Hacker erklärt: Wie du dir endlich ein bombensicheres Passwort baust

Für unser neues Format erklärt ein Experte in fünf Minuten, welche Passwort-Mythen falsch sind – und wie es wirklich geht. Er muss es wissen, denn er hat schon CIA, FBI und die Hells Angels gehackt.

|
22 Juni 2017, 9:24am

Auch Schalke04 steht oben auf der Liste der in Deutschland besonders weit verbreiteten Passwörter – doch sicher ist es nicht. Collage: Motherboard.

Passwörter knacken ist für Matthias Ungethuem Routine. Der 28-jährige Hacker, der unter dem Pseudonym unnex bekannt wurde, greift seit vielen Jahren Computer und IT-Systeme an – und viel zu plumpe Passwörter sind dabei oft sein bester Freund. Die Liste seiner Hacking-Opfer liest sich wie die Nomenklatur digitaler Endgegner: Facebook, Paypal, Interpol, NSA und CIA, das FBI, die Bundeswehr – und die Hells Angels.

Doch nicht nur große Institutionen sind im Fadenkreuz von Hackern – gerade reguläre Nutzer sind mit dem Thema digitale Sicherheit heillos überfordert. Oft machen sie es Angreifern viel zu leicht, einfach ihre Facebook-Seite, E-Mail-Postfächer oder Online-Banking-Konten zu kapern: Wie dringend deutsche Nutzer Nachhilfe in Sachen Passwörter brauchen, wurde mehrfach belegt.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Die allermeisten Passwörter da draußen sind nichts anderes als höfliche Einladungen an Cyberkriminelle. Ein Beispiel: "hallo" ist weiterhin das meistgenutzte Passwort in Deutschland. Nächstes Beispiel: Das zweitliebste Passwort der Deutschen ist "passwort", dicht gefolgt von „hallo123" auf Rang drei. Ja, so ernst ist die Lage. Die Plätze 7 ("arschloch") und 10 ("ficken") zeugen zumindest von einem Funken Fantasie bei deutschen Usern. Nichtsdestotrotz bleibt die schmerzhafte Erkenntnis: Beim Thema Passwörter sind wir keine Dichter und Denker, eher dumpfe Dödel.

Höchste Zeit also, sich von einem Experten erklären zu lassen, wie man sich ein bombensicheres Passwort baut und welche Mythen über angeblich sichere Passwörter man am besten auf der Stelle vergisst.

Motherboard: Wie viele Passwörter hast du schon geknackt?

Matthias Ungethuem: Schwer zu sagen, auf jeden Fall eine ganze Menge. Entweder als Hacker oder im Rahmen meines Berufs: Ich bin Penetrationstester und prüfe für Firmen die Stabilität ihrer Netze.

Drei weit verbreitete Fehler beim Anlegen von Passwörtern – und warum sie gefährlich sind

Was sind die größten Mythen über angeblich sichere Passwörter, bei denen du dir regelmäßig an den Kopf fasst?

Im Moment sehe ich vor allem drei große Probleme. Da gibt es zunächst die Nutzer, die überzeugt davon sind, selbst kein lukratives Ziel für Angreifer zu sein und daher meinen, kein starkes Passwort zu brauchen. Ein völliger Irrglaube! Denn Angriffe richten sich meist gegen ganze Websites, nicht gegen einzelne Nutzer. Das heißt, die auf der Website liegenden Accounts und Passwörter werden vorzugsweise gleichwertig angegriffen und geknackt. Welcher der geknackten Accounts letztlich brauchbar ist, entscheidet der Angreifer erst, nachdem er sich in den Daten der Opfer umgeschaut hat.

Matthias Ungethuem. Bild: Mario Ast. Verwendet mit freundlicher Genehmigung

Zweitens kann das häufige Ändern des Passworts zu höherer Unsicherheit führen. Viele Firmen verlangen von ihren Mitarbeitern, Ihre Passwörter zum Intranet wöchentlich zu ändern. An sich keine schlechte Idee. Doch merken sich nur die wenigsten jede Woche ein neues Passwort. Und so kommt es zu der kuriosen Situation, dass ein Zettel mit dem aktuellen Passwort unter der Tastatur am Arbeitsplatz klemmt – oder völlig offen direkt am Desktop-Rand!

Und der Dritte?

Der wohl riskanteste Irrglaube ist, dass Passwörter einen Sinn ergeben müssen oder einem Muster folgen, um es sich leichter zu merken. Denn das ist, buchstäblich, der Knackpunkt eines jeden Passwortes: Sobald jemand das Passwort logisch oder inhaltlich nachvollziehen kann, ist es einfacher zu brechen. Denn ein Angreifer erwartet genau das von dir: dass du ein Muster verwendest, irgendeine logische Struktur. Damit machst du dich anfällig.

Aber wie soll der Angreifer gerade auf das Muster kommen, das ich verwende? Es gibt Millionen Muster, Redewendungen oder Wort-Zeichen-Kombinationen.

Die tatsächliche Vielfalt ist in der Praxis kleiner als du denkst. Viele User denken in ähnlichen Mustern. Die Angreifer wiederum nutzen sogenannte "dictionary lists": Wortlisten, die riesige Lexikon-Archive, Redewendungen, Namenslisten und Hybrid-Passwörter enthalten. Letzteres sind Passwörter, die sich aus sinnvollen und sinnlosen Teilen zusammensetzen. Beispielsweise MarkusX1, wobei Markus den sinnhaltigen und "X1" den sinnlosen Passwort-Teil darstellt. Viele Menschen benutzen Passwörter, die MarkusX1 strukturell ähneln – etwa hallo123, qwertz111 –, ein großes Risiko, denn die Wortlisten zielen auf genau diese Art von Passwörtern ab.

Wie Hacker Passwörter knacken – und was man davon lernen kann

Wie gehst du beim Passwort-Knacken vor?

Für das Knacken kannst du eine handelsübliche Grafikkarte verwenden, etwa die bei Gamern beliebte MSI Radeon RX 580 Gaming X 8G. Liegt preislich bei rund 300 Euro. Einer der beliebtesten Algorithmen zur Passwort-Verschlüsselung heißt SHA1. Die Grafikkarte schafft ungefähr 4,3 Milliarden SHA1-verschlüsselte Passwort-Möglichkeiten – pro Sekunde. Das obige Beispiel "MarkusX1" würde die Grafikkarte also in circa 14 Stunden knacken.

Screenshot: Matthias Ungethuem

Man muss jedoch auch unterscheiden zwischen Passwörtern, die man via Login-Versuch auf einer Webseite angreift und verschlüsselten Hashes. Beim Cracken von Hashes kannst du deine Hardware auch offline auf die Jagd schicken. Wenn du ein Facebook-Login knacken willst, bist du jedoch abhängig von der Schnelligkeit der Internetverbindung.

In drei Schritten zum unhackbaren Passwort

Okay. Wie erstelle ich jetzt ein bombensicheres Passwort?

Ein "bombensicheres" Passwort sollte 16 Zeichen lang sein, Sonderzeichen und Zahlen sowie Groß- und Kleinbuchstaben enthalten. Es sollte keinem Muster folgen und weder logisch noch inhaltlich einen Sinn ergeben. Ebenso sollte das Passwort niemals unverschlüsselt ins Internet übertragen werden, etwa bei Website-Logins ohne https. Zuletzt solltest du das Passwort nie notieren, sondern nur in deinem Kopf speichern.

Aber wie sicher ist das wirklich? Wenn eine 300-Euro-Hardware 4,3 Milliarden Angriffe pro Sekunde schafft, hält doch kaum ein Passwort lange Stand.

Wie sicher das eigene Passwort ist, kann jeder zuhause leicht nachrechnen: Du nimmst die Anzahl der möglichen Zeichen – den Zeichenraum – und potenzierst sie mit der Passwort-Länge. Ein Beispiel: "passwort" enthält nur die kleinen Buchstaben des Alphabets, die Anzahl möglicher Zeichen liegt also bei 26 (a bis z). Du nimmst 26 hoch 8 – "passwort" hat acht Stellen – und kommst auf 208 Milliarden mögliche Kombinationen. Nimmst du Großbuchstaben hinzu, wächst der Zeichenraum auf das Doppelte, also 52 Zeichen (a bis z, A bis Z). "PassWoRt" enthält also 52 hoch 8, das heißt 53 Billionen mögliche Kombinationen, die der Hacker durchrechnen müsste.

Die Zahl teilst du am Ende durch die Rechenleistung deiner Hardware. Mit meiner Grafikkarte, die 4,3 Milliarden Versuche pro Sekunde schafft, könnte ich "passwort" in 48 Sekunden knacken, "PassWoRt" in gut drei Stunden. Je höher die Anzahl möglicher Zeichen – durch Zahlen, Sonderzeichen – und je mehr Stellen dein Passwort hat, desto größer ist die Zahl, die bei der Potenz-Rechnung herauskommt – und desto länger dauert es, bis ein Angreifer dein Passwort geknackt hat.

Das heißt im Umkehrschluss: Unknackbare Passwörter gibt es nicht, nur Passwörter, die einem Angriff länger standhalten.

Korrekt.

Eine beliebte Faustregel lautet: Man denkt sich einen leicht zu merkenden Satz aus und formt aus den Anfangsbuchstaben jedes Wortes sowie den Zahlen ein Passwort. Beispielsweise der Satz "Am 1. Januar 20$$ übernehmen die Maschinen die Kontrolle auf der Erde" ergibt das Passwort A1.J$$üdMdK@E ("auf der" wird zu @). Was hältst du davon?

Nichts. Zum einen ergibt das Passwort einen Sinn, sowohl logisch als auch inhaltlich. Zum anderen bin ich nicht der Erste und sicherlich auch nicht der Letzte, der komplexe Passwortlisten nutzt, die derartige Passwörter versuchen im großen Stil abzudecken – nicht selten mit Erfolg.

Bild: Screenshot Facebook; Collage: Motherboard

Ein neuer Trend besagt, man müsse weniger in Passwörtern als in Passphrasen denken – also ganze Sätze, die aus zusammenhangslosen Wörtern bestehen. Etwa "hupe fax möhre jesus dope". Passphrasen sind deutlich länger als Passwörter, Hacker brauchen daher länger, um sie zu knacken. Was hältst du von der Methode?

Die ist noch schlechter als die davor. Passwortlisten, die derart einfache Phrasen abdecken, sind schnell erstellt – und noch schneller mit anderen Angreifern geteilt.

Vergiss alle Faustregeln für Passwörter

Da sich kein Mensch 15 komplizierte Passwörter merken kann: Was hältst du von Passwort-Managern?

Ich halte generell nichts vom Zentralisieren von Passwörtern. Wenn der Master-Schlüssel zu dem Passwort-Manager gehackt wird, hat der Angreifer gleich alle Passwörter erbeutet. Du kannst noch so erfinderisch bei deinen individuellen Passwörtern sein – alle in dem Passwort-Manager gespeicherten Passwörter sind dann nur noch so stark wie das Passwort des Passwort-Managers.

Kann ich mir mit der 2-Faktoren-Authentifizierung auch ein schwaches Passwort leisten?

Auf gar keinen Fall. Je nach Art des zweiten Faktors kann auch dieser parallel angegriffen werden. Auch SMS können mit dem entsprechenden Aufwand abgefangen werden.


Ebenfalls bei Motherboard: Wie ein Google-Treffer einen Waffenhändler lahm legte


Hast du keine Faustregel parat, um den Analogue Natives unter uns eine Merkhilfe zu geben? Nur die wenigstens können sich 15 kryptische Kennwörter merken.

Sich eine Faustregel auszudenken, ist schon mal der falsche Ansatz. Merke: kein Muster, nichts logisch Nachvollziehbares. In der Logik kann der Mensch nicht mit einer Maschine mithalten. Da hilft nur Auswendiglernen. Den Tipp, den ich geben kann: Nutze die gesamte Palette deiner Tastatur. Nimm also nicht nur Zeichen auf der linken Seite und der rechten, sondern auch auf der Mitte der Tastatur. Noch besser ist es, wenn du Zeichen verwendest, die nicht in jeder Sprache vorkommen, etwa Umlaute oder hebräische Zeichen. Solche Zeichen sind oft das Letzte, was ein Hacker bei seinen Angriffen nutzt.

Ich gebe dir mal ein Beispiel, das allen deinen Anforderungen an ein bombensicheres Passwort genügt: ß@h/902'+a!(DkÄ. Wie lange würde es dauern, das zu knacken?

Ein solches Passwort hätte rund 37 Quintillionen mögliche Kombinationen, also eine Zahl mit 32 Stellen. Mit einer 300-Euro-Hardware bräuchte ein Hacker 273 Billionen Jahre, um ein solches Passwort zu knacken. Das wäre dann wirklich ein bombensicheres Passwort.

Ok, danke Matthias. Damit ist klar, was zu tun ist: Erstens sollte das Passwort 16 Zeichen haben, zweitens die ganze Bandbreite an Sonderzeichen nutzen und Groß- und Kleinschreibung verwenden. Und die dritte Regel: Das Passwort darf keiner Logik folgen.
Last but not least: Selbst das sicherste Passwort bringt nichts, wenn man es unsicher durchs Netz schickt oder an einem ungesicherten Ort aufschreibt oder speichert.