Patzt eine Webseitenbetreiber bei der Absicherung der gespeicherten Daten, nutzt auch das beste Passwort nichts. Diese Erkenntnis verdeutlicht nun ein aktueller Vorfall. Den Sicherheitsforschern rund um CynoSure Prime ist es gelungen 320 Millionen Passwörter zu knacken – verantwortlich dafür ist die Nutzung eines veraltetes Hash-Verfahrens.

SHA1

Mit einer Erfolgsquote von 99,9999 Prozent konnten die Forscher mit SHA1 gehashte Passwörter knacken, führt man in einem Blogposting aus. Dies bedeutet das gerade einmal 116 der gestesten Passwörter den Angriffen erfolgreich widerstehen konnten.

Damit demonstriert man nicht zuletzt sehr eindrucksvoll, wie gefährlich es ist, SHA1 als Hash-Verfahren zu benutzen. Das ist zwar keine neue Erkenntnis – SHA1 wird seit längerem als unsicher angesehen – leider wird das Verfahren aber weiter von einigen Seiten zum Einsatz gebracht.

Tools

Zum Knacken der Passwörter hat man sich bekannter Tools wie hashcat und MDXfind bedient, auf der Hardwareseite wurden mehrere Desktop-Cluster aufgebaut, darunter etwa welche mit Intel Core-i7-6700K und vier GeForce GTX 1080 Karten sowie 64 GB RAM.

Hintergrund

Eine zusätzliche Gefährdung entsteht durch den Hack übrigens nicht, sind die geknackten Passwörter doch mit keiner spezifischen Webseite assoziiert. Vielmehr wurden sie kürzlich von dem Betreiber der Seite "Have I been pwned" explizit für solche Testzwecke veröffentlicht. Grundlage dafür waren aus früheren Hacks hervorgegangene Informationen, die aber um jegliche Details jenseits der eigentlichen Passwörter bereinigt wurden, also nicht mehr zuordenbar sind. (apo, 5.9.2017)