Blog-Leser Tobias Schrödel hat eine Buchstaben-Häufigkeitsanalyse für Passwörter erstellt. Anders als in deutschen oder englischen Texten sind die Buchstaben X, Y und Z in Passwörtern nicht ungewöhnlich.

English version (translated with DeepL)

Dass Passwörter zu Sicherheitslücken führen, wusste man bereits in den Achtziger-Jahren. Schon die als KGB-Hacker bekanntgewordene Gruppe um Karl Koch und Markus Hess, die 1989 zerschlagen wurde, drang in viele Systeme mit einem einfachen Trick ein: Sie probierte, ob das vom Hersteller voreingestellte Standard-Passwort noch funktionierte. Oft genug war dies der Fall.

 

Passwort-Schwächen

Auch wenn ein Passwort aufgeschrieben wird, kann dies eine Einladung für Hacker sein. Für den Klassiker in dieser Sparte sorgte 1978 der US-Amerikaner Stanley Rifkin, als er mit einem abgelesenen Passwort 10,2 Millionen US-Dollar auf sein Konto lenkte.

Quelle/Source: Schmeh

Ein weiterer Trick ist Phishing. Hierbei wird dem Anwender vorgegaukelt, er müsse eine bestimmte Webseite aufsuchen (beispielsweise die seiner Bank) und dort sein Passwort eingeben. Die Webseite ist allerdings nicht echt und hat nur den Zweck, das Passwort abzugreifen.

Doch es geht auch noch einfacher. Manche Menschen verraten ihr Passwort, wenn man sie nett danach fragt. Der US-Comedian Jimmy Kimmel hat es ausprobiert:

Wie ich auf Cipherbrain schon mehrfach berichtet habe, kann es ein Hacker außerdem mit besonders beliebten Passwörtern versuchen. Seit Jahren steht in verschiedenen Analysen immer wieder “123456” ganz oben. Auch “12345”, “qwertz”, “hallo” oder “passwort” werden gerne genommen. Darüber hinaus kann man es mit dem Vor- oder Nachnamen eines Nutzers probieren, in manchen Fällen auch rückwärts geschrieben.

Quelle/Source: Splashdata

 

Brute Force

Zum Glück verwenden viele Menschen Passwörter, die nicht in einem Wörterbuch stehen und die sich nicht direkt aus der Anordnung der Buchstaben auf der Tastatur ergeben. Allerdings ist ein Hacker auch gegen solche Konstruktionen nicht völlig machtlos. Die gängigen Passwort-Rateprogramme unterstützen für diesen Zweck eine so genannte Brute-Force-Funktion. Dies bedeutet: Sie probieren alle möglichen Passwörter einer bestimmten Länge aus.

Die Brute-Force-Methode ist allerdings nicht besonders effektiv. Wenn man von 70 Zeichen ausgeht (Großbuchstaben, Kleinbuchstaben, Ziffern und ein paar Sonderzeichen), gibt es für fünfstellige Passwörter schon fast 2 Milliarden Möglichkeiten. Dies kann ein Computer zwar noch bewältigen, doch bei acht Stellen landet man bereits bei 500 Billiarden, was kaum noch realistisch ist.

Diese Zahlen sind jedoch Theorie. In der Praxis verwenden die meisten Menschen beispielsweise mehr Buchstaben als Zahlen und Sonderzeichen – “kshd24!” ist daher wahrscheinlicher als “§!&3§f”. Dies schränkt den Suchraum schon deutlich ein.

 

Tobias Schrödels Analyse

Tobias Schrödel, Lesern dieses Blogs unter anderem als Comedy-Hacker und Sammler verschlüsselter Postkarten bekannt, hat vor Kurzem eine Studie zur Zeichenhäufigkeit in Passwörtern veröffentlicht. Wie man es in der Kryptografie kennt, hat er entsprechende Häufigkeitsanalysen erstellt. Die Ergebnisse findet man auf seiner Web-Seite. Auch Heise hat darüber berichtet.

Quelle/Source: Schrödel

Tobias hat über 2,5 Milliarden Passwörter ausgewertet. Seine Quelle war die bigDB. Diese enthält mehrere Milliarden E-Mail-Adressen und zugehörige Passwörter, die über Jahre hinweg bei verschiedenen Sicherheitsvorfällen bekannt wurden.

