Skip to content

Passwörter: Länge ist nicht alles

Passwörter sind Teil unseres Lebens geworden. Nichts geht mehr ohne sie. Wo früher noch ein "Guten Tag" und eine Unterschrift auf einem Stück Papier beim wohlbekannten Pförtner genügte, muss heute die Identität für die Autorisierung von schützenswerten Vorgängen über Passwörter geprüft werden.

Der Grund für die exzessive Nutzung von Passwörtern in der heutigen Zeit liegt auf der Hand. Computer können mit einem Krakel auf einem Stück Papier nur bedingt etwas anfangen. Zu fehleranfällig ist die optische Auswertung einer menschlichen Unterschrift. Dies ist darin begründet, dass Menschen zu viele Fehler machen. Jede menschliche Unterschrift ist ein Unikat und Computerprogramme können diese zwangsläufig entstehenden Abweichungen zum gespeicherten Original nicht genau genug herausrechnen. Entweder der Erkennungsalgorithmus wäre zu streng und würde nur jeden tausendsten Versuch von ein und demselben Menschen akzeptieren oder er wäre zu lax und würde jede Unterschrift akzeptieren, die ein wenig nach dem gespeicherten Krakel "riecht".

Computer lieben Passwörter

Passwörter sind anders. Sie sind klar definiert, Computer können sie problemlos abspeichern und solange keine hundertprozentige Übereinstimmung nach einer Eingabe vorliegt, wird der Vorgang nicht als autorisiert betrachtet. Das Problem dabei ist aber, dass sich Menschen lange Zeichenkolonnen nur schwer merken können. Je mental unzusammenhängender die Zeichen eines Passworts gewählt sind, desto kürzer muss es für einen Menschen sein, damit es einigermaßen sicher im Gedächtnis gehalten werden kann.

Schon wieder ein neues Passwort

Jeder war schon in dieser Situation. Man wird von einem System gefragt, welches Passwort man doch gerne benutzen möchte. Der meines Erachtens einfachste Weg ist es, die vierstellige PIN der EC-Karte zu verwenden. Diese Nummer braucht man im täglichen Leben verhältnismäßig häufig und das Vergessen ist durch diesen Umstand und die geringe Komplexität der vierstelligen Ziffernfolge unwahrscheinlich. Dieser Ansatz klappt in den meisten Fällen allerdings nicht, da heutige Systeme eine Mindestpasswortlänge vorschreiben. Erst neulich hat mich das Kundenportal eines Online-Shops aufgefordert, für die Registrierung ein mindestens achtstelliges Passwort einzugeben.

Menschen können langsam sein

Kurze Passwörter haben den Nachteil, dass sie durch einfaches Ausprobieren der möglichen Zeichenkombinationen herauszufinden sind. Beispielsweise hat ein dreistelliges aus Dezimalziffern bestehendes Passwort 1000 mögliche Kombinationen. Beginnend bei 000 hat ein Mensch bei einem primitiven Kofferschloss verhältnismäßig lange zu tun, bis er alle Kombinationen zur 999 ausprobiert hat. Angenommen er benötigt für das Einstellen einer neuen Kombination und dem Probieren, ob der Koffer nun geöffnet ist, drei Sekunden, so erfordert das Knacken im schlechtesten Fall 50 Minuten. Ungeduldige Menschen kann dies von unbefugtem Öffnen abhalten.

Computer sind manchmal schneller

Computer sind bei repetitiven Aufgabenstellungen meist erheblich schneller als Menschen. Beispielsweise hat mir mein Internetprovider bis vor ein paar Monaten die Monatsabrechnung per E-Mail zugesandt. An der E-Mail hing stets ein verschlüsseltes PDF, welches mit einem neunstelligen Zifferncode geschützt war. Dieser Zifferncode war meine Kundennummer und als sich diese beim Wohnungsumzug geändert hat, war ich nicht mehr in der Lage, die Rechnung zu lesen. Die Kundennummer steht in der Rechnung und ich komme nicht ran, da sie verschlüsselt ist. Eine verzwickte Situation möchte man meinen.

pdfcrack

Glücklicherweise habe ich das Werkzeug pdfcrack in den Paketquellen meines Betriebssystems entdeckt.

heidi@julia:~$ apt-cache search pdf knack
pdfcrack - Passwörter von PDF-Dateien knacken

Nach erfolgter Installation und habe ich es auf die verschlüsselte Rechnung "gehetzt", um endlich meine neue Kundennummer zu erfahren. Eingestellt habe ich dabei, dass die Passwortlänge exakt neun Stellen hat und dass der zu verwendende Zeichenvorrat die zehn möglichen Ziffen unseres Dezimalsystems umfassen soll.

heidi@julia:~$ pdfcrack -f rechnung.pdf -n 9 -m 9 -c 0123456789

Mit den ca. 30.000 Versuchen pro Sekunde hätte mein ca. zwei Jahre alter Computer im schlechtesten Fall etwa 9,5 Stunden gebraucht. Dies ist kurz im Vergleich zu menschlichem Ausprobieren, aber wenn man bedenkt, dass pdfcrack lediglich auf den Hauptprozessor meines Computers zurückgegriffen hat, ist die Situation noch viel brisanter. Der Hauptprozessor heutiger Standardcomputer ist für diese Art von Berechnungen verhältnismäßig ungeeignet, da er für das Probieren einer Kombination eine Vielzahl verschiedener Lade-, Vergleichs- und Speicheroperationen immer wieder nacheinander durchführen muss. Viel besser geeignet sind stattdessen Streamprozessoren, die in heutigen Grafikkarten zu finden sind. Sie sind darauf spezialisiert, gleiche Operationen auf eine riesige Menge an Daten anzuwenden. Man kann es sich so vorstellen, dass der Streamprozessor einmal auf die durchzuführenden Operationen eingestellt wird und im Anschluss die Datenmengen "nur noch" nacheinander durchgeschoben werden. Im Passwortbeispiel wären das die vielen möglichen Passwörter. Mit leistungsfähigen Streamprozessoren heutiger Generation sind Raten von weit über einer Million Versuchen pro Sekunde möglich.

Die Mischung machts

Nicht nur die Länge eines gewählten Passworts ist wichtig. Auch die Breite des eingesetzten Zeichensatzes ist erheblich. Auch noch so schnelle Prozessoren können es momentan nicht mit endlichem Zeitaufwand schaffen, ein z.B. achtstelliges Passwort bestehend aus Ziffern, Buchstaben und Zeichen wie z.B. S$1äö§fG über den Ansatz des naiven Ausprobierens zu knacken. Auch wenn diese Passwörter relativ komplex sind, ist es durchaus möglich, gut merkbare Passwörter zu wählen. Welches am besten merkbar und trotzdem sicher ist, muss jeder selbst entscheiden.

Ich hoffe, dass dieser Beitrag ausreichend veranschaulicht hat, wie ein sogenannter Brute-Force-Angriff gegen einen verschlüsselten Container funktioniert. Weitere Arten von möglichen Angriffen gibt es in einem der nächsten Blogbeiträge. Hoffentlich war dieser nicht zu lang(weilig). :-)

Kommentare

Noch keine Kommentare

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.