Sonys Playstation-Network ist in den letzten Wochen gleich mehrfach gehackt worden, wobei viele Kundendaten an die Öffentlichkeit gelangten. Dummerweise auch viele Passwörter, die Sony im Klartext in seiner Datenbank gespeichert hat, anstatt Hashes zu benutzen. Die gestohlenen Daten können problemlos via Bittorrent heruntergeladen werden. Unglaublich viele Anwender verwendeten Passwörter wie “Winner” oder “123456″, die mit einer simplen Wörterbuch-Attacke in kürzester Zeit zu knacken sind.
Ein sicheres Passwort ist also eines, das man sich nicht merken kann – leider. Bisher (und weiterhin) raten wir Anwendern, möglichst kryptische Passwörter wie zu verwenden und sie sich mit einer Eselbrücke zu merken. Aus Goethes “Wer reitet so spät durch Nacht und Wind” wird anhand der Anfangsbuchstaben “Wr55dNuW”, wobei das “s” noch durch die ähnlich aussehende “5″ ersetzt wird.
Bisher war der Aufwand, ein solches Passwort zu knacken, sehr hoch. Das hat sich mittlerweile geändert, wie Kristian Köhntopp in seinem Blog darlegt. Während eine gängige CPU zum Knacken eines 6-Zeichen-Passwortes noch 90 Minuten benötigt und für 9 Zeichen immerhin 43 Jahre, haben sich still und heimlich die massiv parallel rechnenden GPUs auf Grafikkarten als Passwortknacker etabliert, die für 6 Zeichen nur noch 4 Sekunden brauchen und für 9 Zeichen 48 Tage.
Kurze Passwörter sind schon jetzt als unsicher einzustufen, mittelange werden es in Kürze. Da die Praxis zeigt, dass die Leute sich sowieso kaum die Mühe machen, sichere Passwörter zu verwenden und die Rechenleistung weiterhin zunehmen wird, bleiben nur flankierende Sicherheitsmaßnahmen seitens der Betreiber von Webseiten – ein “Single Sign On” zum Beispiel über Facebook Connect ist mittlerweile tatsächlich als sicherer, wenn die Anwender ihre Passwörter nicht unverschlüsselt in offenen WLANs übertragen – werden aber noch von längst nicht jedem verwendet.
Webseiten, die Nutzerdatenbanken speichern, sollten auf eine Mischung aus Sicherheitsabfragen und Captchas setzen, die zum Beispiel nach drei erfolglosen Logins angezeigt werden. Die Kunden können noch so unsichere Passwörter wählen – sobald Hackern ein Einbruch gelingt, ist es immer die Webseite, die den medialen Schaden davonträgt.