Sicherheit

"Starkes" Passwort wird in 6 Stunden geknackt

13.03.2013 von Benjamin Schischka
Einer Analyse zufolge hält ein als "stark" eingestuftes Passwort Spezialisten nur rund sechs Stunden stand.

Einer Analyse zufolge, hält ein als "stark" eingestuftes Passwort Spezialisten nur rund sechs Stunden stand.

von Benjamin Schischka, PC-Welt

2013 sollen über 90 Prozent aller Nutzer-Passwörter angreifbar sein, analysiert das Beratungshaus Deloitte. Sogar die bislang als stark geltenden Passwörter sollen betroffen sein. Starke Passwörter - das bedeutete die letzten Jahre: mindestens acht Zeichen lang, wenigstens eine Zahl, Groß- und Kleinschreibung gemischt plus ein Sonderzeichen. Nimmt man sich diesen Ratschlag zu Herzen, ergeben sich daraus 6,1 Billiarden Möglichkeiten, errechnet Deloitte. Für einen relativ flotten Desktop-PC aus dem Jahr 2011 soll es etwa ein Jahr dauern, bis man alle Möglichkeiten ausprobiert hat. Das ist für Hacker nicht sehr rentabel.

2013 sollen über 90 Prozent aller Nutzer-Passwörter angreifbar sein, analysiert das Beratungshaus Deloitte.
Foto: Bär/Schlede

Doch würden die meisten Menschen auf Tricks zurückgreifen, um sich solche Passwörter aus acht Zeichen mit Sonderzeichen merken zu können. Viele Passwörter ähneln daher Wörtern aus der Muttersprache des Nutzers, nur dass oft der erste Buchstabe durch ein Sonderzeichen ausgetauscht worden sei und vielleicht am Ende eine Zahl angehängt wurde. Außerdem würden viele nicht alle Tasten der Tastatur für das Passwort ausnutzen - die meisten Passwörter enthalten angeblich nur die Hälfte der möglichen Zeichen. Dadurch werden Passwörter weniger zufälliger und leichter zu berechnen, warnt Deloitte. Einer Studie zufolge sollen die 10.000 häufigsten Passwörter Zugang zu 98,1 Prozent aller Accounts verschaffen. Viele Passwörter würden außerdem für mehrere Accounts verwendet werden.

Mittlerweile soll die Technik außerdem große Fortschritte gemacht haben. So soll man mit einem 30.000-Dollar-Rechner jedes Passwort binnen 5,5 Stunden knacken können. Vor allem Grafikkarten ließen sich gut zum Passwort-Knacken einspannen.

Deloitte rät darum nach Möglichkeit zu zusätzlichen Authentifizierungen. Etwa zu Einweg-Passwörtern, die per SMS verschickt werden. Oder zu einer Mail-Anfrage beim Login von neuen IP-Adressen. Denkbar seien auch biometrische Überprüfungen wie ein Iris-Scan. (pcw/rw)