Hacker nutzen mittlerweile die wesentlich effektivere Rechenleistung der Grafikkarte, statt der Prozessoren, um Kennwörter zu knacken. Passwörter unterliegen daher völlig neuen Sicherheitsanforderungen.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, gibt wertvolle Tipps zum World Password Day. Kennwörter sind weiterhin eine der wichtigsten Hürden, die Cyber-Kriminelle nehmen müssen, um Anwendern zu schaden.
Die Sicherheitsforscher mahnen, dass Millionen von Passwörtern kaum oder gar nicht den Anforderungen an ein sicheres Passwort entsprechen. Im Jahr 2019 hat das britische National Cyber Security Centre herausgefunden, dass 23 Millionen Menschen weltweit immer noch unsichere Kennwörter nutzten, wie „123456“. Darunter mögen auch unwichtige Konten sein, aber es zeigt, dass viele Leute sich der IT-Bedrohung, die mit dieser Handhabung einhergeht, nicht bewusst sind.
Hinzu kommt: Der unaufhaltsame technologische Fortschritt gereicht nicht nur den Nutzern zum Vorteil, sondern gibt auch Hackern neue Werkzeuge für ihre Angriffe an die Hand. Was einst als sicheres Passwort galt, ist jetzt veraltet und schafft neue Sicherheitslücken.
Das Aufkommen neuer Grafikkarten mit virtuellem Speicher (VRAM) hat diesen Geräten die Möglichkeit eröffnet, Hochgeschwindigkeitsdaten zu verarbeiten, wie sie auch beim Schürfen von Krypto-Währungen verwendet werden. Sie können jedoch auch für Cyber-Angriffe genutzt werden, um Passwörter durch Brute-Force-Attacken zu knacken. Dabei können die Prozessoren der Grafikkarten (GPU) über eine Million Kombination je Sekunden prüfen, was weitaus schneller ist als das, was zuvor von den Computer-Prozessoren (CPU) geschafft wurde. Das bedeutet, dass ein Passwort mit weniger als 12 Zeichen, das ausschließlich aus Buchstaben und Zahlen besteht, innerhalb weniger Tage geknackt werden könnte.
Laut dem jüngsten Bericht von Hive Systems, der ungefähr angibt, wie schnell Cyber-Kriminelle die Passwörter knacken könnten, reicht die Spanne von minimalem Aufwand und fast umgehender Entschlüsselung der unsichersten Passwörter bis hin zu 438 Billionen Jahren für die robustesten Schlüssel. Wichtig hier: Innerhalb eines Jahres hat sich die Zeit, bis die zu unsicheren Passwörter zu einer Schwachstelle führen, um bis zu 90 Prozent verkürzt, welche mit dem Einzug neuer Technik, wie Cloud-Dienste oder künstliche Intelligenz, in den kommenden Jahren noch weiter reduziert werden könnte.
Aus diesem Grund haben die Sicherheitsforscher von Check Point mehrere Tipps zusammengestellt, damit jedermann ein sicheres Passwort erstellen kann:
- Je länger und ungewöhnlicher, umso besser: Ein Kennwort sollte wenigstens 14 bis 16 Zeichen enthalten und aus verschiedenen Buchstaben bestehen, diese groß und klein geschrieben, aus Symbolen und Zahlen. Wenn man jedoch das Passwort auf 18 Zeichen verlängert, so wurde herausgefunden, dann ist es möglich, ein völlig unknackbares zu erstellen, da enorm viele Brute-Force-Versuche notwendig wären. Es würde schlicht zu lange dauern, dieses zu brechen.
- Einfach zu erinnern, schwierig zu erraten: Nur der Nutzer sollte die Kombination kennen und zustande bringen, weswegen personenbezogene Information, wie Jubiläen, Geburtstage oder die Namen von Familienmitgliedern nicht eingebaut werden sollten. Am einfachsten bieten sich vollständige Sätze an, mit absurdem oder allgemeinem Inhalt, wie „werreitetsospätdurchnachtundwind“. Zusätzlich können dann Groß- und Kleinschreibung variiert werden, sowie Zahlen und Symbole eingebaut werden, oder Buchstaben ersetzen: „W3rr3itets0spätdurchNachtundW!nd?“.
- Einzigartig und nicht nachahmbar: Jedes Benutzerkonto sollte mit einem eigenen Kennwort ausgestattet werden, sodass keines mehrfach genutzt wird. Dies stellt sicher, dass stets nur ein Benutzerkonto von Hackern übernommen oder missbraucht werden kann, sollte das Kennwort geknackt werden. Laut Google nutzen mindestens 65 Prozent der Teilnehmer ihre Passwörter mehrfach im Internet.
- Diskretion: Niemals sollte das Passwort mit irgendjemandem geteilt werden und niemals in der Nähe des Computers oder Gerätes aufgeschrieben werden, oder sogar in einer Datei darauf gespeichert sein. Sollte dies doch gewünscht werden, dann bieten sich Passwort Manager an, die Kennwörter sicher verwahren.
- Multi-Faktor-Authentifizierung: Neben einem starken Passwort bietet sich die Aktivierung einer Multi-Faktor-Authentifizierung an. Dabei wird nach der Eingabe des Kennworts ein weiter Faktor abgefragt, wie eine TAN per SMS aufs Handy, oder eine Nachricht über eine App an das Smartphone. Auf diese Weise erfährt der Nutzer zusätzlich über jeden Anmeldungsversuch, weil jedes Mal eine derartige Nachricht beim ihm eingeht.
- Regelmäßig ändern: Jederzeit kann eine Datenbank des Seitenbetreibers von Hackern gestohlen werden und mit ihr die Zugangsdaten der Nutzer. Aus diesem Grund sollte man hin und wieder prüfen, ob die eigene E-Mail-Adresse im Rahmen eines solchen Datenlecks abhandenkam. Frei zugängliche Programme, wie das der Internet-Seite Have I been pawned?, sammeln Informationen über Datenlecks und ihre Inhalte. Dort kann die eigene Adresse eingegeben werden, woraufhin angezeigt wird, ob diese Teil eines bekannten Datendiebstahls ist. Daneben ist es empfehlenswert, regelmäßig seine Passwörter zu ändern, zum Beispiel im Rahmen des Welt-Passwort-Tages.
„Jeden Tag entwerfen Hacker neue Angriffe, um Passwörter zu stehlen. Gezielte Methoden, wie Phishing, schafften es, tausende von Diensten zu knacken, weil Passwörter gestohlen wurden,“ erklärt Marco Eggerling, CISO EMEA bei Check Point. „In Deutschland wurden beispielsweise im ersten Quartal 2023 nun 894 Organisationen je Woche attackiert, was einem Anstieg von 2 Prozent zum Vorjahresquartal entspricht. Sichere Passwörter senken hier stark die Erfolgschance der Hacker, daher sollte das Thema der Passwort-Erstellung, vor allem bei wichtigen Benutzerkonten, stets ernst genommen werden.“
