Schlechte Passwörter und andere Dummheiten

Mittels KI erstellt von Microsoft Designer

Seit Jahren predige ich, dass man Passwörter nicht im Passwortspeicher des Browsers ablegen sollte. Natürlich wird das Ganze immer mit viel Misstrauen oder auch offener Ablehnung betrachtet.

Mein Argument ist schlicht und einfach: wenn wir uns alle darauf einigen, in unseren Wohnungen alle Wertsachen im Badschrank zu verstecken, dann geht nichts mehr verloren - allerdings weiß ein Einbrecher dann auch ganz genau, wo er suchen muss.

Da der Webbrowser oft genau die Software ist, die mittels Sicherheitslücke angegriffen wird, ist es irgendwie unlogisch, das Wertvollste, was man auf dem Rechner hat, genau dort zu speichern.

Heise meldet nun, dass die Ransomware Qilin genau das tut, wovor ich immer gewarnt habe (nur hier sogar automatisch und im großen Stil): Sie klaut die in Chrome gespeicherten Zugangsdaten. Der Weg zu Edge ist da natürlich nicht weit und es ist sicher nur eine Frage der Zeit, bis auch alle anderen Browser unter Feuer stehen.

Natürlich wird Chrome gepatcht, natürlich wird Edge gepatcht - aber die nächste Lücke findet sich bestimmt.

Passwortmanager sind ein Muss für jeden

Wer sich Passwörter ausdenkt, lügt sich in die Tasche: für jeden Dienst ein absolut unterschiedliches, sicheres Passwort zu erstellen schlägt schon dabei fehl, wenn man es sich ausdenkt. Solange man nicht einfach mit der Stirn in Tastaturmitte kräftig von links nach rechts rubbelt, ist ein solches Passwort nicht zufällig und immer ein Stück weit vom "Erfinder" abhängig.

Microsoft warnte gerade vor “Peach Sandstorm deploys new custom Tickler malware in long-running intelligence gathering operations” - d.h. langfristig angelegte Malware-Attacken, um Informationen zu sammeln. Wer irgendwo in Benutzerprofilen seinen geliebten “Fiffi” als Haustier stehen hat, sollte nicht davon ausgehen, dass “Fiffi2005” ein gutes Passwort ist (Kein Witz - solche Fälle erlebe ich mindestens mehrmals im Monat)…

Tobias Scheible hat es als Cyber Security Spezialist und IT-Forensik Dozent auf seiner Homepage äußerst transparent dargestellt. Er hat sich mit einer handelsüblichen GeForce RTX 4090 einen Windows-NTLM-Hash vorgenommen und per Brute-Force versucht zu hacken. Er ging von richtig fiesen Voraussetzungen aus und hat angenommen, dass das gesuchte Passwort nicht nur Zahlen, Groß- und Kleinbuchstaben, sondern auch noch Umlaute und 33 verschiedene Sonderzeichen enthalten könnte.

Die Laufzeiten der Angriffe sind schlicht schockierend: Ein 8-Zeichen-Passwort ist in weniger als 12hr geknackt. Bei 7 Zeichen reicht die Zeit gerade so zum Kaffeeholen (~7 Minuten), bei 6 Zeichen nicht einmal, um einen Würfelzucker in den Kaffee zu werfen und umzurühren (~4 Sekunden).

Erst bei 10 Zeichen sprechen wir von Zeiten, die zumindest mit einer Grafikkarte nicht mehr realistisch sind (13 Jahre) - allerdings kann man das Ganze perfekt parallelisieren - zwei Grafikkarten, halbe Zeit. In der Cloud steht solche Rechenleistung nahezu unbegrenzt zur Verfügung.

Was bedeutet das für uns?

Passwörter müssen lang genug sein und man sollte sie nicht selbst erstellen.

Wer sich das nicht zu Herzen nimmt, sollte sich nicht fragen, OB er gehackt werden wird, sondern muss sich nur noch Gedanken darüber machen, WANN passieren wird.

Ein sicheres Passwort hat für mich 16 völlig willkürliche Zeichen (natürlich Groß-/Klein, Zahlen, Sonderzeichen)

Also z.B. "F>&iTc;~SRj5zD9c" - und spätestens hier muss klar sein, dass man so etwas nicht mehr von Hand eingibt oder gar im Kopf hat.

Hinzu kommt, dass MFA-Methoden wie TOTP oder besser direkt Passkeys die Sicherheit von Anmeldeprozessen gravierend erhöhen.

Was muss ein Passwortmanager können?

  • Ein Passwortmanager muss natürlich in sich sicher sein; er muss gut zu handhaben und im Alltag reibungslos einzusetzen sein.

  • Ein Passwortmanager muss die verwendeten Passwörter validieren, gegen kompromittierte oder als gehackt bekannte Passwörter abgleichen und dem User ausreichend damit auf die Nerven gehen, die unsicheren Baustellen aufzuräumen.

  • In Unternehmensumgebungen braucht man oft auch die Möglichkeit, Passwörter gemeinsam zu nutzen.

Getreu dem Untertitel „Meinung|ungefiltert“ verzichte ich auf Befindlichkeiten aufgrund Herstellerbindungen, dem üblichen Geschäftsgebaren und sonstiger Konventionen.
Damit einher geht, dass dieser Blog meine persönliche Meinung widerspiegelt und nur diese - Euer Marc Winter.

Zurück
Zurück

Sicher ist Sicher? Daten aller niederländischen Polizisten gehackt

Weiter
Weiter

Updates? Nerviger Mist, der alles kaputtmacht