Zeit, dass sich das dreht…

Gerade las ich bei Golem [1] über die Zusammenfassung der Analyse der geleakten Stratfor-Passwörter [2].
Der Bericht war so spannend, dass ich auch noch den originalen Bericht von The Tech Harald [3] gelesen habe.  Das Ergebnis ist zwar nicht ganz unerwartet, aber dennoch schockierend und traurig.

Klar, bei manchen Negativbeispielen wie z.B. ****** oder 12345678 denke ich dann nur „Tja, ein geistiger Nichtschwimmer hat es nicht anders verdient!
Aber gleichzeitig entlarvt die Analyse auch etliche Muster, die auf vermeintlich sichere Passwörter hindeuten, und in manchen dieser Muster erkennt man dann auch sein eigenes Verhalten wieder.

Die Hitliste der geleakten Passwörter deutet stark auf amerikanische Accounts hin.
Nachdem ich mich nun gerade selbst nochmal der Sicherheit meiner Passwörter versichert habe mit Hilfe des Services des Schweizer Datenschutzbeauftragten [4], bin ich dort auf deren interessante Statistik gestoßen.  Laut dieser Statistik [5] sind nämlich knapp die Hälfte (Stand heute: 46%) der dort getesteten Passwörter als sicher anzusehen.
(leider gibt es aber keine weiterführende Statistik, wie sicher so ein Passwort denn ist.  Das schwächste als sicher deklarierte Passwort beschäftigt eine heutige CPU aber immer noch ~1 Jahr, und durch das Einfügen einiger Sonderzeichen schwillt die Zeit zum Knacken dann auch auf zig tausend Jahre an)

Zuerst machte mir diese Statistik nun Hoffnung, dass es evtl. im deutschsprachigen Teil des Internets viel schlauere User mit viel besseren Passwörtern gibt.
Aber das wäre zu schön um war zu sein.  Denn wenn ich nun schaue, dass ich hier gerade 10 Passwort-Variationen eingegeben habe um mit sportlichem Ehrgeiz ständig noch sicherere Passwörter zu ermitteln, dann ist wohl klar wie diese 46% sicherer Passwörter zustande kommt.

Fazit:

  1. Die entlarvten Passwortmuster der >80.000 enttarnten Passwörter ist keine kleine Stichprobe, sondern statistisch sehr repräsentativ.
  2. Da Strategic Forecasting Inc. ja international operiert gehe ich davon aus, dass das Passwortverhalten auch international ähnlich verteilt ist.
  3. CPUs werden immer schneller; Cloud Computing steht bisher noch in den Kinderschuhen und wird sich rasant weiterentwickeln; die Rainbow-Tables wachsen ständig und die Algorithmen lernen durch Vorkommnisse wie den Stratfor-Fall ebenfalls dazu.
  4. Geeignete Abwehrstrategien müssen auf der Seite der Diensteanbieter umgesetzt werden;  z.B.  dürfen lächerlich unsichere Passwörter gar nicht erst zugelassen werden;  außerdem müssen die Datenbanken und Dienste umfassend abgesichert werden.
  5. Letztlich kann auch ein winzig kleines Delay von einer halben Sekunde beim Validieren eines Passworts helfen.  Damit könnten die Skripte nicht mehr tausende Passwörter pro Sekunde ausprobieren, sondern nur noch 1-2 Passwörter.  Für Endanwender wäre dies eine akzeptabler Preis für ein sichereres Internet.
  6. Zu den letzten beiden Punkten muss auch der Gesetzgeber aktiv werden, um diese Verantwortung zu erzwingen.

[1] http://www.golem.de/1201/88764.html
[2] http://www.golem.de/1112/88665.html
[3] http://www.thetechherald.com/articles/Report-Analysis-of-the-Stratfor-Password-List
[4] https://passwortcheck.datenschutz.ch/check.php
[5] https://passwortcheck.datenschutz.ch/statistics.php

Schreibe einen Kommentar

Ich akzeptiere