🔐 ❌ Schluss mit 8 Zeichen: Passwörter im Wandel und warum 8 Zeichen nicht mehr ausreichen 🔐
- Daniel Eberhorn
- 5. Aug. 2024
- 5 Min. Lesezeit
Bild generiert durch OpenAI's DALL·E
Passwörter sind nach wie vor ein zentraler Bestandteil der Cybersicherheit. Trotz regelmäßiger Empfehlungen von Institutionen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem National Institute of Standards and Technology (NIST) zur Passwortsicherheit, bleiben erhebliche Risiken bestehen. In diesem Artikel analysieren wir die aktuellen Empfehlungen, ihre Schwachstellen und alternative Ansätze zur Erhöhung der Passwortsicherheit.
Aktuelle Empfehlungen des BSI und NIST
Die Empfehlung des BSI, dass Passwörter mindestens acht Zeichen lang sein sollten, besteht seit vielen Jahren. Das BSI betont in seinen aktuellen Richtlinien, dass ein gutes Passwort mindestens acht Zeichen lang sein sollte, wobei eine Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen empfohlen wird.
Diese Empfehlung wurde im Rahmen des IT-Grundschutz-Kompendiums wiederholt und aktualisiert, zuletzt im Jahr 2020.
Das NIST setzt ebenfalls auf die Länge von Passwörtern, empfiehlt aber auch acht Zeichen. Dabei wird weniger Wert auf Komplexität gelegt und mehr auf Länge und Einfachheit für den Benutzer. Diese Richtlinie wurde erstmals in der NIST Special Publication 800-63B im Jahr 2017 festgelegt.
Kritik an den aktuellen Empfehlungen
Obwohl die Empfehlungen des BSI und NIST regelmäßig aktualisiert werden, gibt es erhebliche Kritik. Acht Zeichen lange Passwörter sind heute leicht durch Brute-Force-Angriffe zu knacken. Die steigende Rechenleistung moderner Grafikkarten und spezialisierte Brute-Force-Tools ermöglichen es, riesige Mengen an Passwortkombinationen in kurzer Zeit zu testen.
Bereits vor 2017 war bekannt, dass die gekaperten NTLM-Hashes von Microsoft, die Microsoft zur "Verschlüsselung" aller Passwörter auf Endgeräten und in der Active Directory verwendet, besonders anfällig für solche Angriffe sind. Ein NTLM-Hash eines acht Zeichen langen Passworts kann mit modernen Grafikkarten innerhalb von Stunden, manchmal sogar Minuten, entschlüsselt werden.
Die zunehmende Rechenleistung und die Verfügbarkeit von spezialisierten Brute-Force-Tools machen es möglich, eine riesige Anzahl von Passwortkombinationen in kurzer Zeit zu testen.
Der regelmäßige Passwortwechsel
BSI und NIST haben ihre Haltung zum regelmäßigen Passwortwechsel geändert, beide Empfehlen das regelmäßige Wechseln von Passwörtern nicht mehr. Da Benutzer oft dazu neigen, Muster zu verwenden, die leicht zu erraten sind. Zum Beispiel könnten Passwörter wie "Sommer2021" oder "Herbst2021" verwendet werden, die für Angreifer noch einfacher zu knacken sind.
In diesem Punkt muss man dem BSI und der NIST in teilen Recht geben - nutzen neigen dazu Passwörter weiterzuverwenden bzw. nur leicht zu ändern. Allerdings brauchte ein Unternehmen im globalen Durchschnitt 204 Tage um geleakte Zugangsdaten zu erkennen. Hierbei werden nur die Unternehmenspasswörter betrachtet - allerdings nutzen 51% der Mitarbeiter das selbe Passwort privat und beruflich und auf mindestens fünf oder mehr Webseiten.
