Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Ganz viel zu Passworten

Autor: Philipp Schaumann

Letzte Änderungen Aug. 2010

Richtige Passworte von richtigen Menschen

Angriffe auf Social Networking Websites haben interessantes statistisches Material über die Passworte zu Tage gefördert, die von den Benutzern genutzt wurden. Hier jetzt erst mal www.flirtlife.de:

Durch einen Hack bei Flirtlife.de kamen 100 000 Passworte ans Tageslicht.

Vernachlässigt man Vertipper bei Account-Namen sowie unterschiedliche Groß- und Kleinschreibung, ergibt sich in der veröffentlichten Liste bei einer Gesamtzahl von rund 100.000 Datensätzen Verteilung der häufigsten Passwörter wie in der Tabelle weiter unten dargestellt.

In den USA wurden ca. 100 000 Passworte von MySpace.com-Benutzern aufgedeckt. Bruce Schneier hat für 34 000 von ihnen interessante Statistiken angelegt. Die Details stehen auf seiner Website, hier nur die Liste der populärsten Passworte. Eine andere Analyse der Passworte durch Infoworld.com sieht die Liste aber etwas kritischer. Hier ein weiterer Link zu diesen Passworten. Und gleich folgend Beispiele aus dem beschriebenen und anderen Passwort-Hacks.

Der Hacker dieser Passworte berichtet, dass 100% der von ihm "gefundenen" Benutzername/Passwort-Kombinationen auch auf paypal.com funktioniert haben :-(

D.h. unkritische Websites können durch ihre schlechte Implementierung die Daten auf eher kritischen Websites gefährden.

flirtlife.de MySpace.com
Passwort Anzahl Passwort in %
123456 1375 password1 0.22%
ficken 404 abc123 0.11%
12345 367 myspace1 0.11%
hallo 362 password ?
123456789 260 blink182 ?
schatz 253 qwerty1 ?
12345678 215 fuckyou ?
daniel 215 123abc ?
askim 184 baseball1 ?
nadine 177 football1 ?
1234 176 123456 ?
passwort 173 soccer 0.04%
sommer 159 monkey1 ?
baby 159 liverpool1 ?
frankfurt 159 princess1 ?
jordan23 ?
slipknot1 ?
superman1 ?
iloveyou1 ?
monkey 0.02%.

Ja, das ist gespenstisch

Mir fällt auf, dass die Vielfalt der Passwortwahl doch recht groß ist. So kommt die Nummer 1 auf MySpace nur auf 2 Promille Anteil und auch flirt.de ist es mit "123456" wohl nicht viel anders. Das bedeutet, dass das einfache Raten eines fremden Passworts ohne Vorkenntnisse kaum zum Erfolg führen wird. (Anders natürlich ein Angriff über fortgeschrittene Passwort-Cracker, gegen die sich keines der hier gelisteten Passworte verteidigen kann. Anderseits sind die Passworte von MySpace nicht über solch einen Cracker in die Öffentlichkeit gekommen, sondern über eine gefälschte MySpace-Login Seite, auf die die Benutzer hereingefallen sind. D.h. die Passworte hätten so gut sein können, wie sie wollten, wer das Passwort auf einer falschen Website eingibt, hat sowieso keine Chance.

Quelle: NY Times und deren Quelle Imperva. Hier der Imperva Report

Bruce Schneier kommentiert dazu, dass die Passworte auf MySpace eigentlich gar nicht so schlecht sind, wie oft vermutet wird. Die große Mehrheit ist alphanumerisch, nur 4% sind direkt in einem Wörterbuch zu finden. Er berichet, dass Tests in 1989 nur 24% im Wörterbuch gefunden haben, in 1992 waren es noch 20%. D.h. dass die Regeln für gute Passworte sehr wohl bei den Benutzern ankommen, wenn auch langsam. Anderseits bemerkt er, dass die Benutzer von MySpace eher jung sind, und andere Berichte zeigen, dass Jugendliche weit bessere Sicherheitskenntnisse haben, als ihre Eltern.

