Eine neue Studie von Messente kommt zum Schluss, dass sich 85,6 % aller gängigen Passwörter in weniger als zehn 10 Sekunden per KI knacken lassen. Aber es gibt einige Strategien dagegen, mit denen man seine Kennwörter auch in Zeiten von AI absichern kann.
In einer Mitteilung, die mir zugegangen ist, schreibt Messente, dass man 14,2 Millionen echte Passwörter mit Tools wie PassGAN und GPU-basierten Simulationen analysiert habe. Dabei wurde getestet, wie schnell KI diese Kennwörter knacken kann und was Nutzer tun können, um sich zu schützen. Hier die Kern-Erkenntnisse der Studie:
- 85,6 % der Passwörter werden in weniger als 10 Sekunden geknackt, 88 % in weniger als einem Monat.
- Kurze Passwörter (≤ 8 Zeichen) werden unabhängig von ihrer Komplexität sofort geknackt.
- Passwörter mit mehr als 16 Zeichen und gemischten Zeichen benötigen Billionen von Jahren, um geknackt zu werden.
Länge schlägt Komplexität: Ein gemischtes Passwort mit 12 Zeichen hält 1.000 Jahre, ein Passwort mit 10 Zeichen, das nur aus Buchstaben besteht, wird in 3 Wochen geknackt. Laut dem Report How Quick can AI Crack Your Passwords benötigen KI-gestützte Tools wie PassGAN (Password Generative Adversarial Network) eine einfachen Brute-Force-Angriffe mehr. Stattdessen lernen sie aus echten geleakten Passwortdatenbanken – wie dem riesigen RockYou-Datensatz – und erkennen, wie Menschen tatsächlich Passwörter erstellen.
Sie erkennen Gewohnheiten wie die Großschreibung des ersten Buchstabens, das Ersetzen von „o" durch „0" oder das Hinzufügen von „!" am Ende. Dadurch kann die KI wahrscheinlichere Passwörter vorhersagen und Millionen von zufälligen Vermutungen überspringen. In Kombination mit modernen GPUs, die Milliarden von Berechnungen pro Sekunde ausführen können, kann die KI schwache Passwörter fast sofort knacken.
Die Strategie gegen einen AI-gestützten Passwort-Hack besteht darin, keine gleichen Passwörter für mehrere Konten zu nutzen und lange, als Zeichen, Sonderzeichen und Ziffern bestehende Passwörter zu verwenden. Auch wird die Verwendung von Passwort-Managern empfohlen. Die beste Absicherung gegen einen Passwort-gestützten Passwort-Hack besteht in der Verwendung der Zwei-Faktor-Authentifizierung (2FA).
MVP: 2013 – 2016
Erstaunlich wieviele Passwörter immernoch so einfach sind. Über 85 Prozent finde ich ganz schön hoch, wenn man bedenkt, wie lange immer wieder gesagt wird, wie man es am besten macht. Beruhigend ist aber, das ich wohl nicht auf dem falschen Weg bin. Passwortmanager, für jeden Dienst seperate Passwörter aus Zahlen, Sonderzeichen und Klein- wie Großbuchstaben, die oft über 20 Zeichen lang sind… So mach ich das gefühlt schon seit 20 Jahren.
Aber Strategien gibts eben viele. Ein Grundpasswort mit zusätzlichen Zeichen o. Ä. – wichtig ist nur, das man eben mal darüber nachdenkt und nicht überall das gleiche Passwort nutzt. Dann ist schon viel gewonnen.
Vielen Leuten ist die Sicherheit egal.
Die wollen möglichst gar kein Passwort, weil das ja viel bequemer ist, als ein lästiges Passwort eintippen zu müssen.
Das sieht man häufiger z.B. daran, das Leute fragen, wie man denn bei Windows die passwortlose Anmeldung einrichtet.
Und Microsoft tut da auch nichts, sonst wäre diese Möglichkeit aus Windows schon lange entfernt worden und die Passwort-Policy standardmäßig aktiv (per Default verlangt die u.a. mindestens 14 Stellen beim Passwort).
Ich habe da grundsätzlich alles mit entsprechend langen und komplizierten Passwörtern passwortgeschützt und auch bei jedem Dienst ein anderes Passwort und i.d.R. sogar einen anderen Benutzernamen.
Und bei Sonderzeichen verwende ich auch unübliche Zeichen und nicht nur z.B. das ! oder %. Die Bruteforce-Angriffe versuchen i.d.R. nur die Sonderzeichen, die man direkt über eine englische Tastatur erreichen kann.
Aber schon so etwas wie ein € anstelle eines ! erhöht die Sicherheit, da das € meist bei Bruteforce-Angriffen nicht genutzt wird.
Auch landestypische Zeichen sind gut. Im Deutschen wären das die Umlaute und das ß. Oder Buchstaben mit Akzent wie im Französischen.
