Push-Nachrichten von MacTechNews.de

Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Studie: 45 Prozent aller Passwörter lassen sich innerhalb einer Minute knacken

Passwörter stellen für viele Nutzer ein Ärgernis: Sie möchten sich einfach einloggen und wählen oftmals Codes, welche einigermaßen einfach zu erraten sind. Dabei gibt es eine ganze Reihe an Tools, die Anwender in dieser Sache Unterstützung anbieten und beispielsweise umfangreiche und schwer zu knackende Passwörter für jede Internetseite anbieten. Auf dem Mac und den iDevices ist dieses Feature längst fest im System integriert. Eine von den Sicherheitsforschern von Kaspersky durchgeführte Untersuchung zeigt nun, wie es um die Sicherheit vieler Kennwörter bestellt ist, wenn sie mit einem Brute-Force-Angriff geknackt werden sollen.

Ratsam: Alphanumerische Codes mit Sonderzeichen
Was geschieht, wenn man 193 Millionen echte Passwörter, welche im Darknet zu finden sind und als MD5-Hashes vorliegen, mit einer Nvidia Geforce RTX 4090 zu identifizieren versucht? Kaspersky ging dieser Frage nach und warf einen genauen Blick auf ein im Darknet gefundenes Bündel an 193 Millionen echten Passwörtern. Die meisten davon (28 Prozent) enthalten eine alphanumerische Zeichenfolge mit Sonderzeichen. Diese sind natürlich am schwierigsten zu knacken: Für 85 Prozent der Codes bedarf es mehr als ein Jahr, um sie zu identifizieren. Dabei ist selbstverständlich die Länge der Passwörter maßgeblich: Liegt diese bei unter zehn Zeichen, erfolgt das Aufspüren per Brute-Force-Methode zum Teil deutlich schneller. Eine Ziffernfolge ist erwartungsgemäß besonders unsicher: 94 Prozent dieser Kennwörter ließen sich innerhalb einer Minute feststellen.

Quelle: Securelist by Kasperky

45 Prozent der Passwörter in unter einer Minute identifiziert
Kaspersky setzte auch auf Algorithmen, um mit den Brute-Force-Angriffen möglichst eindrucksvolle Ergebnisse zu erzielen. Mit dem effizientesten Algorithmus war es den Forschern möglich, 45 Prozent der Passwörter in der Stichprobe binnen 60 Minuten zu knacken. Knapp ein Viertel der Passwörter erwies sich als robust und benötigt mindestens ein Jahr, um erraten zu werden.

Quelle: Securelist by Kasperky

Als Achillesferse entpuppen sich oftmals Namen, markante Ziffernfolgen oder beliebte Wörter, die im Passwort auftauchen. Kaspersky rät dazu, Codes mit Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen zu verwenden, wie das etwa Passwort-Manager tun. Ferner sollte eine Zeichenfolge niemals auf mehrere Internetseiten zum Einsatz kommen.

AirPods Max: Warum so wenig Innovation?

Vor 10 Jahren: 3 Milliarden für Beats

Kurz: 5G-Netze noch mit sehr wenigen Nutzern ++...

TechTicker

M4 Max: Noch beeindruckendere Benchmark-Ergebni...

Ohne Abo: Microsoft veröffentlicht Office 2024 ...

Ransomware eingefangen? Die meisten bezahlen ih...

Musikbranche verklagt KI-Anbieter

Kommentare

gritsch24.06.24 12:28

Nur sind halt Brute-Force-Angriffe in den meisten Fällen nicht möglich.
Denn dazu muss man sie lokal validieren können. Also zb den Hashwert und das Salz und die Hash-Methodik kennen, welche am Server verwendet wird. Denn man kann nicht jede einzelne Anfrage an den Server senden. Denn dann würde der sehr schnell in die Knie gehen (wenn die Netzwerkverbindung das hergeben würde) - und das würde dann auffallen.
Auch ist es in vielen Fällen komplett egal ob ein Internetaccount "geknackt" wird. Denn wenn man sich bei jedem Scheiß anmelden muss um ein Dokument runterzuladen oder einen Artikel zu lesen, dann gibt man dort ja noch lange keine privaten Daten an, mit welchen der Angreifer etwas anfangen könnte.
Da kann man dann auch 12345678 als Passwort verwenden. Nur sollte man dieses dann halt nicht auch bei wichtigen Accounts verwenden

+13

rosss24.06.24 12:29

Gibt es immer noch Unternehmen, die ein unbegrenztes Passwort-ausprobieren erlauben?

martzell24.06.24 12:49

Zwei meiner Banken meckerten "Kennwort zu lang, max. 15 Zeichen." Das ist dumm. Ein sicheres Kennwort benötigt keine Ziffern und Sonderzeichen und muss nicht kompliziert sein. Nur lang.

4 Wörter sind sicher und lassen sich einfach merken. Leider fordern die Anbieter möglichst komplizierte schwer zu merkende Kennwörter von uns.

ssb24.06.24 12:51

Am Ende besteht die Aufgabe dann doch nur darin, systematisch von allen möglichen Permutationen den Hash zu berechnen, ggf. mit unterschiedlichen Algorithmen und eventuell auch Salts. Die Zahl der möglichen Permutationen ergibt sich dann einfach aus Länge und erlaubter Zeichenauswahl - kann man ausrechnen und muss man gar nicht erst probieren.
Das insbesondere Grafik-Karten das besonders schnell (und hochgradig parallelisiert) durchführen können, ist kein Geheimnis.

In dem Moment, wo man die Berechnungen zum Beispiel auf Wortbestandteile beschränkt, ist es im eigentlichen Sinne kein Brute-Force mehr sondern ein Dictionary-Attack.

Ein komplexes Passwort ist also im Grunde - mathematisch betrachtet - nicht sicherer als ein einfaches - nur werden die Angriffe zuerst auf einfache Passwörter ausgelegt (weil es am Ende Menschen sind, die sie sich merken müssen) und daher kommt man schneller zu Treffern. Komplexe Passwörter brauchen nicht wegen ihrer Komplexität länger, sondern sie werden erst später ausprobiert.

Aber mir gefällt auch nach wie vor die Verschwörungstheorie, dass blockchain-basierte Währungen von der NSA initiiert wurden, damit die ganze Welt für sie die Hashes berechnet und sie dann die dazugehörigen Passwörter nur noch in einer Datenbank suchen müssen

eiq24.06.24 12:56

ssb

Aber mir gefällt auch nach wie vor die Verschwörungstheorie, dass blockchain-basierte Währungen von der NSA initiiert wurden, damit die ganze Welt für sie die Hashes berechnet und sie dann die dazugehörigen Passwörter nur noch in einer Datenbank suchen müssen

Und ich dachte immer, dafür hätten wir SETI@home.

ssb24.06.24 13:03

eiq

ssb

Und ich dachte immer, dafür hätten wir SETI@home.

Damit wollten sie nur die Kommunikation abfangen, die per Frequenzspreizung im Rauschen untergeht. Scheint aber nicht mehr so relevant zu sein, sonst hätte man es nicht eingestellt.

Legoman24.06.24 15:59

Ich bin sehr geneigt, Kaspersky erstmal gar nichts zu glauben.

milk24.06.24 18:08

Meine Passwörter dürfen die Herrschaften gerne knacken, denn sie brauchen immer noch Zugriff auf mein iPhone, um sich mit dem zweiten Faktor zu authentifizieren.

-4

herwighenseler24.06.24 22:46

Kaspersky rät dazu, Codes mit Groß- und Kleinbuchstaben, Ziffern sowie Sonderzeichen zu verwenden

Hört dieser Unsinn eigentlich nie auf?

Herwig

Life is a heuristic guided depth-first search without backtracking

Pinarek25.06.24 02:51

Kaspersky = Russe = Lügner und Spion !!!!

Nicht umsonst soll es in USA verboten werden.

-3

martzell25.06.24 10:28

»Ratsam: Alphanumerische Codes mit Sonderzeichen«

Das ist ein weit verbreiterter Irrtum. 4 Wörter sind sicher und lassen sich einfach merken. Alles klein und zusammengeschrieben, ohne Ziffern und Sonderzeichen. Leider oft nicht erlaubt.

Unsicher sind kurze Kennwörter, auch alphanumerisch mit Sonderzeichen. Eigentlich sollte es Kennsatz heißen und wir sollten einen kurzen leicht zu merkenden Satz verwenden dürfen.

konnektor25.06.24 15:12

Wie gerade gelernt braucht man mancherorts gar keine Passwörter mehr entschlüsseln. Unter Windows Server reicht es den Hash zu kennen um sich alle Rechte zu verschaffen.

claudiusw25.06.24 22:08

Einfach den Password Manager das Passwort vergeben lassen und fertig. Kein Mensch muss sich die Passwörter merken, dafür ist der Password-Manager da. Nur das Master-Passwort solle man sich sehr gut merken. Ich benutze 1Password auf Mac und iOS schon seit Jahren und es funktioniert bestens. Meine Passwörter kann jedenfalls keiner knacken, weil diese zu komplex sind.

You cannot create good typography with Arial.

Studie: 45 Prozent aller Passwörter lassen sich innerhalb einer Minute knacken

Kommentare

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.