Passwort-Sicherheit: Size does matter

Eigentlich heißt es ja “size doesn’t matter”, aber wenn es um Passwortschutz geht, zählt die Länge schon. Die (noch) aktuelle Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik liegt laut Maßnahme M 2.11 bei 8 Zeichen, wenn alphanummerische Zeichen verwendet werden. Leider wird diese Empfehlung von der Realität überholt.

Dank immer schnellerer Mehrkernrechner, Cloud-Computing oder dem Einsatz von schnellen Grafikprozessoren (sog. CUDA) lassen sich manche schwache Passwörter mit 8 Zeichen schon in wenigen Stunden bis Tagen knacken.

Hash-Verfahren

Bis vor kurzem war es auch ausreichend, ein Passwort sicher zu verwahren, in dem man es mit kryptographischen Verfahren verschlüsselte. Ein diesbezüglicher Artikel von heise Security Online hat sich ausführlich mit dem Thema beschäftigt und beschreibt zunächst die verwendete Technik:

Dabei wird aus dem Passwort eine Zeichenkette abgeleitet, die keinerlei Rückschlüsse auf das eigentliche Passwort zulassen. Der einzige Weg später herauszufinden, ob ein Passwort zu einem Hash passt, ist, das Passwort erneut zu hashen und die Ergebnisse zu vergleichen. So arbeiten die Authentifizierungssysteme in Betriebssystemen und Webanwendungen – und auch Passwort-Cracker müssen diesen Weg gehen. Lange Zeit galt das Hash-Verfahren MD5 für diese Zwecke als ausreichend widerstandsfähig, weil die Laufzeit zum Durchprobieren aller Kombinationen Angreifern die Rekonstruktion eines Passwort aus dem Hash schwerer machte. Das Durchprobieren (Brute Force) aller Passwortkombinationen mit Crackern wie John the Ripper bei einem guten Passwort dauerte auf handelsüblicher Hardware Monate wenn nicht gar Jahre. Die Zeiten haben sich geändert.

Salt-Verfahren und Key-Stretching

Doch es gibt neue Verfahren ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK