Eine neue Studie von Messente kommt zum Schluss, dass sich 85,6 % aller gängigen Passwörter in weniger als zehn 10 Sekunden per KI knacken lassen. Aber es gibt einige Strategien dagegen, mit denen man seine Kennwörter auch in Zeiten von AI absichern kann.
In einer Mitteilung, die mir zugegangen ist, schreibt Messente, dass man 14,2 Millionen echte Passwörter mit Tools wie PassGAN und GPU-basierten Simulationen analysiert habe. Dabei wurde getestet, wie schnell KI diese Kennwörter knacken kann und was Nutzer tun können, um sich zu schützen. Hier die Kern-Erkenntnisse der Studie:
- 85,6 % der Passwörter werden in weniger als 10 Sekunden geknackt, 88 % in weniger als einem Monat.
- Kurze Passwörter (≤ 8 Zeichen) werden unabhängig von ihrer Komplexität sofort geknackt.
- Passwörter mit mehr als 16 Zeichen und gemischten Zeichen benötigen Billionen von Jahren, um geknackt zu werden.
Länge schlägt Komplexität: Ein gemischtes Passwort mit 12 Zeichen hält 1.000 Jahre, ein Passwort mit 10 Zeichen, das nur aus Buchstaben besteht, wird in 3 Wochen geknackt. Laut dem Report How Quick can AI Crack Your Passwords benötigen KI-gestützte Tools wie PassGAN (Password Generative Adversarial Network) eine einfachen Brute-Force-Angriffe mehr. Stattdessen lernen sie aus echten geleakten Passwortdatenbanken – wie dem riesigen RockYou-Datensatz – und erkennen, wie Menschen tatsächlich Passwörter erstellen.
Sie erkennen Gewohnheiten wie die Großschreibung des ersten Buchstabens, das Ersetzen von „o" durch „0" oder das Hinzufügen von „!" am Ende. Dadurch kann die KI wahrscheinlichere Passwörter vorhersagen und Millionen von zufälligen Vermutungen überspringen. In Kombination mit modernen GPUs, die Milliarden von Berechnungen pro Sekunde ausführen können, kann die KI schwache Passwörter fast sofort knacken.
Die Strategie gegen einen AI-gestützten Passwort-Hack besteht darin, keine gleichen Passwörter für mehrere Konten zu nutzen und lange, als Zeichen, Sonderzeichen und Ziffern bestehende Passwörter zu verwenden. Auch wird die Verwendung von Passwort-Managern empfohlen. Die beste Absicherung gegen einen Passwort-gestützten Passwort-Hack besteht in der Verwendung der Zwei-Faktor-Authentifizierung (2FA).
MVP: 2013 – 2016
Erstaunlich wieviele Passwörter immernoch so einfach sind. Über 85 Prozent finde ich ganz schön hoch, wenn man bedenkt, wie lange immer wieder gesagt wird, wie man es am besten macht. Beruhigend ist aber, das ich wohl nicht auf dem falschen Weg bin. Passwortmanager, für jeden Dienst seperate Passwörter aus Zahlen, Sonderzeichen und Klein- wie Großbuchstaben, die oft über 20 Zeichen lang sind… So mach ich das gefühlt schon seit 20 Jahren.
Aber Strategien gibts eben viele. Ein Grundpasswort mit zusätzlichen Zeichen o. Ä. – wichtig ist nur, das man eben mal darüber nachdenkt und nicht überall das gleiche Passwort nutzt. Dann ist schon viel gewonnen.
Vielen Leuten ist die Sicherheit egal.
Die wollen möglichst gar kein Passwort, weil das ja viel bequemer ist, als ein lästiges Passwort eintippen zu müssen.
Das sieht man häufiger z.B. daran, das Leute fragen, wie man denn bei Windows die passwortlose Anmeldung einrichtet.
Und Microsoft tut da auch nichts, sonst wäre diese Möglichkeit aus Windows schon lange entfernt worden und die Passwort-Policy standardmäßig aktiv (per Default verlangt die u.a. mindestens 14 Stellen beim Passwort).
Ich habe da grundsätzlich alles mit entsprechend langen und komplizierten Passwörtern passwortgeschützt und auch bei jedem Dienst ein anderes Passwort und i.d.R. sogar einen anderen Benutzernamen.
