So lassen sich Passwörter in über 75 Prozent aller Fälle knacken


Unter dem Titel „Targeted Online Password Guessing: An Underestimated Threat“ haben die chinesische und britische Universitäten eine Studie zur Sicherheit von Passwörtern veröffentlicht. Untersucht wurde dabei speziell die Erfolgswahrscheinlichkeit, wenn ein Angreifer neben einigen persönlichen Daten seines Opfers wie etwa Name und Geburtsdatum auch ein Passwort kennt, das die Person bereits an anderer Stelle verwendet hat.

Die Hypothese war dabei, dass viele Menschen das gleiche Kennwort für mehrere Dienste und Zugänge verwenden oder es jeweils nur leicht abändern. Die Autoren der Studie sprechen in diesem Zusammenhang von einem Schwester-Passwort. Ein Beispiel ist etwa ein Anwender, der für seinen Social-Media-Dienst das Passwort „Hamburg18“ definiert hat und für seinen E-Mail-Account „Hamburg19“ verwendet. Eine weitere Hypothese war, dass viele Menschen einfach persönliche Daten wie ihren eigenen Namen oder Ihre E-Mail-Adresse als Passwort benutzen.

In einem ersten Schritt wurden diese Hypothesen überprüft. Als Datenbasis für die Untersuchung benutzten die Wissenschaftler insgesamt zehn Passwort-Sammlungen, die in den vergangenen Jahren bei englisch- und chinesischsprachigen Diensten wie Yahoo, dem Spieleforum RockYou oder dem E-Commerce-Anbieter Dodonew erbeutet und anschließend im Internet veröffentlicht wurden. Insgesamt kamen auf diese Weise rund 95 Millionen Passwörter und Benutzerkennungen zusammen.

Miese Passwörter allerorten

Als eines der verstörendsten Ergebnisse ihrer Untersuchung nennen die Autoren die Erkenntnis, dass je nach Dienst und Publikum zwischen 0,79 und 10,44 Prozent der verwendeten Passwörter einfach erraten werden können, indem man die zehn populärsten Kennwörter durchprobiert. Andererseits verwenden weniger Anwender Schwester-Passwörter als zunächst angenommen. Bei den Sammlungen von chinesischen Websites lag der Anteil bei etwa 30 Prozent, bei den englischsprachigen Sites sogar bei weniger als 20 Prozent.

Auf Basis dieser Untersuchungen entstand schließlich das Framework TarGuess, mit dem die Wissenschaftler vier Szenarien für das Erraten von Online-Passwörtern testeten, die TarGuess-I bis IV genannt wurden. TarGuess-I beispielsweise wurde mit der E-Mail-Adresse einer Person, ihrem Benutzernamen, dem Realnamen und dem Geburtsdatum gefüttert und konnte mit diesen Daten in 100 Versuchen in 20,18 Prozent aller Fälle das richtige Passwort erraten. TarGuess-III bekam zusätzlich ein Schwester-Passwort als Ratestütze und erzielte auf diese Weise in 100 Versuchen eine Erfolgsquote von 23,48 Prozent. TarGuess-IV schließlich konnte noch auf weitere persönliche Informationen wie etwa das Geschlecht der Person zugreifen und erriet so in 100 Versuchen 24,51 Prozent der Passwörter. Bei 1.000 Versuchen lag die Quote bei 30,66 Prozent.

Fast 80 Prozent Erfolgsquote

Abhängig davon, ob die Passwörter von chinesischen oder englischen Websites stammten, welchen technischen Background die Anwender hatten und aus welcher Quelle das Schwester-Passwort stammte, konnten die Forscher noch wesentlich höhere Erfolgsquoten erzielen. So kamen sie unter bestimmten Bedingungen und bei 1.000 Versuchen mit TarGuess-IV auf eine durchschnittliche Erfolgsquote von bis zu 77,32 Prozent. Mit anderen Worten: Kennt ein Krimineller ein vom Opfer schon mal verwendetes Passwort und kann er sich einige wenige persönliche Informationen über die Person beschaffen, kann bei 1.000 Versuchen in nahezu vier von fünf Fällen das verwendete Passwort knacken. Das eigentliche Knacken dauert dann mit Hilfe eines durchschnittlichen PCs wenige Sekunden.

Immerhin können sich Anwender und Administratoren jedoch schützen. Jeder Passwort-Manager wie LastPass, KeePass oder 1Password enthält auch einen Passwort-Generator, der Kennwörter in nahezu beliebiger Komplexität nach dem Zufallsprinzip erzeugt. Administratoren wiederum haben beispielsweise die Möglichkeit, nach der falschen Eingabe eines Passworts eine Verzögerung in den Anmeldeprozess einzubauen, wodurch das Durchprobieren von Hunderten von Kennwörtern erheblich verlangsamt und erschwert wird.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (1)

Skip to main content