Erhöht die Sicherheit und hatte ich auch schon einmal im Einsatz.
Wenn Du aber dann im administrativen Bereich an virtuelle Tastaturen nur mit englischem Layout kommst, dann hatte mich das schon mehrere Stunden gekostet, wieder ins System zu kommen.
Genauso hatte ich einmal in einer Anwendung den Fall der Fehlspeicherung von Passwörtern. Wenn Du einmal ausserhalb der "normalen" Tasten ein PW vergeben hattest, dann wurde dieses falsch verschlüsselt gespeichert und du bist nie wieder ins Programm gekommen.
Daher empfehle ich den Usern aktuell leider immer noch die Verwendung aus den Sonderzeichen von 1-?
Lieber dafür die Komplexität höherschrauben.
+
Anmeldung ohne Passwort:
diese Technik wird benötigt, für Maschinensteuerungen, Überwachungssysteme, div Geräte mit reduzierter Oberfläche, ohne Tastatur etc.
14 Zeichen sind nicht der Default, nach Neuinstallation eines AD/DC sind es immer noch 7 :-(. die 14 Zeichen kommen aus der Security Baseline
Passwort Regeln ändern ist in Firmen ein Großprojekt. leider
Sollte wenn Programmierer ihre Arbeit richtig machen kein Problem darstellen… KI kann das zwar knacken, aber auch nicht mit einem einzigen Versuch. Nach 3 fehlerhaften PW die Eingabe erstmal einige Zeit sperren, mit jeder falschen PW weitere Zeit… da kann dann auch ne KI nix machen!
Zusätzlich 2FA und gut ist!
@WLAN Hexe @R.S. weshalb sollte ich für nen einmal Besuch; unwichtige Foren etc. meine hochkomplexen PW verbrennen? (Denn das tut man siehe nächster Absatz) Da tut es auch 123456! Wenn dahinter keine wichtige Daten liegen.
Fakt ist auch: ich habe seit über 40 Jaren mit Computern zu tun, dabei ist mir noch nie ein PW oder Daten abhanden gekommen (Also bei mir) Betroffen bin ich trotzdem ein paar mal! Wieso? Weil Drecksfirmen ihre Systeme nicht im Griff hatten und sich die Daten stehlen haben lassen (teilweise sogar im Klartext abgelegt!) #hust Sony; #hust Adobe; #hust VISA; #hust LastFM
Kenne aber einige Freunde die glaubten mit PW Manager sicher zu sein, weil die ja komplex unknackbare PW generieren… tja nur halt dumm genug waren sich phishen zu lassen… MasterPW weg alle Accounts weg.
Ich bevorzuge folgenden Weg: ich habe genau 1 komplexes PW (welches ich mir merken muss) und trotzdem für jeden Dienst einzelne PW, da ich an mein komplexes PW den Dienstnamen anhänge und daran noch den Dienstnamen verschlüsselt.
Sicher PW für jeden Dienst mit nur zwei Merkmalen die ich mir merken muss: das komplexe PW + die Verschlüsselung… ist so auch nirgends auf einem Endgerät abgespeichert, so das auch keine Malware; Trojaner dies abgreifen kann! Zusätzlich überall wo möglich 2FA (wenn möglich mit nem HW Key Titan Yubi).
Wenn nach wenigen Fehleingaben des Passworts der Account für einige Minuten gesperrt wird, dann ist nix mit 10 Sekunden zum Knacken…das muss allerdings eingerichtet sein (was es zumindest bei Firmen meistens ist).
Desweiteren sind komplexe und vor allem lange Passwörter immer gut und wie im Bericht erwähnt, auch nur in fast unendlicher Zeit zu knacken. Zusätzlich noch ein Passwortmanager für viele verschiedene Passwörter ist auch extrem hilfreich. Die Krönung ist dann die 2FA, aber die gibt's halt nicht überall und ist wegen des zusätzlichen Aufwands unbeliebt.
Wenn allerdings das System, auf dem der Passwortmanager läuft gehakt wird, tja….100%ige Sicherheit gibt es eben nicht.
Solche Angriffe gehen immer von vorliegenden (gestohlenen) Passworthashes aus, die werden dann per Bruteforce gehackt, da gibts dann keine Verzögerungen zwischen Fehlversuchen.
Dann ist es doch gut, dass ich das ! immer an den Anfang mache ;-)
Was meint ihr, ist das ein gutes Passwort?
Abends-Weihnachten-Zentralbank-Spektrum
https://gute-passwoerter.de/#
Dass die Nullen statt O und das ! am Ende nicht viel bringt, sollte eigentlich klar sein.
Meiner Erfahrung nach ist
Name-des-KindesGeburtsjahr!
ein gänginger Standard.