AngriffssimulationJan Kahmen9 min Lesezeit

Was kostet es Ihr Passwort zu cracken?

Es ist wichtig zu wissen, welcher monetäre Aufwand betrieben werden muss, um ein Passwort zu cracken und wie dieses einfach und sicher gewählt werden sollte.

Inhaltsverzeichnis

Passwortsicherheit ist ein viel diskutiertes Thema, da oft aus Bequemlichkeit heraus schwache Passwörter gewählt werden. In diesem Beitrag wollen wir zeigen, welchen finanziellen Mitteln Ihr Passwort standhalten sollte, wenn ein Angreifer dieses durch Ausprobieren aller Möglichkeiten (sog. Brute-Force-Angriff) herauszufinden versucht.

Die folgende Tabelle zeigt, welcher monetäre Aufwand geleistet werden muss, um die gegebene Passwortkomplexität mit einer Offline-Brute-Force-Attacke durch simples Ausprobieren zu brechen. Sehr sichere Passwörter sind mit allem Geld der Welt nicht zu cracken.

#NumbersLowercaseMixed CaseMixed Case + NumbersMixed Case + Numbers + Special
10 $0 $0 $0 $0 $
20 $0 $0 $0 $0 $
30 $0 $0 $0 $0 $
40 $0 $0 $0 $0 $
50 $0 $0 $0 $0 $
60 $0 $0 $0 $0 $
70 $0 $0 $2 $10 $
80 $0 $6 $155 $965 $
90 $1 $315 $12.118 $94.536 $
100 $16 $16.391 $945.165 $9,3 Mio$
110 $416 $852.312 $73,7 Mio$907,9 Mio$
120 $10.820 $44,3 Mio$6 Mrd$89 Mrd$
131 $281.330 $2 Mrd$449 Mrd$8,7 B$
1411 $7,3 Mio$120 Mrd$34 B$854 B$
15113 $190,2 Mio$6,2 B$--
161.134 $5 Mrd$324 B$--
1711.339 $129 Mrd$---
18113.387 $3,3 B$---
191.1 Mio$86 B$---
2011,3 Mio$----

Die gewählte Darstellung enthält nicht die benötigte Zeit, da diese durch Parallelisierung die Aussagekraft verlieren kann, sondern die zu erwartenden Kosten, sollte ein Angreifer Ihr Passwort mithilfe der Cloud-Plattform von Amazon cracken. Die zugrundeliegende Gleichung wurde auf Basis des Preises einer Amazon EC2 Instanz (p3.16xlarge - 8xNVIDIA Tesla V100 GPUs) und der Nutzung des SHA256-Hashalgorithmus erstellt. Nicht berücksichtigt sind Mengenrabatte, Selbstbetrieb der Hardware, sowie das Mooresche Gesetz und eine Inflation bzw. Deflation durch Zentralbanken.

Ein sicheres Passwort, das sich gut merken lässt

Eine wichtige, jedoch größtenteils unbekannte Grundregel: Länge vor Komplexität. In der Theorie gilt, dass die Länge des Passworts wichtiger ist als dessen Komplexität, jedoch sollten einfache Wortwiederholungen oder Zeichenfolgen, wie z.B. "qwertzuiopü123" nicht verwendet werden, da diese mit speziellen Listen in einem Wörterbuchangriff einfacher gecrackt werden können.

Wir empfehlen ein Passwort, dass aus mindestens 5 Wörtern besteht und dessen Anfangsbuchstabe großgeschrieben ist. Die Länge der einzelnen Wörter sollte mindestens 4 Zeichen betragen. Sonderzeichen und Zahlen werden nicht benötigt, da der zugrunde liegende Schlüsselraum schon groß genug ist.

Bei 5 Wörtern mit einer Mindestlänge von 4 Zeichen beträgt der minimale Schlüsselraum 2.08E+34, also eine Zahl mit 34 Nullen, sodass auch der reichste Mann der Welt keine Möglichkeiten mehr hätte, durch Ausprobieren an Ihr Passwort zu gelangen. Vorausgesetzt Sie nutzen ein langes Passwort, werden Sonderzeichen und Zahlen für ein sicheres Passwort nicht benötigt!

Mehrfachnutzung vermeiden

Auch die Mehrfachnutzung von Passwörtern ist oft problematisch, da mit dem Abgreifen des Passwortes eines Dienstes auch andere Dienste infiltriert werden können. So sollte für jeden Dienst ein individuelles Passwort gewählt werden, sodass bei einem Verlust der Daten eines Dienstes, die restlichen Zugangsdaten trotzdem sicher bleiben. Die Kontrolle der Sicherheit und die korrekte Verschlüsselung obliegt immer dem jeweiligen Dienst, dessen Sicherheitsniveau vom Nutzer nicht direkt beeinflusst werden kann. So nutzen etwa einige Plattformen unsichere Hashfunktionen oder speichern Passwörter gar im Klartext. Aus diesem Grund sollte für jeden Dienst ein neues Passwort gewählt werden, um sich vor Datenleaks und dem anschließendem Missbrauch von Dritten zu schützen. Es kommt immer wieder vor, dass Datenbanken von großen Plattformen geleakt und veröffentlicht werden, somit ist die Bedrohung real.

Pass­wort-Manager benutzen

Für jeden Dienst ein neues Passwort zu wählen ist nicht einfach, da Menschen vergesslich sind und die Anzahl der genutzten Dienste stetig steigt. Diese Problematik kann mit der Nutzung von einem Pass­wort-Manager gelöst werden, da sich nur ein sicheres Master-Passwort gemerkt werden muss, mit dem dann zufällig gewählte Passworte für jeden Dienst erstellt und gespeichert werden. Diese Programme funktionieren plattformübergreifend, sodass auch mobile Geräte oder Tablets den Pass­wort-Manager benutzen können. Ein Vergleich von Passwortmanagern von golem.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist ein zusätzliches Authentifizierungsverfahren zum Passwort. Hierbei wird ein zusätzliches "Geheimnis" auf einem gesondertem Gerät wie z.B. einem mobilen Endgerät generiert. Sollte ein Angreifer das Passwort cracken und somit umgehen können, kann er trotzdem keinen Zugang auf dem jeweiligen Dienst erlangen, da er das "Geheimnis" auf dem externen Gerät nicht besitzt.Ein umfangreicher Artikel von uns über 2FA.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen: