Bundesamt für Sicherheit in der Informationstechnik

G 5.18 Systematisches Ausprobieren von Passwörtern

Zu einfache Passwörter lassen sich durch systematisches Ausprobieren herausfinden. Dabei ist zwischen dem simplen Ausprobieren aller möglichen Zeichenkombinationen bis zu einer bestimmten Länge (sogenannter Brute-Force-Angriff) und dem Ausprobieren anhand einer Liste mit Zeichenkombinationen (sogenannter Wörterbuch-Angriff) zu unterscheiden. Beide Ansätze lassen sich auch kombinieren.

Die meisten Betriebssysteme verfügen über eine Datei oder Datenbank ( z. B. passwd- bzw. shadow-Datei bei Unix oder RACF -Datenbank bei z/OS ) mit den Kennungen und Passwörtern der Benutzer. Allerdings werden zumindest die Passwörter bei vielen Betriebssystemen nicht im Klartext gespeichert, sondern es kommen kryptographische Mechanismen zum Einsatz. Ist die Datei nur unzureichend gegen unbefugten Zugriff geschützt, kann ein Angreifer diese Datei möglicherweise kopieren und mit Hilfe leistungsfähigerer Rechner und ohne Einschränkungen hinsichtlich der Zugriffszeit einem Brute-Force-Angriff aussetzen.

Die Zeit, die bei einem Brute-Force-Angriff zum Herausfinden eines Passworts benötigt wird, hängt ab von

  • der Dauer einer einzelnen Passwortprüfung,
  • der Länge des Passworts und
  • der Komplexität des Passworts.

Die Dauer einer einzelnen Passwortprüfung hängt stark vom jeweiligen System und dessen Verarbeitungs- bzw. Übertragungsgeschwindigkeit ab. Im Falle eines Angriffs spielen auch die Methode und die Technik des Angreifers eine Rolle.

Die Verwendung von Rainbow Tables kann die benötigte Rechenzeit noch einmal deutlich verringern. In Rainbow Tables werden Passwörter in zusammenhängenden Passwortsequenzen durch eine Hashfunktion und weitere Funktionen verkettet. Wenn keine entsprechenden Gegenmaßnahmen bei der Implementierung der Passwort-Prüfung getroffen wurden, können Rainbow Tables von Angreifern missbraucht werden, um Brute-Force-Angriffe zu beschleunigen.

Länge und Zeichenzusammensetzung des Passworts lassen sich dagegen durch organisatorische Vorgaben oder sogar durch technische Maßnahmen beeinflussen.

Beispiel:

  • Bei einem Zeichenvorrat von 26 Zeichen, also zum Beispiel, wenn für Passwörter nur Kleinbuchstaben ohne Sonderzeichen verwendet werden, ergeben sich für ein acht Zeichen langes Passwort circa 209 Milliarden mögliche Kombinationen. Ein moderner PC , der circa 100 Millionen Hashwerte pro Sekunde berechnen kann, hätte nach 35 Minuten alle möglichen Passwörter mit acht Kleinbuchstaben geprüft. Durch die Verwendung von Sonderzeichen, Großbuchstaben und Zahlen steigt die Anzahl der verwendbaren Zeichen auf 72 an. Bei achtstelligen Passwörtern wären damit 722 Billionen Kombinationen möglich. Um mit handelsüblichen PC s alle Hashwerte zu berechnen, würden ca. 83 Tage benötigt.

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK