nun, wie viele Varianten es für ein acht Zeichen langes Passwort gibt. Wie im vorigen Fall betrachten wir nur die Kleinbuchstaben des englischen Alphabets. Wir setzen dies in die Formel ein und kommen auf 26⁸, was ungefähr zweihundert Milliarden Variationen entspricht. Das ist eine schönere Zahl. Ein Computer könnte alle Varianten in weniger als sechs Stunden auswerten. Das ist besser als beim letzten Mal, aber sehen wir uns an, wie sich die Stärke des Passworts erhöhen würde, wenn man auch Großbuchstaben, Zahlen und Sonderzeichen wie Unterstriche, Bindestriche usw. verwenden würde.

Es gibt 26 Kleinbuchstaben und 26 Großbuchstaben, insgesamt also 52 Zeichen. Dazu kommen noch 10 mit Ziffern und einige Sonderzeichen. Nicht alle Sonderzeichen sind überall erlaubt, also zähle ich der Einfachheit halber nur acht Sonderzeichen, um auf ein schönes 70 aufzurunden. Die Länge des Passworts wird wieder acht sein. Nach der Addition ergibt sich folgende Zahl: 70⁸, das sind ungefähr 5 · 10¹⁴, in Worten: fünf Millionen Milliarden Variationen, damit Sie sich ein besseres Bild machen können. Das ist eine ziemlich beachtliche Zahl. Unser Computer würde alle Variationen in sechzehntausend Stunden überprüfen ! Das sind weniger als zwei Jahre. Ein Angreifer müsste schon sehr viel Glück haben, um das Passwort in Echtzeit herauszufinden. Außerdem müsste er die Länge Ihres Kennworts kennen, denn wenn er die Länge nicht kennt, müsste er immer noch Varianten mit einer geringeren Anzahl von Buchstaben prüfen.

Manche Leute sind so besorgt um ihre Daten, dass sie numerische Passwörter verwenden. Diese Passwörter sind sehr gut gegen Wörterbuchangriffe geschützt, denn kaum ein Wörterbuch mit häufig verwendeten Passwörtern enthält nur 41 274 390 553. Leider sind solche Passwörter zwar gegen Wörterbuchangriffe, aber weniger gegen Brute-Force-Angriffe geschützt. Es gibt nämlich nur zehn Zahlen, was bedeutet, dass die Anzahl der Variationen immer 10^k ist. Nur die Länge eines Passworts hält seine Stärke aufrecht. Unser vorheriges achtstelliges Passwort mit allen möglichen Zeichen hatte insgesamt 10¹⁴ Variationen. Um dasselbe für ein numerisches Passwort zu erreichen, müsste es vierzehn Ziffern haben, also mehr als halb so viele Zeichen. Es ist eindeutig effizienter, ein kürzeres Passwort zu wählen, das aber mehr verschiedene Zeichen enthält.

Unterschätzen Sie den Angreifer nicht

Ein Angreifer kann sehr clever sein. Nach der Lektüre der vorangegangenen Zeilen könnten Sie sich entschließen, zumindest Ihr aktuelles Passwort "Limonade" in "Limonade" umzuschreiben, was die Zahl der möglichen Varianten um ein Vielfaches erhöht, da der Angreifer bereits Großbuchstaben in den Algorithmus einbeziehen muss. Der Angreifer kann jedoch davon ausgehen, dass der Großbuchstabe nur an erster Stelle steht, weil er leichter zu merken ist und es nicht üblich ist, den Großbuchstaben in die Mitte des Wortes zu setzen. Er schreibt also einen Algorithmus, der alle Varianten von Wörtern mit Kleinbuchstaben und möglicherweise einem Großbuchstaben ganz am Anfang durchsucht.

Ihr ursprüngliches Passwort hatte die Komplexität (überlegen Sie einmal, wie viele Varianten es insgesamt hätte geben können, wenn wir das gleiche Passwortformat - acht Kleinbuchstaben - beibehalten hätten) von 26⁸. Würde der Angreifer nicht nachdenken, hätte das neue Kennwort die Komplexität 52⁸, würde er jedoch den oben beschriebenen Algorithmus verwenden, hätte das Kennwort die Komplexität 52 · 26⁷. Die erste Stelle im Passwort kann zwischen Groß- und Kleinbuchstaben wechseln, insgesamt gibt es 52, und die nächsten sieben Stellen können zwischen Kleinbuchstaben wechseln, was bereits eine Standardvariante mit Wiederholung ist.

Darüber hinaus könnte ein Angreifer beispielsweise wissen, dass Ihr Passwort aus vier Buchstaben und vier Ziffern besteht, die nicht miteinander verbunden sind, sondern immer aus Zahlen in einer Reihe und Buchstaben in einer Reihe. Wir würden die Komplexität eines solchen Passworts wie folgt berechnen: Das erste Buchstabenquartett hat insgesamt 26⁴ Variationen, das zweite Ziffernquartett hat 10⁴ Variationen. Diese beiden Ergebnisse werden dann multipliziert: 26⁴ · 10⁴ Wenn der Angreifer nicht wüsste, ob die ersten Ziffern oder die Buchstaben, müssten wir das vorherige Ergebnis immer noch mit zwei multiplizieren.

Sie können sich diese Tabellen immer noch ansehen, die Passwortknackraten sind dort aufgeführt.