Angesichts dieser Punkte sollte die Wahl auf ein "nur" 8 stelliges Passwort sehr gut bedacht werden - da ein geleakter Passworthash nicht nur in wenigen Stunden geknackt ist, sondern diese Passwörter auch noch für "unbestimmte" Zeit aktiv bleiben und privat und beruflich als Einfallstor für Angriffe dienen können. Letztes Jahr haben etwa 49% aller Cyberangriffe mit einem geleakten Passwort begonnen.
Zu lange ist der Standard für Passwörter weiterhin bei acht Zeichen
Die Methoden zum Knacken von Passwörtern haben sich seit den Tagen von John the Ripper und Cain & Abel erheblich weiterentwickelt. Ein entscheidende Fortschritt liegt in der Nutzung von Grafikkarten statt langsamer Prozessoren. GPUs sind dafür ausgelegt, einfache Berechnungen sehr schnell durchzuführen, was sie ideal für das Durchprobieren von Passwortkombinationen macht. Dank ihrer Fähigkeit, solche Berechnungen in hoher Geschwindigkeit auszuführen, können GPUs Passwörter wesentlich schneller knacken, indem sie alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen durchgehen.
Im Gegensatz zu vielen anderen Sicherheitsstandards hat sich die „Best Practice“ der acht Zeichen langen Passwörter nicht weiterentwickelt. Dies stellt ein erhebliches Sicherheitsrisiko für moderne Windows-Domänen dar. Für versierte Angreifer ist es ein Leichtes, mithilfe eines Tools wie Responder einen verschlüsselten Windows-Hash zu erlangen und diesen mit einem leistungsstarken GPU-System zu knacken – oft dauert dies nur wenige Minuten. Diese "Erfolge" können entweder direkt im Angriff verwendet werden um noch mehr Schaden anzurichten oder im DarkNet verkauft werden.
Die Mathematik hinter dem Passwort-Knacken: Kombinatorik
Die Mathematik hinter dem Erraten von Passwörtern wird als Kombinatorik bezeichnet, ein Teilgebiet der Mathematik, das sich mit der Anzahl möglicher Kombinationen beschäftigt. Die Anzahl der möglichen Kombinationen eines Passworts hängt von der Länge des Passworts und der Anzahl der verfügbaren Zeichen im Zeichensatz ab.
Angenommen, ein Passwort besteht aus den folgenden Zeichen - was der Active Directory Defaulteinstellung entspricht:
Großbuchstaben (A-Z)
Kleinbuchstaben (a-z)
Ziffern (0-9)
Bei einem 8-stelligen Passwort, wären das 26 Zeichen für Großbuchstaben, 26 Zeichen für Kleinbuchstaben und 10 Zeichen für Zahlen. Dies ergibt insgesamt 62 mögliche Zeichen (26 + 26 + 10 = 62) und das als Exponenten der mit der gewünschten Passwortlänge ergibt 62^8. Die folgenden Tabelle zeigt schon einen großen Unterschied zu einem 9-stelligen Passwort. Hierbei ist zu beachten, das es sich hier um den "worst case" handelt - d.h. die Passwörter können auch schon früher geknackt werden.
Länge | Mögliche Kombinationen Groß-, Kleinbuchstaben und Zahlen | Dauer | Kosten (28,152 USD pro Stunde) |
1 | 62 | < 1ms | < $0,01 |
2 | 3.844 | < 1ms | < $0,01 |
3 | 238.328 | < 1ms | < $0,01 |
4 | 14.776.336 | < 1ms | < $0,01 |
5 | 916.132.832 | 3 ms | < $0,01 |
6 | 56.800.235.584 | 1,83 Sekunden | $ 0,01 |
7 | 3.521.614.606.208 | 1:53 Minuten | $ 0,89 |
8 | 218.340.105.584.896 | 1:57 Stunden | $ 54,89 |
9 | 13.537.086.546.263.552 | 5 Tage | $ 3.403,07 |
10 | 839.299.365.868.340.224 | 312 Tage | $ 210.990,42 |
11 | 52.036.560.683.837.093.888 | 53 Jahre | $ 13.081.405,74 |
12 | 3.226.266.762.397.899.821.056 | 3288 Jahre | $ 811.047.155,71 |
Die oben genannte Tabelle spiegelt ein Passwort ohne Sonderzeichen wieder - in der Praxis sind etwa 10 Sonderzeichen gängig bei Benutzern, die teilweise auch in den Passwörtern verwendet werden.