Und bei Sonderzeichen verwende ich auch unübliche Zeichen und nicht nur z.B. das ! oder %. Die Bruteforce-Angriffe versuchen i.d.R. nur die Sonderzeichen, die man direkt über eine englische Tastatur erreichen kann.
Aber schon so etwas wie ein € anstelle eines ! erhöht die Sicherheit, da das € meist bei Bruteforce-Angriffen nicht genutzt wird.
Auch landestypische Zeichen sind gut. Im Deutschen wären das die Umlaute und das ß. Oder Buchstaben mit Akzent wie im Französischen.
Erhöht die Sicherheit und hatte ich auch schon einmal im Einsatz.
Wenn Du aber dann im administrativen Bereich an virtuelle Tastaturen nur mit englischem Layout kommst, dann hatte mich das schon mehrere Stunden gekostet, wieder ins System zu kommen.
Genauso hatte ich einmal in einer Anwendung den Fall der Fehlspeicherung von Passwörtern. Wenn Du einmal ausserhalb der "normalen" Tasten ein PW vergeben hattest, dann wurde dieses falsch verschlüsselt gespeichert und du bist nie wieder ins Programm gekommen.
Daher empfehle ich den Usern aktuell leider immer noch die Verwendung aus den Sonderzeichen von 1-?
Lieber dafür die Komplexität höherschrauben.
+
Anmeldung ohne Passwort:
diese Technik wird benötigt, für Maschinensteuerungen, Überwachungssysteme, div Geräte mit reduzierter Oberfläche, ohne Tastatur etc.
14 Zeichen sind nicht der Default, nach Neuinstallation eines AD/DC sind es immer noch 7 :-(. die 14 Zeichen kommen aus der Security Baseline
Passwort Regeln ändern ist in Firmen ein Großprojekt. leider
Sollte wenn Programmierer ihre Arbeit richtig machen kein Problem darstellen… KI kann das zwar knacken, aber auch nicht mit einem einzigen Versuch. Nach 3 fehlerhaften PW die Eingabe erstmal einige Zeit sperren, mit jeder falschen PW weitere Zeit… da kann dann auch ne KI nix machen!
Zusätzlich 2FA und gut ist!
@WLAN Hexe @R.S. weshalb sollte ich für nen einmal Besuch; unwichtige Foren etc. meine hochkomplexen PW verbrennen? (Denn das tut man siehe nächster Absatz) Da tut es auch 123456! Wenn dahinter keine wichtige Daten liegen.
Fakt ist auch: ich habe seit über 40 Jaren mit Computern zu tun, dabei ist mir noch nie ein PW oder Daten abhanden gekommen (Also bei mir) Betroffen bin ich trotzdem ein paar mal! Wieso? Weil Drecksfirmen ihre Systeme nicht im Griff hatten und sich die Daten stehlen haben lassen (teilweise sogar im Klartext abgelegt!) #hust Sony; #hust Adobe; #hust VISA; #hust LastFM
Kenne aber einige Freunde die glaubten mit PW Manager sicher zu sein, weil die ja komplex unknackbare PW generieren… tja nur halt dumm genug waren sich phishen zu lassen… MasterPW weg alle Accounts weg.
Ich bevorzuge folgenden Weg: ich habe genau 1 komplexes PW (welches ich mir merken muss) und trotzdem für jeden Dienst einzelne PW, da ich an mein komplexes PW den Dienstnamen anhänge und daran noch den Dienstnamen verschlüsselt.
Sicher PW für jeden Dienst mit nur zwei Merkmalen die ich mir merken muss: das komplexe PW + die Verschlüsselung… ist so auch nirgends auf einem Endgerät abgespeichert, so das auch keine Malware; Trojaner dies abgreifen kann! Zusätzlich überall wo möglich 2FA (wenn möglich mit nem HW Key Titan Yubi).
Wenn nach wenigen Fehleingaben des Passworts der Account für einige Minuten gesperrt wird, dann ist nix mit 10 Sekunden zum Knacken…das muss allerdings eingerichtet sein (was es zumindest bei Firmen meistens ist).
Desweiteren sind komplexe und vor allem lange Passwörter immer gut und wie im Bericht erwähnt, auch nur in fast unendlicher Zeit zu knacken. Zusätzlich noch ein Passwortmanager für viele verschiedene Passwörter ist auch extrem hilfreich. Die Krönung ist dann die 2FA, aber die gibt's halt nicht überall und ist wegen des zusätzlichen Aufwands unbeliebt.
Wenn allerdings das System, auf dem der Passwortmanager läuft gehakt wird, tja….100%ige Sicherheit gibt es eben nicht.
Solche Angriffe gehen immer von vorliegenden (gestohlenen) Passworthashes aus, die werden dann per Bruteforce gehackt, da gibts dann keine Verzögerungen zwischen Fehlversuchen.
Dann ist es doch gut, dass ich das ! immer an den Anfang mache ;-)
Was meint ihr, ist das ein gutes Passwort?
Abends-Weihnachten-Zentralbank-Spektrum
https://gute-passwoerter.de/#
Dass die Nullen statt O und das ! am Ende nicht viel bringt, sollte eigentlich klar sein.
Meiner Erfahrung nach ist
Name-des-KindesGeburtsjahr!
ein gänginger Standard.
@Luzifer
Als alter Sack komme ich zwar nur auf 37 Jahre Erfahrung, aber: mit der Empfehlung der Passwortsperre/Verzögerung nach 3 Eingaben hast Du zwar recht, aber nicht verstanden, dass es auch um das Knacken von ausgelesenen Hashes geht. Und da greift eine Passwortsperre nicht!
Auch ich war vom Adobehack betroffen, das hat mir allerdings keine Probleme bereitet.
Dass Programmierer auch als DAP = Dümmster anzunehmender Programmierer agieren, habe ich vor Jahren mit einem 3G-Router erlebt: Langes Admin-Passwort vergeben, um dann zufällig festzustellen, dass bei der Eingabe nur die ersten 8 Stellen ausgewertet wurden! Keine Frage, dass die (renommierte) Firma danach für mich gestorben war.
Dir ist schon klar, dass die Methode: Z.B. 8 Stellen, die immer gleich bleiben und danach z.B. noch 8 Stellen, in denen codiert etwa der Dienstname erscheint nur ein 8-stelliges Passwort sind, wenn durch einen dummen Zufall (Trojaner im System) das offene Passwort von einem intelligenten Hacker angeschaut werden kann?
Schon richtig wenn der Angreifer aber Hash und Salt hat, hat der Dienst versagt und dann ist es scheißegal was für ein sicheres PW du hast!
Hier wird aber auch wieder auf User mit ihren PW rumgeritten, obwohl die gar nicht wirklich das Problem sind!
Wie gesagt mir sind bei mir im System in 40 Jahren noch nie PW abhanden gekommen… wenn die verloren gingen passierte das immer bei den Diensten! Also muss man denen auf die Hände klopfen!
In der Theorie gibt es so viele kluge und sichere Wege ein Passwort zu erstellen, das man sich merken kann und trotzdem für verschiedene Dienste unterschiedlich ist.
Ich hatte auch den Gedanken, Passwörter nach gewissen Schemen für unterschiedliche Dienste abzuändern. Man merkt sich das System und muss sich dann nicht die Passwörter merken.
Allerdings ist das Theorie. In der Praxis bin ich leidvoll gescheitert. Der eine Onlineshop erlaubte keine langen Passwörter (>10 Zeichen). Der andere konnte nicht mit deutschen Sonderzeichen umgehen. Ein anderer Dienst (das ist allerdings schon sehr lange her) konnte gar keine Sonderzeichen. Einen Dienst (auch schon länger her) konnte man lange Passwörter angeben, aber er hat es abgeschnitten, d.h. egal was nach Zeichen 8 kam, es war immer richtig.
Solche individuellen Kriterien, machen es schier unmöglich ein System zu entwerfen, das sicher erscheint und für alle gleich ist. Wandelt man es dann ab, dann muss man sich merken, welche Seite/Dienst war anders als die anderen.
Es wird immer auf die User geschimpft, die keine guten Passwörter vergeben. Die Anbieterdienste sollten einmal in die Pflicht genommen werden, die Komplexität bei Passwörter anbieten zu müssen, die heutzutage notwendig ist.
Der andere Weg, man verwendet einen Zugangsdienst, der für andere einloggt. Gibts ja von Google/MS und vielen anderen. Wird als die Lösung dargestellt, sehr sicher – mit einem Passwort kommt man überall hinein. -> Nur was ist hier dann der Unterschied dazu, dass ich bei unterschiedlichen Diensten das selbe Passwort verwende. (Nur das Vertrauen zu dem einen Anbieter.. das mag höher sein – als bei einem kleinen Onlineshop, aber unendlich groß sicher auch nicht)
Passwortmanager wurden hier schon viel genannt. Im Endeffekt – ich habe ein Passwort für alle Dienste. Wo habe ich den Mgr dann liegen? Auf meinen Stamm PC? Was mach ich wenn ich woanders bin – komme ich dann nicht mehr in meine Dienste. Am Smartphone? Traue ich meinem Smartphone um alle Passwörter darauf zu speichern? Bei einem Passwort Onlinedienst? Wieder das Vertrauen an einen Anbieter.. mag groß sein, aber so groß?
Beim speichern meiner Passwörter in einen Mgr hätte ich Angst diese alle auf einen Schlag zu verlieren. Natürlich man kann Backups machen – sollte das auch, aber hat man dann ohne Passwort Mgr Zugriff auf diese Backup? (Ja wenn es eine Papier Liste ist, Nein wenn es in einer Cloud mit Pwd steckt und mit einem anderen Pwd verschlüsselt ist)
2F ist sicher etwas gutes, aber ich habe echt Panik davor wenn mal mit meinem Handy etwas sein sollte. Dann komme ich trotz Passwörter kaum mehr wo hinein…
Tipp: Lass dein vorheriges Smartphone am Ladegerät und halte dir dort nochmal alles vor, was du brauchst, Keepass, Authenticator-App, Photo-Tan, usw. Wenn es geht, Passwörter regelmäßig überall exportieren und in Keepass importieren, das hat recht fexible Importfilter, mit denen man alle CSV reinholen kann, und diese Keepass regelmäßig irgendwo unabhängig sichern, z.B. auf einem robusten USB-Stick, irgendwo gut auf den eigenen Quadratemetern versteckt. Solche Sticks können aber auch durch rumliegen kaputt gehen, daher niemals alleine darauf verlassen. CDs halten mindestens 10 Jahre, also länger als viele USB-Sticks, und fallen zwischen anderen CDs auch nicht sonderlich auf.
Leider lassen sich auf dem "vorherigen Smartphone" (in meinem Fall ein iPhone 6) die allermeisten Apps, die man heutzutage, ob man will oder nicht, braucht, nicht mehr installieren.
Grundsätzlich +1.
Ich habe mir — schon bevor es das Wort überhaupt gab — meinen eigenen Passwort-Manager in Form eines Veracrypt-Containers gebaut. Der liegt dann wenigstens nur dort herum, wo ich ihn haben will, hat aber natürlich auch genau die Nachteile, die Du erwähnst.
Ich bin immer noch unschlüssig, ob ich das Master-Passwort nicht doch besser irgendwo schriftlich hinterlegen sollte. Andererseits — wenn ich in eine Situation käme, dass ich das Master-Passwort vergesse, würde ich mich dann noch daran erinnern, wo ich es schriftlich hinterlegt habe? Wie man's macht, macht man's halt falsch…
Und was das Handy angeht: Ja, eigentlich müsste man heute immer ein Ersatz-Handy haben. Aber auch da: Manche Anbieter, die auf einer App als zusätzliche Sicherheit bestehen, erlauben es nicht, diese App gleichzeitig auf zwei Geräten aktiv zu haben… Als kleine Hilfe für den Fall der Fälle pflege ich eine Liste (die sich auch in meinem "Passwort-Manager" befindet), in der vermerkt ist, wofür überall das Handy als zweiter Faktor dient.
Was für ein Blödsinn. In dem Text von Messente wird weder Methode noch Datenbasis benannt. Es wird lediglich darauf abgehoben, dass es offenbar statistisch signifikante Häufungen bei der Generierung von Passwörtern zu geben scheint. Nothing new.
Wenn die Entropie verkleinert wird, dann klappts natürlich schneller mit dem bruteforce. Jetzt ist auch das nix neues und eigentlich total langweilig, weil längst gängige Methode.
Der Text oben hat recht. Der Spaß klappt sowieso nur, wenn man eh die Hashes und den Salt dazu schon hat. Das darau dann einfache PW einfach ableitbar sind … meine Güte, echt jetzt? Oder wenn ein Passwort Login keine weiteren Schutzmaßnahmen implementiert. Aber wer ist schon so strunz verblödet?