Fahrlässige Handhabung von Passwörtern erforscht

[Christoph]

Zitat:

Der australischer Software-Entwickler Troy Hunt hat nun belegt, was wir schon lange wissen: Viele Surfer im Internet verwenden das gleiche Passwort für viele Accounts und Dienste. Das stellte Hunt bei der Auswertung von in letzter Zeit veröffentlichter gestohlener Daten fest.

Seine detaillierten Ergebnisse anhand von bei den Sony-Hacks gestohlenen Datensätzen hat Hunt in seinem Blog veröffentlicht.

Er untersuchte hauptsächlich die Daten, die die Hacker von LulzSec bei ihrem Einbruch bei SonyPictures.com erbeutet hatten. Von den rund 1 Million Datensätzen mit Passwörtern im Klartext hatte Lulzsec nur einen Bruchteil von rund 37.000 Sätzen veröffentlicht. Diese enthielten Anmeldedaten zu 3 verschiedenen Sony Promotion-Aktionen, zu denen sich Teilnehmer jeweils separat anmelden mussten. Rund 2000 Anmelder waren bei mehr als einer dieser Aktionen angemeldet, und, wenig überraschend, nutzen 92% das gleiche Passwort zur Anmeldung.

Hunt hatte bereits vor einiger Zeit Passwörter untersucht, die bei einem Hack bei Gawker Media erbeutet wurden. Gawker betreibt einige prominente Technologie-Websites wie Gizmodo oder Lifehacker. So war die Annahme berechtigt, dass sich identische Personen in beiden Datenbeständen von Sony und Gawker würden finden lassen. So war es auch, 88 Datensätze enthielten identische Email-Adressen, davon nutzen erschreckende 67 % das gleiche Passwort bei beiden, vollkommen unabhängigen Diensten.

Hunt untersuchte auch die Passwortlänge und welche Zeichen verwendet wurden. 93 % der verwendeten Passwörter hatten zwischen 6 und 10 Zeichen und sind somit meist leicht zu erraten. Nur eine Handvoll Nutzer hatte Passwörter mit rund 20 Zeichen, die nicht mehr so leicht per Wörterbuchattacke erratbar sind.

Da die Länge alleine nicht ausreicht, um ein Passwort zu härten, war auch die Zusammensetzung der Passwörter interessant. Von den vier möglichen Zeichentypen Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen wurden nur bei 4 Prozent der Passwörter Zeichen aus 3 dieser Gruppen verwendet. Die Hälfte aller Passwörter enthielt nur Zeichen aus einer Gruppe, davon bestanden 90 % nur aus Kleinbuchstaben. Wie lange solche Passwörter einer Brute-Force Attacke standhalten, kann sich jeder denken.

Angesichts dieser Fakten erübrigt sich die Frage, wie viele dieser Passwörter man erfolgversprechend einfach einmal bei Googlemail-Konten oder bei Facebook ausprobieren kann. Genau dazu hatte LulzSec nach dem Hack einer Pornoseite am Pfingstwochenende ihre Twitter-Follower aufgerufen, mit dem Hinweis, sich möglichst besonders um Adressen mit dem Kürzeln .mil und .gov zu kümmern.Facebook hatte von dem Aufruf erfahren und die Konten rechtzeitig gesperrt.

Diese Art der Aufdeckung von völlig fehlendem Sicherheitsbewusstsein, besonders bei potentiellen Geheimnisträgern bei Millitär und Regierung ist natürlich zweischneidig. Schnell sind Jobs und Ehen gefährdet, von der Peinlichkeit im weiteren Umfeld ganz abgesehen.

Dabei ist es gar nicht so schwer, mit sicheren Passwörtern ohne allzu großen Aufwand umzugehen. Wer sich erst einmal klarmacht, dass nur ein Passwort, was man sich nicht merken kann, ein sicheres Passwort ist, wird schnell seine Bequemlichkeit ablegen und sich auf die Suche nach einem digitalen Helferlein zur Generierung und Verwaltung sicherer Passwörter machen.

Das Angebot ist groß, deshalb sei hier ein ziemlich universelles Tool kurz erwähnt. KeePassX gilt als extrem sicher und ist für Windows, Linux und MacOS verfügbar. So hat man unter jedem Betriebssystem alle Passwörter immer zur Hand. KeePassX ist durch ein Masterpasswort geschützt. Geht dieses verloren, ist an die Passwörter mit vertretbarem Aufwand kein Herankommen mehr. Die Handhabung ist simpel und wenig zeitaufwändig. Passwörter in gewünschter Länge können vom Programm auch generiert werden.

Es bleibt zu hoffen, dass die vermehrte Aktivität der Hacker zu einem erhöhten Sicherheitsverständnis bei Behörden, Wirtschaft und im privaten Bereich führt. Dann hat LulzSec weiter Spaß und wir den Nutzen.

Quelle: http://www.pc-magazin.de/news/fahrla...t-1147794.html

Jetzt ist es wissenschaftlich belegt.
Und die Aktionen von LulzSec haben sogar was geholfen; und eine gute Software wird auch genannt, KeePassX.