Kennwort-Keynote auf der IT-Security Management & Technology Conference 2014

Zeit für ein sicheres Passwort!

Seite: 3/3

Firmen zum Thema

Leistungsfähige Technik erfordert bessere Passwörter

Geht es um die von den Crackern bevorzugte Hardware, stehen insbesondere die AMD-GPUs aufgrund ihrer hohen Leistung hoch im Kurs. Ihr im Vergleich zu Nvidia-Grafikprozessoren hohes Tempo rührt unter anderem daher, dass die AMD-Chips spezielle Integer-Befehle wie "bitalign" ("rotate") oder "BFI_INT" ("bitselect") beherrschen und so gängige Krypto-Abläufe beschleunigen können.

Auch Jens Steube knackt mit Hilfe von AMD-Karten. Er setzt auf zwei Radeon-Modelle, die beispielsweise 40 Milliarden Single-NTLM-Hashes (Windows-Passwörter) pro Sekunde testen können. Beinahe zehnmal so schnell ist ein im Dezember 2012 vorgestellter PC-Cluster. Insgesamt 25 AMD-Karten stecken in den fünf per Infiniband verbundenen Maschinen.

Bildergalerie

Das Resultat: Eine speziell angepasste Hashcat-Variante bringt es auf 348 Milliarden NTLM-Hashes pro Sekunde. Für das Entschlüsseln eines acht Zeichen langen Windows-Passworts würde der Verbund somit zirka fünfeinhalb Stunden benötigen. Ein mit dem NTLM-Vorgänger LM gesichertes, 14 Zeichen langes Windows-XP-Kennwort entschlüsselt der Cluster in knapp sechs Minuten.

Kein Weg vorbei am Passwort-Manager

Quasi chancenlos sind selbst die besten Gespanne aus Hard- und Software laut Steube, wenn Passwörter entsprechend lang und ohne erkennbare Muster sind. „Von Menschen erdachte Kennwörter zeigen immer Muster, die sich mit unseren Analysetools ausmachen lassen. Ein von einer Software wie KeePass oder LastPass erzeugtes Kennwort ist hingegen vollkommen zufällig und weist keinerlei Muster auf“, so Steube.

Außerordentlich wichtig sei die Zufälligkeit der Zeichenkette. Denn wenn kein Muster erkennbar ist, kann der Cracker den durchzutestenden Keyspace nicht einschränken, was den Zeitaufwand immens erhöht. Daneben trägt natürlich auch die Länge des Kennworts zur Sicherheit bei – viel hilft viel.

Für Steube führt kein Weg vorbei an einem Passwort-Manager. Er selbst setzt auf KeePass. „Das einzig gute Passwort ist generiert, also gänzlich zufällig, hat mindestens 16 Zeichen und ist ein Mix aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen“, sagt der Passwort-Spezialist. Solche Tools sollten jedoch mit Bedacht eingesetzt werden. So könnte beispielsweise das Master-Passwort zum Entsperren des Kennwort-Safes von einem Keystroke-Logger abgesaugt werden.

Daher sollten die Schlüsselsammlungen besser auf einem USB-Stick abgelegt werden. Denn dann muss der Datendieb nicht nur das Master-Kennwort mitschneiden, sondern auch den Stick in die Finger bekommen. Passwort-Manager wie LastPass beheben gleichzeitig das Problem des Passwort-Recyclings, indem sie pro Onlinedienst ein eigenes, komplexes Kennwort erzeugen – das sich der Anwender nicht merken muss, weil dies vom Passwort-Manager erledigt wird. Die durch das menschliche Gedächtnis auferlegten Limits spielen demnach keine Rolle mehr.

Über den Autor

Uli Ries arbeitet seit 1998 als Fachjournalist, inzwischen als freier Journalist für Publikationen wie c't, Computerwoche, Süddeutsche Zeitung, Spiegel Online oder Wirtschaftswoche. Er ist spezialisiert auf IT-Sicherheit, Netze und Mobilität und tritt auch international als Moderator und Referent auf. Zudem arbeitet er als IT-Experte bei diversen TV-Beiträgen vor und hinter der Kamera mit.

(ID:42699108)