[ziesell]

Zitat:

Forscher machen den Test: 59 Prozent aller Passwörter in unter 60 Minuten knackbar

Forscher haben per Brute-Force-Methode mit einer Nvidia Geforce RTX 4090 Millionen von Passwörtern aus dem Darknet geknackt.



Sicherheitsforscher von Kaspersky haben untersucht, wie schnell sich gängige Passwörter mit einer modernen GPU vom Typ Nvidia Geforce RTX 4090 knacken lassen. Durchgeführt wurde die Untersuchung anhand einer Datenbank mit 193 Millionen echten Nutzerpasswörtern, die die Forscher aus dem Darknet bezogen. Sämtliche Passwörter lagen dabei in Form von gesalzenen MD5-Hashes vor.

Zwar gilt der MD5-Algorithmus schon seit Jahren als unsicher, jedoch ist für Anwender in der Regel nicht ersichtlich, ob ein Onlinedienst in Sachen IT-Security alles richtig macht und auf sicherere Hashing-Algorithmen wie etwa bcrypt setzt. Insofern sind die praktischen Auswirkungen der von Kaspersky durchgeführten Tests nicht zu unterschätzen.

Die Forscher versuchten, anhand der Hashes die zugehörigen Klartextpasswörter per Brute-Force-Methode zu ermitteln. Zunächst kam nur klassisches Brute Forcing zum Einsatz, später wendeten die Forscher auch fortgeschrittene Algorithmen an, um etwa häufig vorkommende Wörter, Ziffernfolgen oder andere Zeichenkombinationen zu berücksichtigen und so den Rechenaufwand zu verringern.

Der Einsatz von Wörtern verschärft das Problem

Mit der Nvidia-GPU war es den Kaspersky-Forschern möglich, 164 Milliarden MD5-Hashes pro Sekunde zu generieren. Damit konnten sie 45 Prozent aller Passwörter aus der untersuchten Stichprobe innerhalb einer Minute knacken, 59 Prozent innerhalb einer Stunde und 73 Prozent innerhalb eines Monats. Nur bei 23 Prozent der Passwörter dauert es nach Angaben der Forscher länger als ein Jahr, bis sie geknackt sind.

Mit einem Anteil von 57 Prozent enthielten die meisten untersuchten Passwörter eine häufig vorkommende Zeichenfolge, etwa leicht zu merkende Ziffernfolgen, Namen oder andere beliebte Wörter. Diese ließen sich durch optimierte Algorithmen tendenziell schneller knacken. Bei 67 Prozent davon war dies innerhalb von einer Stunde möglich.

Acht Zeichen sind zu wenig

Gewiss spielt die Passwortlänge eine entscheidende Rolle hinsichtlich der Zeit, die ein erfolgreicher Brute-Force-Angriff benötigt. Selbst mit klassischem Brute Forcing ließ sich laut Kaspersky jedes Passwort aus der Stichprobe, das maximal acht Zeichen lang war, innerhalb eines Tages knacken. Anhand smarter Algorithmen, die beispielsweise Wörterbucheinträge berücksichtigen, sei dies aber auch bei längeren Passwörtern möglich.

Ob nur ein einzelnes Passwort geknackt werden soll oder eine ganze Datenbank von Passwörtern, macht allerdings zeitlich keinen großen Unterschied. "Während des Angriffs prüft der Hacker die Datenbank auf den in der aktuellen Iteration erhaltenen Hash. Ist der Hash in der Datenbank vorhanden, wird das Kennwort als geknackt markiert und der Algorithmus fährt mit der Arbeit an den anderen Kennwörtern fort", erklärten die Forscher.

Passwortmanager helfen

Kaspersky empfiehlt Anwendern, Passwörter mit möglichst großer Zufälligkeit zu verwenden und dabei alle vier Symbolklassen (Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen) zu berücksichtigen. Entsprechende Passwörter lassen sich beispielsweise mit gängigen Passwortmanagern generieren – und auch direkt speichern. Bei der Wahl des Passwortmanagers ist allerdings Vorsicht geboten.

Darüber hinaus sollte jedes Passwort nur für einen einzigen Dienst genutzt werden, so dass auch mögliche Schäden im Falle einer Kompromittierung auf diesen Dienst beschränkt bleiben. Zusätzlich empfiehlt es sich, Nutzerkonten überall dort, wo möglich, mit einer Zwei-Faktor-Authentifizierung zusätzlich abzusichern.

Als Alternative zum klassischen Passwort bietet sich außerdem der Einsatz von Passkeys an, wobei auch diese nicht frei von Kritik sind.

https://glm.io/186329
https://securelist.com/passworde-bru...e-time/112984/