Eine sehr interessante Studie von Microsoft Research untersucht Web Password Habits (pdf) von 500 000 Benutzern. Sie finden dabei u.a. dass der durchschnittliche Web-Nutzer auf 25 Websites Passworte verwendet, die er/sie auch bei anderen Website nutzt und dass für Websites mit gemeinsamen Passworten im Schnitt 3,9 unterschiedliche Passworte verwendet werden. Wenig überraschend ist, dass die schwächeren Passworte bei einer größeren Zahl von Websites verwendet werden. Die dort beobachteten Webnutzer gaben pro Tag im Schnitt 8,5 mal diese mehrfach genutzten Passworte ein. Die Zahl der vergessenen Passworte bei yahoo.com wird mit 4% pro Quartal abgeschätzt und 0,4% der Benutzer scheinen pro Jahr auf eine Phishing-Website hereinzufallen (dieser Wert wird in anderen Untersuchungen ähnlich abgeschätzt).

Noch eine Passwortliste: Der Trojaner/Wurm Conficker enthält eine Liste von simplen Passworten, die der Wurm als erstes mal durchprobiert. Falls Ihres dabei ist, sollten Sie es schnell ändern.

Hier noch mal eine Analyse von gestohlenen Passworten. Und hier PHPBB Password Analysis und Top 10 Most Common Passwords , sowie The Top 500 Worst Passwords of All Time. Und hier die Analyse der gestohlenen Hotmail-Passworte.

 

Aktualisierung 2010: Hier eine trauige Studie zu Passwortfehlern, diesmal durch die Betreiber, nicht die Benutzer): Passwords in the wild, part I: the gap between theory and implementation. Passwords in the wild, part II: failures in the market, Passwords in the wild, part III: password standards for the Web und Passwords in the wild, part IV: the future.

Es wurden 150 Websites untersucht und nur 3 davon haben Passwort-Sicherheit vollständig implementiert: verschlüsselte Übertragung, Hashing statt Abspeichern-in-Klartext und Verhinderung von Brute-Force Passwort-Probing oder Username-Probing.

Aber die Fehler der Benutzer bei der Passwortnutzung die Fehler der Website-Betreiber nur noch potenzieren. Die Firma Bitdefender hat in nur 1 Woche Arbeit 250 000 Email-Adressen, Passwörter und Benutzernamen gesammelt.

 
 

 

Die Tricks der Angreifer

Um wirklich zu klären, wie gute Passworte aussehen sollten, hat Bruce Schneier eine Analyse eines Passwort-Crackers durchgeführt. Hier eine Zusammenfassung seiner Ergebnisse.

    Starke Passworte werden benötigt, wenn der Angreifer die Möglichkeit zu beliebig vielen Versuchen hat, d.h. wenn nach 3 Versuchen blockiert wird, reichen auch etwas schächere Passworte. Starke Passworte werden gebraucht für MS Office Dateien, PDF-Dateien, Zip-Dateien, PGP-Dateien und für Windows- und andere Benutzer-Accounts (auch auf Websites), da dort die Gefahr besteht, dass ein Angreifer die verschlüsselte Passwort-Datei durchprobieren kann.

    Solche Programm starten mit einer Liste der 1000 beliebtesten Passworte (siehe obige Liste) und probieren dann jeweils 100 beliebte Anhänge wie 123. (das knackt 24% aller Passworte). Dann folgt ein Wörterbuchangriff (spezifisch für die Sprache des Opfers) - 5000 Wörter, 10 000 Namen, dabei werden auch wieder jeweils bis zu 2 Zahlen angehängt, die 1. Position groß und klein geschrieben und beliebte Ersetzungen durchprobiert (o wird 0, s wird $, a wird @, i wird !). Dann folgen Ketten von sinnlosen, aber aussprechbaren Silben wie lefril oder robgan. Diese und alle Wörterbuch-Einträge werden dann mit längeren Zahlenfolgen und Sonderzeichen kombiniert, aber dabei wird die Zeit für das Durchprobieren natürlich immer länger.

