Anfang dieses Jahres wurden etwa 6,5 Millionen LinkedIn-Account-Passwort-Hashes in einem Hacker-Forum veröffentlicht. Die Hashes waren einfache SHA1-Digests, die aus den Passwörtern des Benutzers berechnet und in der LinkedIn-Backend-Infrastruktur gespeichert wurden.

Es dauerte nicht lange, bis Hacker damit begannen, sie zu knacken, wobei über die Hälfte von ihnen in kürzester Zeit geknackt wurde.

Es gibt zwei Hauptgründe, warum ein so schnelles Knacken möglich war:

* die Verwendung der SHA1-Funktion selbst
* schnelle GPUs

Schauen wir uns beide an.

Die SHA1-Funktion wurde hauptsächlich entwickelt, um die schwächere Funktion MD5 zu ersetzen. Es wurde geschaffen, um schnell zu sein, und in der Tat ist es. Auf einer AMD / ATI 7970-Grafikkarte berechnet „hashcat“ (siehe https://hashcat.net/oclhashcat-plus/) etwas mehr als zwei Milliarden SHA1-Hashes pro Sekunde. So können viele Kombinationen in kürzester Zeit getestet werden.

Um dieses „Problem“ zu überwinden, gibt es moderne und sicherere Algorithmen, wie die sha512crypt-Funktion, die in Ubuntu und neueren Versionen von Fedora Core Linux verwendet wird. Anstelle von 2 Milliarden Hashes pro Sekunde knackt dieselbe GPU-Karte nur etwas mehr als 12.000 sha512crypt-Kombinationen pro Sekunde. Zum Beispiel dauert die Überprüfung einer Milliarde sha512crypt-Kombinationen etwa 24 Stunden; aber weniger als 1 Sekunde für SHA1.

Aufgrund der heutigen schnellen GPUs ist ein guter Rat, wenn es um Sicherheit geht, ein komplexes Passwort zu wählen, das:

* enthält sowohl Groß- als auch Kleinbuchstaben
* enthält mindestens ein Leerzeichen
* enthält Zahlen
* enthält mehrere Symbole wie!@#
* es basiert nicht auf einem bekannten Wort
* es ist mindestens 12 Zeichen groß, aber je länger, desto besser

Viele der Leute, die ich kenne, verwenden Passphrasen, die zwischen 20 und 50 Zeichen groß sind. Dies ist ein guter Rat, der es unwahrscheinlich macht, dass selbst für den Fall, dass Ihr Passwort-Hash durchgesickert ist, niemand es knacken wird.

Stellen Sie sich heute meine Überraschung vor, als ich versuchte, mich bei einem älteren Hotmail-Konto anzumelden, und Folgendes erhielt:

 Microsoft-Kontokennwörter können bis zu 16 Zeichen enthalten. Wenn Sie ein Passwort mit mehr als 16 Zeichen verwendet haben, geben Sie die ersten 16 ein.

Microsoft-Kontokennwörter können bis zu 16 Zeichen enthalten.
Wenn Sie ein Passwort mit mehr als 16 Zeichen verwendet haben, geben Sie die ersten 16 ein.

Mein vorheriges Passwort war ungefähr 30 Zeichen groß und jetzt funktioniert es nicht mehr. Ich konnte mich jedoch anmelden, indem ich nur die ersten 16 Zeichen eingab.

Diese Einschränkung ist bekannt (siehe Graham Cluleys hervorragenden Beitrag zu den Passwortbeschränkungen verschiedener Dienste). Was mich jedoch aufhorchen ließ, war, dass es funktionieren würde, wenn das Passwort auf 16 Zeichen reduziert würde.

Um diesen Trick mit älteren Passwörtern auszuführen, hatte Microsoft zwei Möglichkeiten:

* Speichern Sie vollständige Klartext-Passwörter in ihrer Datenbank; Vergleichen Sie nur die ersten 16 Zeichen
* Berechnen Sie den Hash nur für die ersten 16; ignorieren Sie den Rest

Das Speichern von Klartext-Passwörtern für Onlinedienste ist ein klares Nein zur Sicherheit. Die andere Wahl könnte bedeuten, dass Hotmail seit seiner Gründung nur die ersten 16 Zeichen des Passworts verwendet.

Um ehrlich zu sein, bin ich mir nicht sicher, welches schlechter ist.

PS: Mein Lehrer sagte, denke immer positiv und versuche, mit einer optimistischen Note zu enden. Also hier geht: „Danke Google für GMail“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.