Wenn wir nun die Tabelle anpassen, um die Sonderzeichen zu includieren - bekommen wir folgendes.
Bei einem 8-stelligen Passwort, wären das 26 Zeichen für Großbuchstaben, 26 Zeichen für Kleinbuchstaben, 10 Zeichen für Zahlen und 10 Sonderzeichen (z.B. !, @, #). Dies ergibt insgesamt 72 mögliche Zeichen (26 + 26 + 10 + 10 = 72) und das als Exponenten der mit der gewünschten Passwortlänge ergibt 72^8.
Länge | Mögliche Kombinationen Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen | Dauer | Kosten (28,152 USD pro Stunde) |
1 | 62 | < 1ms | < $0,01 |
2 | 5.184 | < 1ms | < $0,01 |
3 | 373.248 | < 1ms | < $0,01 |
4 | 26.873.856 | < 1ms | < $0,01 |
5 | 1.934.917.632 | 6 ms | < $0,01 |
6 | 139.314.069.504 | 4,48 Sekunden | $ 0,04 |
7 | 10.030.613.004.288 | 5:22 Minuten | $ 2,52 |
8 | 722.204.136.308.736 | 6:26 Stunden | $ 181,55 |
9 | 51.998.697.814.228.992 | 19 Tage | $ 13.071,89 |
10 | 3.743.906.242.624.487.424 | 3 Jahre | $ 941.175,90 |
11 | 269.561.249.468.963.094.528 | 274 Jahre | $ 67.764.664,48 |
12 | 19.408.409.961.765.342.806.016 | 19.784 Jahre | $ 4.879.055.842,41 |
Die Berechnung für Dauer und die maximalen Kosten basieren auf der Annahme einer AWS EC2 Instanz (p3.16xlarge) und einem Preis pro Stunde von 28,152 USD. Hierbei existieren viele weitere Instanzen, mit teilweise noch mehr GPU Performance zu einem teilweise auch noch günstigeren Preis. Die Dauer wurde mit einer gemessenen Durchschnittlichen Hashingrate von 31.107,2 MH/s kalkuliert.
Die Lösung
In einem vorherigen Blogbeitrag hatte ich bereits die Zukunft der Passwörter besprochen - ⚙️ Authentifizierung neu gedacht: Passwortlos in die digitale Zukunft 🌍 - hierbei hatte ich folgenden Claim verwendet:
Zusammenfassend lässt sich hypothetisch sagen, dass Passwörter unsicher sind und hohe Kosten verursachen.
Nun lässt sich das ganze noch etwas erweitern - das typische Passwort eines Users ist $54,89 Wert. Ein vergleichsweise geringer Preis, wenn man sich anschaut, welchen Schaden $55 für das Unternehmen anrichten können.
Basierend auf unseren obigen Schlussfolgerungen erhöht die Erhöhung der Passwortlänge um nur ein einziges Zeichen die Wahrscheinlichkeit, dass das Passwort nicht geknackt wird, erheblich. Das Hinzufügen von zwei Zeichen macht es sehr unwahrscheinlich (es sei denn, es handelt sich um ein Wörterbuchwort).
Auch eine Multi-Faktor-Authentifizierung kann hier nur bedingt Schutz bieten wie wir in folgenden Artikel nachlesen können - 🎭👁️ Von Illusion zur Realität: Die dunklen Seiten von Multi-Faktor-Authentifizierung (MFA) 👁️🎭. Eine wirkliche Lösung für das Problem können uns auf lange Sicht nur noch vollständig Passwortlose Authentifizierungsmethoden bieten, Cracking Geschwindigkeiten werden in der Zukunft nur noch besser werden.