G 5.18 Systematisches Ausprobieren von Passwörtern
Zu einfache Passwörter lassen sich durch systematisches Ausprobieren herausfinden. Dabei ist zwischen dem simplen Ausprobieren aller möglichen Zeichenkombinationen bis zu einer bestimmten Länge (sogenannter Brute-Force-Angriff) und dem Ausprobieren anhand einer Liste mit Zeichenkombinationen (sogenannter Wörterbuch-Angriff) zu unterscheiden. Beide Ansätze lassen sich auch kombinieren.
Die meisten Betriebssysteme verfügen über eine Datei oder Datenbank (z. B. passwd- bzw. shadow-Datei bei Unix oder RACF-Datenbank bei z/OS) mit den Kennungen und Passwörtern der Benutzer. Allerdings werden zumindest die Passwörter bei vielen Betriebssystemen nicht im Klartext gespeichert, sondern es kommen kryptographische Mechanismen zum Einsatz. Ist die Datei nur unzureichend gegen unbefugten Zugriff geschützt, kann ein Angreifer diese Datei möglicherweise kopieren und mit Hilfe leistungsfähigerer Rechner und ohne Einschränkungen hinsichtlich der Zugriffszeit einem Brute-Force-Angriff aussetzen.
Die Zeit, die bei einem Brute-Force-Angriff zum Herausfinden eines Passworts benötigt wird, hängt ab von
- der Dauer einer einzelnen Passwortprüfung,
- der Länge des Passworts und
- der Zeichenzusammensetzung des Passworts (z. B. Buchstaben/Zahlen).
Die Dauer einer einzelnen Passwortprüfung hängt stark vom jeweiligen System und dessen Verarbeitungs- bzw. Übertragungsgeschwindigkeit ab. Im Falle eines Angriffs spielen auch die Methode und die Technik des Angreifers eine Rolle.
Länge und Zeichenzusammensetzung des Passworts lassen sich dagegen durch organisatorische Vorgaben oder sogar durch technische Maßnahmen beeinflussen.
Beispiel:
- Mit einem gut ausgestatteten PC lassen sich derzeit bei der Standard-Passwort-Verschlüsselung von Unix bzw. Linux etwa 400.000 Passwortprüfungen pro Sekunde durchführen. Bei der Standard-Passwort-Verschlüsselung von Windows NT/2000/XP sind es sogar über 6.000.000 Prüfungen pro Sekunde (Quelle: Der Hamburgische Datenschutzbeauftragte, 2003). Bei einem Zeichenvorrat von 26 Zeichen dauert es somit etwa 6 Tage, um ein 8 Zeichen langes Passwort unter Unix bzw. Linux zu ermitteln (Standard-Passwort-Verschlüsselung). Die gleiche Aufgabe dauert unter Windows sogar nur etwa 9 Stunden.