Egal, ob es sich um Firmen-Accounts oder privat genutzte Systeme und IT-Services: Passwörter sind immer noch der Stand der Technik, um Rechner und Online-Konten aller Art vor dem Zugriff Unbefugter zu schützen. Umso ernüchternder sind die Resultate der Untersuchung von Imperva, einem Anbieter von Datensicherheitssystemen für kritische Unternehmensinformationen.

Nach Angaben der Firma hat sich die Sicherheit typischer Passwörter in den vergangenen zwei Jahren nicht verbessert: 77 der 100 am häufigsten verwendeten Passwörter , die aus 100.000 untersuchten Datensätzen herausgefiltert wurden, lassen sich demnach mit einem einfachen Online-Dienste innerhalb von zehn Minuten knacken.

Imperva hat im Rahmen des Tests "echte" 95.000 Passwörter analysiert, die durch ein Datenleck publik wurden. Die Zugangsdaten der Web-Seite FilmRadar.com waren mittels einer SHA1-Hashfunktion gesichert, einer übliche Verschlüsselungstechnik für Passwörter. Dieses Verfahren ist laut Imperva jedoch wenig praxistauglich, wenn die hinterlegten Informationen leicht zu erraten sind. Das war bei der Mehrzahl der Passwörter der Fall.

Rainbow-Tabellen als Passwort-Knacker

Die meisten der gängigen Schlüsselwörter konnten innerhalb weniger Minuten mithilfe von Rainbow-Tabellen ermittelt werden. Eine Rainbow-Tabelle ist eine Datenstruktur, mit der sich eine schnelle probabilistische Suche nach einem Element des Urbilds eines Hash-Werts durchführen lässt, etwa einem Passwort. Entwickelt hat das Verfahren der Schweizer IT-Sicherheitsexperte Philippe Oechslin, der mittlerweile Chef der IT-Sicherheitsberatungsfirma OS Objectif Sécurité ist. An die fünf Prozent der Passwörter hielten einem Wörterbuchangriff keine zwei Minuten stand.

Potenzielle Angreifer können auch auf andere Hilfsmittel zurückgreifen, die nicht unbedingt für "böse" Zwecke entwickelt wurden, etwa Software für das Wiederherstellen von verloren gegangenen Passwörtern. Ein Beispiel, das im Bericht in Imperva aufgeführt wird, ist das Tools Cain & Able der italienischen Firma Oxid.

Ratschläge für Passwortsicherheit

Imperva rät deshalb Unternehmen und privaten Anwendern Folgendes:

• Den Einsatz von Rainbow-Tabellen erschweren: Unternehmen, die sich für den Schutz von Kundenpasswörtern nur auf die SHA-1-Hashfunktion verlassen, machen es Hackern einfach. Mehr Sicherheit, wenn auch keine 100-prozentige, bietet das "Salting". Ein Salt-Wert ist eine zufällige Zahl, die dem Passwort vor der Verschlüsselung hinzugefügt wird. Das Ergebnis: Der Entschlüsselungsaufwand steigt exponentiell.
• Lange Passwörter erlauben: Die Verwendung längerer Passwörter, am besten von "Pass Phrases", verbessert die Sicherheit. Gleichzeitig erlauben längere Zugangsdaten leichter zu merkende Kombinationen von Zeichen und Begriffen, sodass Mitarbeiter sich keine Zettel mit den Zugangsdaten an ihren Bildschirm kleben müssen – eine oft unterschätzte Sicherheitslücke.
• Eine starke Passwort-Richtlinie vorgeben: Diese sollte nicht nur bestimmte Zeichentypen vorgeben, sondern die gewählten Kombinationen auch mit Hacker-Wörterbüchern vergleichen. Microsofts Hotmail-E-Mail-Dienst erlaubt beispielsweise seit kurzem keine verbreiteten Passwörter mehr. Auch seitenspezifische Begriffe sollten überprüft und deren Nutzung eingeschränkt werden.

Der vollständige Report von Imperva ist hier abrufbar.