Seine Ergebnisse hat Tobias nach Ländern (Top-Level-Domain) aufgeschlüsselt und in einigen Fällen mit der Buchstabenverteilung in Texten der dort gesprochenen Sprache verglichen. Mit den Resultaten lassen sich Brute-Force-Angriffe auf Passwörter deutlich beschleunigen. Hier sind ein paar Erkenntnisse aus Tobias’ Analyse:

  • Der häufigste Buchstabe im Englischen und Deutschen ist das E, in Passwörtern ist es hingegen das A.
  • Die Buchstaben X und Y kommen in Passwörtern bis zu 50 Mal häufiger vor, als in Texten.
  • Asiaten verwenden zwei- bis dreimal mehr Ziffern in Passwörtern als der Rest der Welt.
  • Das T wird in Passwörtern viel seltener genutzt als zu erwarten wäre (bis zu 50 Prozent weniger).

Unklar ist in vielen Fällen, wie diese Phänomene zustande kommen. Weiß ein Leser vielleicht, warum Asiaten so viele Ziffern verwenden?

 

Passwörter sind nicht mehr zeitgemäß

Tobias’ Analyse zeigt wieder einmal: Passwörter sind im Internet nicht mehr zeitgemäß und sollten durch sicherere Methoden ersetzt werden. Möglichkeiten gibt es viele. Man kann beispielsweise zusätzlich zum Passwort ein Einmal-Passwort nutzen, das dem Nutzer per SMS zugeschickt wird. Noch besser ist es, mit einer Smartcard oder einem Token zu arbeiten.

Dumm nur: All diese Maßnahmen erfordern zusätzlichen Aufwand. Bei den zahreichen Sicherheitslücken, die Passwörter verursachen, wird man um die Alternativen allerdings nicht herumkommen.


Further reading: Serienmörder stirbt und nimmt Verschlüsselungspasswort ins Grab

Linkedin: https://www.linkedin.com/groups/13501820
Facebook: https://www.facebook.com/groups/763282653806483/

Subscribe to Blog via Email

Enter your email address to subscribe to this blog and receive notifications of new posts by email.

Kommentare (11)

  1. #1 BaHH
    27. März 2022

    Man kann sicherere Passwörter auch einfacher erzeugen:
    https://xkcd.com/936/

  2. #2 Joachim
    27. März 2022

    Passwörter sind nicht mehr zeitgemäß?

    Was ist denn die Alternative? Passworte bei MS speichern? Das hätten die gerne. Für mich kommt ein “Service” irgend eines Anbieters überhaupt nicht infrage. Auch kein Token in Hardware und ganz sicher keine SMS. “Two Factor” meint ich bin das Produkt. Es sichert vielleicht den Betreiber, doch nicht mich. Ich muss nicht deren Probleme lösen.

    Wie wäre es mit SSH oder vergleichbaren Methoden? Dann authentifiziert sich das gegenüber auch gleich bei mir. Und ich behalte die Kontrolle. Einzig, ich könnte das Passwort für meinen private key vergessen…

  3. #3 Gert Brantner
    Berlin
    27. März 2022

    ssh priv keys können auch gestohlen werden, wenn z.B. der speicherort kompromittiert wird. sogar fingerabdrücke und iris-scans sind ziemlich leicht angreifbar. im ersten fall reicht ein kurzer streifen tesa-film. ich finde authenticator einen ganz passablen ansatz, push-tan auch. aber das gerät muß sich eben beim besitzer befinden. die kombi push-tan und fingerabruck machen es ein wenig sicherer

  4. #4 Gert Brantner
    Berlin
    27. März 2022

    jedenfalls habe ich in einer firma, in der ich vor 2000 a.d. gearbeitet hatte mal die shadow db eines linux mailservers durch so ein brute force tool (namen vergessen, irgendwas-ripper) von damals gejagt, das ergebnis war niederschmetternd. binnen 20 minuten hatte ich alle ca. 50 passwörter. mein predigen half nicht, die haben mich nur müde belächelt. die woche darauf war es wieder so.

  5. #5 Joachim
    28. März 2022

    “ssh priv keys können auch gestohlen werden”.
    Natürlich. Deshalb zusätzlich das ssh private key password.