    Sein Lösungsvorschlag daher: Großschreibung in der Mitte des Wortes und nicht am Anfang, Zahlen und Symbole in der Mitte des Wortes oder zwischen 2 Worten und Speichern von zu komplizierten Passworten in sicheren Programmen zur Passwort-Speicherung.

Ein anderer Angriff geht über sog. Rainbow-Tables. Dieser Angriff wird eingesetzt, wenn eine verschlüsselte Datei der Passworte vorliegt. Hier werden die vorberechneten Ergebnisse mit der geklauter Passwort-Datei verglichen. Schutz dagegen liegt in cleverer Programmierung im zu schützenden System und bei Passworte die mindestens 8 Zeichen haben.

 
 
Zurück nach oben

 

Ultimative Passwort-Tricks

Hier ist meine Präsentation ultimative Passwort-Regeln (PDF, 70 KB) stellt in 4 Schritten die Generierung von sehr starken, aber merkbaren Passworten dar. Sie basiert weitgehend auf der oben zitierten Analyse von Passwort-Crackern durch Bruce Schneier und kann auch gern für firmen-interne Schulungen genutzt werden.

 
 
Zurück nach oben

 

Provokante Thesen

Es gibt zum Thema Passworte eigentlich in jedem Artikel die gleichen Passwort-Regeln:

  • Starke Passworte nutzen
  • Häufiges Ändern dieser Passworte
  • Unterschiedliche Passworte für unterschiedliche Zwecke
  • Niemals aufschreiben

Diese Regeln finden wir zwar überall, auch in allen Standards, aber wie sinnvoll sind sie wirklich und wieviel Schutz bieten sie wirklich?

Natürlich gibt es keinen Zweifel, dass starke Passworte besser sind als starke Passworte. Andererseits habe ich deutliche Problem, wenn ich alle 4 Regeln gleichzeitig einhalten will. Wenn ich komplexe Passworte nutze, sie monatlich ändern muss und mir nicht aufschreiben darf, dann ist eigentlich sichergestellt, dass ich von meinen 25 häufigst genutzten Passworten nach einem Urlaub mindestens 20 vergessen habe.

Ein Unternehmen kann versuchen dieses Problem durch eine Single-Signon-Lösung (SSO) zu entschärfen, aber viele meiner Passworte hängen nicht mit meinem Arbeitgeber zusammen, sondern betreffen verschiedene Websites wie z.B. Internet-Banking, Webmail-Zugänge, Zeitschriften-Abos, etc. für die mir ein Firmen-SSO überhaupt nicht hilft.

Hier eine Aufzählung der häufigsten "Failure Modes" von Passworten:

  • Phishing (der Benutzer gibt es auf einer falschen Website ein)
  • Keylogging (der PC des Benutzer ist infiziert)
  • Brute-force Angriff auf den Benutzer-Account
  • Brute-force Angriff, aber quer über alle Benutzer-Accounts

 

Provokation Nummer 1: Die Konzentration auf starke Passworte ist kontraproduktiv

Do Strong Web Passwords Accomplish Anything?

Die Liste der Failure Modes weiter oben zeigt auf Platz 1 und 2 Angriffe, bei denen ein starkes Passwort genau überhaupt nichts hilft. Starke Passworte helfen beim Angriff Nummer 3, das stimmt. Andererseits kann ich den in vielen Fällen viel leichter vereiteln, z.B. in dem nach einer bestimmten Zahl von Fehlversuchen der Account gesperrt ist (oder besser, der nächste Login-Versuch erst nach einer langen Verzögerung möglich ist). Wenn nach 3 oder 6 Versuchen der Account gesperrt ist, so ist selbst eine 4 stellige PIN-Nummer ziemlich sicher, immerhin wird sie für Bankomaten für ausreichend gehalten. D.h. die Anforderungen an die Passwort-Qualität (und damit den Stress für den Anwender) kann deutlich reduziert werden, wenn eine vernünftige Lösung für Brute-Force Angriffe implementiert wird.

