Man kommt heutzutage nicht mehr ohne Passwörter aus, und sich alle zu merken, kann schon zu einer Herausforderung werden. Nicht selten entscheiden sich deshalb Nutzer leider immer noch dafür, die Sinnhaftigkeit eines Passwortes mit einer möglichst einfachen Zeichenfolge auszuhebeln. Wie eine Studie nun ergeben hat, dürften auch auffallend viele Mitarbeiter im US-Innenministerium dieser Strategie im Berufsalltag folgen.

Es sind Zahlen, die das US-Innenministerium beunruhigen sollten: Im Rahmen einer Sicherheitsüberprüfung wurde festgestellt, dass mehr als 20 Prozent der Mitarbeiter-Passwörter mit vergleichsweise einfachen Methoden geknackt werden konnten. Insgesamt wurden der Untersuchung 85.944 Hashes zur Verfügung gestellt, in den ersten 90 Minuten des Tests konnten die Hashes von 16 Prozent der Benutzerkonten geknackt werden. Unter den entschlüsselten Hashes befanden sich auch Passwörter für 362 Konten hochrangiger Regierungsangestellter.

Kein großer Aufwand

Um die Passwörter herauszufinden, waren keine hochkomplexen Supercomputer notwendig. Die Hardware, die aus zwei Maschinen mit insgesamt 16 GPUs bestand, soll einen Handelswert von rund 15.000 US-Dollar haben. Um die Passwörter ermitteln zu können, wurde die Hardware mit einer Liste gespeist, die mehr als 1,5 Milliarden Wörter erhielt.

Dabei handelte es sich nicht nur um Wörterbucheinträge oder gängige Tastaturmuster. Auch Fachausdrücke der US-Regierung und vor allem öffentlich zugängliche Passwortlisten kamen dabei zum Einsatz. Die in Hashes umgewandelten Wörter sind dann mit den Hashes der Passwörter verglichen worden, die das US-Innenministerium zur Verfügung gestellt hat.

Schwache Richtlinien

Das am häufigsten verwendete Passwort unter den erhobenen Daten lautete "Password-1234", aber auch die anderen Nennungen sprühten nicht besonders vor Originalität – und vor allem nicht vor Sicherheit.

1. Password-1234
2. Br0nc0$2012
3. Password123$
4. Password1234
5. Summ3rSun2020!
6. 0rlando_0000
7. Password1234!
8. ChangeIt123
9. 1234password$
10. ChangeItN0w!

Die Wahl der Passwörter und ihre schnelle Entschlüsselbarkeit über Listen führt eine weitere Problematik vor Augen: Nahezu alle geknackten Passwörter erfüllten zwar die Kriterien, die von der Abteilung zur Passwortkomplexität vorgeschrieben waren. Das zeigt aber wieder, dass Mindestlänge und Vorgabe von Zeichentypen für ein sicheres Passwort längst nicht mehr ausreichen und derartige Richtlinien überdacht werden müssen. "Das am zweithäufigsten verwendete Passwort war Br0nc0$2012. Obwohl dies wie ein stärkeres Passwort erscheinen mag, ist es in der Praxis sehr schwach, da es auf einem einzigen Wörterbuchwort mit gemeinsamen Zeichenersetzungen basiert", resümiert der Abschlussbericht dazu.

Keine MFA

Als ob diese Resultate nicht schon schlimm genug wären, stellte sich bei der Untersuchung auch heraus, dass 89 Prozent der Systeme in dieser Einrichtung keine Multi-Faktor-Authentifizierung (MFA) nutzen. MFA wäre eine zusätzliche Sicherheitsvorkehrung, um den Gebrauch schwacher Passwörter relativieren zu können. Um Zugang zu einem Konto zu erlangen, reicht bei der MFA ein Passwort nicht aus, meist ist ein zusätzlicher Einmalcode notwendig, den der Nutzer zum Beispiel über eine ihm klar zuweisbare Telefonnummer erhält. (bbr, 14.01.2023)