    “irgendwas-ripper” Jack? (Ernst, der heißt so)

  6. #6 Robert aus Wien
    28. März 2022

    Fingerabdrücke, etc. sind sogar besonders blöd, weil man die nicht wechseln kann.

  7. #7 Dwon
    28. März 2022

    Die vielen Ziffern in Asien könnte man mit den Schriftzeichen erklären. Vielleicht ist für viele die Tastatur zu ungewohnt. Weiß aber nicht wirklich wie sich das Schreiben per Tastatur zu normalem Schreiben in Asien unterscheidet.
    Ziffern werden häufig über das Numpad eingegeben. Daraus ergibt sich ein Muster, welches man sich einfacher merken kann. Evtl. ist das Hirn durch die Schriftzeichen besser auf das Merken von Mustern trainiert.

    Was ich bei solchen Passwortanalysen immer vermisse: Wie wichtig waren die Passwörter den Benutzern? Wenn mich eine Webseite zwingt einen Account anzulegen, dann verwende ich auch gerne mal “123456”. Zum Beispiel ist im Adobe-Leak massenhaft uninteressanter Accountmüll enthalten, weil die kostenlosen Tools häufig runtergeladen wurden, jedoch kein Schwein interesse am Account hat.
    Vielleicht ist das Problem gar nicht so groß und schlechte Passwörter sind eher ein Indikator für Accounts, die der Benutzer gar nicht erstellen wollte.

  8. #8 Klaus Schmeh
    28. März 2022

    >Vielleicht ist das Problem gar nicht so groß und
    >schlechte Passwörter sind eher ein Indikator für
    >Accounts, die der Benutzer gar nicht erstellen wollte.
    Das ist auf jeden Fall richtig. Weniger wichtige Passwörter sind oft leichter zu hacken als wichtige. Außerdem enthalten öffentlich zugängliche Passwort-Sammlungen meist auch ältere Passwörter. Das heißt andererseits allerdings nicht, dass nur unwichtige und alte Passwörter unsicher sind.

  9. #9 Keno
    29. März 2022

    “Seine Quelle war die bigDB. Diese enthält mehrere Milliarden E-Mail-Adressen und zugehörige Passwörter, die über Jahre hinweg bei verschiedenen Sicherheitsvorfällen bekannt wurden.”

    Ist das nicht ein Bias? Er analysiert damit doch die zu schwachen Passwörter.

  10. #10 user unknown
    https://demystifikation.wordpress.com/
    31. März 2022

    Ich frage mich, wie oft die Sicherheit vorgeschoben ist bei 2-Faktor-Authentifizierung, um an die Telefonnummer der User zu kommen.

  11. #11 Wandee Thaweetham
    Chanthaburi - Thailand
    13. April 2022

    Everybody who has followed NIST (National Institute of Standards and Technology) and the U-turns it has taken can not be surprised that passwords are not as safe as they should be. NIST standards are not only compulsory for US government agencies, but voluntary applied by most companies and governments around the globe. The close relationship between NIST and the NSA was somewhat entangled after Snowden’s revelation, however, there is no standard that NIST suggests which would prevent the US intelligence community to circumvent these standards.
    Until 2019 NIST suggested the length of the passwords and the inclusion of special characters (%\# etc) and the change of these passwords in intervals. In 2020 that changed and special characters were not a requirement anymore and the occasional change of passwords was removed too. A whole industry had been built around NIST recommendations, which now came crushing down. Instead, 2 factor authentication or the use of biometric data and Unicode characters would provide security for passwords. The truth is that complexity was added, but more complexity doesn’t necessarily mean more security.
    I had discussed the problem of passwords with Berry Shelton, who is an excellent patent lawyer but also a qualified software engineer with US patents in key encryption to his name, for several years. Berry for years was advocating to permit Unicode into passwords, like emojis ( – WAnDeE) that would make brute force attacks much more complicated. My name in the example here is in upper and lower characters and would not present a problem for an adversary applying a brute force attack. By adding an emoji we have increased the amount of computations one has to go through. Of course the emoji can sit at any position in the string and still the password will be easy to remember.
    There are more elegant ways of creating passwords, without a user giving up on easy to remember names or words. It would require a simple application dealing in hexadecimal code and a six character ASC word is turned into 12 hexadecimal characters. These 12 characters scrambled removes frequencies and make any dictionary with cracked passwords obsolete.