Bleibt noch der Brute-Force Angriff über alle Benutzer-Accounts. Dabei versucht der Angreifer immer das gleiche Passwort (z.B. "passwort") gegen alle Benutzer-Accounts. Bei jedem Account wird nur 1 Versuch gemacht, d.h. die Account-Sperre spricht nicht an. Dieser Angriffe war früher gegen eBay sehr beliebt, weil eBay die vollständigen Benutzernamen an vielen Fällen auf ihrer Website angezeigt hatte. Nach 100 oder allerspätestens 1000 Versuchen war immer ein Account gefunden, bei dem das Passwort "passwort" ist (siehe obige Liste der beliebtesten Passworte).

Die Antwort dagegen: Erstens, die Benutzer-Accounts nicht veröffentlichen. Zweitens dafür sorgen, dass die Benutzer-Accounts öffentlich bekannt sind (z.B. weil die Email-Adressen genutzt werden). Und drittens, dafür sorgen, dass die Account-Namen lang genug (und dadurch nicht "dicht") sind. Es ist nämlich in diesem Fall die Summe aus Passwort-Länge und Account-Namen-Länge (bzw. deren Komplexität), die die Sicherheit ausmacht und nicht das Passwort allein. Ein kurzes Passwort und ein langer Account-Name sind einfacher zu merken (der Benutzer darf sich den nämlich wirklich aufschreiben oder abspeichern) und die Sicherheit ist die gleiche.

Wenn eine Bank 10 Millionen Kunden hat und 8-stellige Verfügernummern, dann kommt der Angreifer bei jedem 10. Versuch auf eine gültige Verfügernummer. Wenn diese aber 9-stellig ist, so braucht er ca. 100 Versuche, um 1 Account richtig geraten zu haben (außer, die Nummern werden aufsteigend vergeben).

 

Provokation Nummer 2: Monatliche Passwort-Änderungen sind kontraproduktiv

Passwort Expiration (Password aging) - ist das (noch) notwendig?

Extrem lästig ist es auf jeden Fall wenn das toll ausgedachte Passwort nach spätestens 90 Tagen (sehr oft aber 30 Tagen) wieder vergessen werden und ein neues gemerkt werden muss. In dem Artikel wird sehr schön diskutiert, dass ein Passwort viele "failure modes" hat und das Cracken durch einen Passwort-Cracker nur eines von vielen ist, und vermutlich nicht mal das häufigste Problem. Wenn es gecrackt werden kann (z.B. weil der Laptop gestohlen wurde), dann normalerweise in weniger als 1 Tag. Warum also 30 Tage oder gar 90 Tage? Die erzwungene Passwort-Änderung bei jedem der betroffenen Accounts jeden Monat bringt bei mir immer einen erheblichen Zorn mit sich, denn oft werden meine cleveren Passwort-Entwürfe ohne gute Erklärung zurückgewiesen. Und natürlich muss ich mir aufschreiben, wie die vielen neuen Passwort alle heißen.

Wenn auch ein 8-stelliges Passwort in viel weniger als 30 Tagen geknackt ist, warum also nicht alle 60 Sekunden ein neues Passwort? Ja, so etwas gibt es nämlich und wird sogar sehr häufig eingesetzt, genannt One-Time-Passwort (OTP). Oft als kleines Gerät (Token), das alle 60 Sekunden eine neue 6-stellige Zahlenfolge präsentiert. Oder über SMS, die sog. Mobile TAN. Und das bedeutet, dass ich mehr Sicherheit habe und mir weniger merken muss.

Und hier eine Replik auf den Artikel. Hier eine Diskussion auf der SANS Website dazu: Password rules: Change them every 25 years.

 

Provokation Nummer 3: Das größte Problem sind die "Secret Questions"

Ein Angriff auf Twitter zeigt den vermutlich gefährlichsten Failure-Modus von Passworten: Die automatische Rücksetzung über sog. "Secret Questions". Der Artikel (siehe Link) gibt viele Hintergründe und weitere Links zu diesem Thema.

 

Hier ein Artikel, der gleich 10 Passwort-Regeln postuliert. Die meisten der Regeln finden sich in Firmen-Policies und gut gemeinten Ratschlägen wieder, keine ist wirklich falsch, alle sind in dieser strengen Form nicht einzuhalten.

Bruce Schneier schreibt dazu, dass er selbst 7 der 10 Regeln verletzt. Ich selbst verletze (hier und dort, natürlich nicht systematisch) immerhin 9 der 10 Regeln. Eine der Regeln ist für die meisten Menschen unmöglich einzuhalten: Don't enter passwords in computers you don't control. Wie soll ich denn in der Firma arbeiten, ohne mein Passwort eingeben zu können, solche Forderungen sind traumtänzerisch.

Was meines Erachtens im 1. Artikel (mit den 10 Regeln) vollkommen fehlt ist eine Risikobetrachtung (die die meisten von uns intuitiv tun). Es gibt low-risk Web-Accounts (z.B. für einen Routenplaner oder ähnliches) bei dem ein einheitliches simples Passwort keinen Schaden anrichten kann. Dann gibt es medium-risk Websites, dazu gehören für mich die Email-Accounts. Die high-risk Websites sind für mich dann alle mit Finanzen, z.B. Internetbanking. Für letztere brauche ich natürlich unterschiedliche starke Passworte. Ob ich die gleiche Stärke auch für Email-Accounts brauche, hängt auch davon ab, welche vertraulichen Daten dort zu finden sind. Vertrauliche Daten gehören für mich grundsätzlich nichts ins Internet, auch nicht in der Form von Cloud-Computing wie Google Apps. Dort sind nämlich Passworte der einzige Schutzmechanismus und das ist, wie hier deutlich gezeigt, ein extrem schwacher Schutz.

Don Norman, ein sehr renomierter Experte zu Fragen der Usability, schreibt auch zum Thema Passwort-Regeln When Security Gets in the Way (2. Teil des Artikels, ab der Tabelle). Er bringt Beispiele wie Sicherheitsdesign die Benutzbarkeit bisher weitgehend ignoriert.

Es entwickelt sich in 2009 eine wachsende Schule die sagt, dass in manchen Aspekten die Benutzer die Vernünftigen sind und die Sicherheitsabteilungen unsinnige Forderungen aufstellen. Hier ein guter Artikel dazu: So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users. Cormac Herley legt am Beispiel von Passwort-Regeln dar, dass die Nicht-Einhaltung einiger dieser Regeln (wie ich auf meiner Seite zu Passworten auch aufzeige) sehr oft viel Mühe spart und das Risiko nicht wirklich erhöht (z.B. die Forderung, Passworte alle 4 Wochen zu ändern - warum eigentlich 4 Wochen?).

 
 
Zurück nach oben

 

Weiterführende Links

Literatur: Ross Anderson, Security Engineering - The Book, Chapter 2: Usability and Psychology, Kapitel 2.4 Passworte (weitgehend als pdf verfügbar)

Und hier gibt es interessante Studien und Artikel

Noch mehr Passwortlisten (und zwar Beispiele von schlechten Passworten). Das sind Default Passworte für Router, Switches und ähnliche Geräte. Und noch mehr Passworte.

 


Autor: Philipp Schaumann, http://sicherheitskultur.at/

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.