G 5.18 Systematisches Ausprobieren von Passwörtern

Zu einfache Passwörter lassen sich durch systematisches Ausprobieren herausfinden. Dabei ist zwischen dem simplen Ausprobieren aller möglichen Zeichenkombinationen bis zu einer bestimmten Länge (sogenannter Brute-Force-Angriff) und dem Ausprobieren anhand einer Liste mit Zeichenkombinationen (sogenannter Wörterbuch-Angriff) zu unterscheiden. Beide Ansätze lassen sich auch kombinieren.

Die meisten Betriebssysteme verfügen über eine Datei oder Datenbank ( z. B. passwd- bzw. shadow-Datei bei Unix oder RACF -Datenbank bei z/OS) mit den Kennungen und Passwörtern der Benutzer. Allerdings werden zumindest die Passwörter bei vielen Betriebssystemen nicht im Klartext gespeichert, sondern es kommen kryptographische Mechanismen zum Einsatz. Ist die Datei nur unzureichend gegen unbefugten Zugriff geschützt, kann ein Angreifer diese Datei möglicherweise kopieren und mit Hilfe leistungsfähigerer Rechner und ohne Einschränkungen hinsichtlich der Zugriffszeit einem Brute-Force-Angriff aussetzen.

Die Zeit, die bei einem Brute-Force-Angriff zum Herausfinden eines Passworts benötigt wird, hängt ab von

Die Dauer einer einzelnen Passwortprüfung hängt stark vom jeweiligen System und dessen Verarbeitungs- bzw. Übertragungsgeschwindigkeit ab. Im Falle eines Angriffs spielen auch die Methode und die Technik des Angreifers eine Rolle.

Länge und Zeichenzusammensetzung des Passworts lassen sich dagegen durch organisatorische Vorgaben oder sogar durch technische Maßnahmen beeinflussen.

Beispiel: