Nur Hundert Klicks bis zum Hacker-Glück Nur Hundert Klicks bis zum Hacker-Glück - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


16.11.2016 Oliver Weiss

Nur Hundert Klicks bis zum Hacker-Glück

Passwörter verlieren für Hacker nicht an Attraktivität. Verfügen Kriminelle zudem über einige wenige personenbezogene Daten, stehen ihre Erfolgschancen recht gut, wie Untersuchungen belegen.

Laut aktueller Studien aus China und Großbritannien hat ein Angreifer mit nur einigen wenigen personenbezogenen Daten eine 1:5 Chance, ein Passwort zu erraten, bevor die vom NIST empfohlene Sperrung eintritt.

Laut aktueller Studien aus China und Großbritannien hat ein Angreifer mit nur einigen wenigen personenbezogenen Daten eine 1:5 Chance, ein Passwort zu erraten, bevor die vom NIST empfohlene Sperrung eintritt.

© Fotolia

Wie vielen Versuchen muss ein Passwort standhalten? Ein Passwort, das durch ein Datenleck gestohlen und offline mit spezieller Hardware zu knacken versucht wird, muss zirka einer Milliarde Versuchen widerstehen können. Das klingt nach viel. Ein Passwort, dass durch einen herkömmlichen Online-Angriff geknackt werden soll, muss immerhin noch eine Million Versuche bewältigen. Das ist immer noch reichlich.

Aber wie sieht es mit lediglich 100 Versuchen aus? Das ist die Anzahl der Fehlversuche, die die neuesten Leitlinien des National Institute for Standards and Technology (NIST) empfehlen, bevor eine Sperrung ausgelöst werden soll. Das klingt zunächst einmal sicher, denn jeder, so sollte man annehmen, kann ein Passwort erstellen, das 100 Versuchen von Hackern wiederstehen kann. Vielleicht aber auch nicht!

Laut aktueller Studien aus China und Großbritannien hat ein Angreifer mit nur einigen wenigen personenbezogenen Daten eine 1:5 Chance, ein Passwort zu erraten, bevor die vom NIST empfohlene Sperrung eintritt. Die Forscher der Chinesischen Fujian Normal und der Peking Universität sowie der britischen Lancaster University haben mit TarGuess Bezugssysteme entwickelt, das intelligent die persönlichen Informationen einzelner Benutzer berücksichtigt, auf die auch ein Angreifer potenziell Zugriff haben könnte. 

TarGuess-I beispielsweise geht davon aus, dass personenbezogene Daten, wie etwa Name und Geburtstag, bekannt sind. Den Forschern zufolge kann so eine etwa 20 Prozent höhere Erfolgsrate bei 100 Versuchen, eine 25 Prozent höhere Rate mit 1.000 Versuchen und 50 Prozent bei 1.000.000 Versuchen. Dies deutet darauf hin, dass die Mehrheit der Nutzerkennwörter äußerst anfällig für Angriffe ist. 

Die vielen Millionen User, die bereits Opfer von Angriffen oder Datenlecks bei Adobe, Yahoo, LinkedIn und anderen wurden und deren persönliche Informationen nun öffentlich zugänglich sind, haben außerdem einen weiteren Verlust zu beklagen: den des "Schwester-Passworts". Diese geben auch Hackern Hinweise darauf, wie die Nutzer ihre Kennwörter erstellen. Gemäß der TarGuess Bezugssysteme steigen dadurch die Chancen der Hacker zusätzlich. TarGuess-III und -IV Prognosen, welche auch die Schwester-Passwörter einbeziehen, erreichen Erfolgsraten von bis zu 73 Prozent bei nur 100 Versuchen.

Michael Veith, Sicherheitsexperte bei Sophos, empfiehlt daher: "Website-Betreiber sollten mindestens den neuesten NIST Richtlinien folgen. Sie sollten Anwendern ein Tool zur Messung der Passwortstärke bereit stellen und keinesfalls erlauben, Passwörter wie 12345 zu verwenden. Ferner sollen sie Limits für das Einloggen definieren und den Zugriff bei Überschreitung sperren. Auch eine 2-Wege-Authentifizierung macht das Leben sicherer. Auf diese Weise können Kriminelle mit einem geknackten Passwort nicht viel anfangen. Endverbrauchern hingegen raten wir: nutzen Sie unbedingt einen Passwort-Manager. Er kreiert hervorragende Passwörter, verwahrt sie sicher und lässt sie den Anwender bei Bedarf bequem nutzen. So benötigen Hacker wesentlich mehr als nur 100 Klicks bis zum Glück."

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr

Hosted by:    Security Monitoring by: