Wenn Webseitenbetreiber Passwörter von Kunden nicht sicher verwahren, ist der Super-GAU vorprogrammiert. Daran erinnern abermals Sicherheitsforscher, die in überschaubarer Zeit Millionen Passwörter entschlüsselt haben.
Diverse Sicherheitsforscher rund um das Kollektiv CynoSure Prime haben rund 320 Millionen Passwörter geknackt ? für einen guten Zweck. Dabei lag die Erfolgsquote eigenen Angaben zufolge bei 99,9999 Prozent.
Der zugrundeliegende Datensatz stammt von Troy Hunt, der seine Webseite Have I Been Pwned Anfang August um einen Passwort-Prüfdienst erweitert hat. Dort kann man checken, ob das eigene Passwort durch Hackerübergriffe auf diverse Onlinedienste bereits geleakt ist.
Webseitenbetreiber aufgepasst!
Bei CynoSure Prime handelt es sich um keine Hacker die böses im Sinn haben, vielmehr geht es ihnen um die Forschung im Bereich der Passwortsicherheit. Webseitenbetreiber, die Passwörter von Kunden auf Servern verwahren, sollten folgendes ganz genau lesen. Schließlich kann man den Schwarzen Peter nicht immer nur dem Nutzer unterschieben, der gefälligst sichere Passwörter zu erstellen hat.
Ein starkes Passwort ist natürlich wichtig. Dieses müssen Webseitenbetreiber jedoch so sicher auf ihren Servern speichern, dass Hacker selbst nach einem erfolgreichen Übergriff nichts mit den Daten anfangen können. Das gelingt mit Hash-Funktionen, die aus einem Passwort eine Prüfsumme erstellen. Ist das Verfahren stark, ist dieser Vorgang mit endlichem Aufwand unumkehrbar.
Mit brachialer Rechenkraft zum Ziel
Den Datensatz von Troy Hunt hat sich CynoSure Prime als exemplarisches Beispiel vorgenommen, um zu demonstrieren, dass Passwörter von Webseitenbetreibern oft nicht sicher behandelt werden. Rund 305 Millionen Passwörter in dem Datensatz sind mit dem Hashverfahren SHA-1 "gesichert". Dieses Verfahren gilt schon länger als gebrochen, kommt aber bei einigen Diensten immer noch zum Einsatz. Auch das ebenfalls kaputte MD5 findet in dem Datensatz Verwendung.
Da die Passwörter mit den als kaputt geltenden Verfahren SHA-1 und MD5 "geschützt" sind, lag die Erfolgsquote beim Knacken bei 99,9999 Prozent.
Bild: CynoSure Prime
Während ihrer Versuche haben die Sicherheitsforscher aber keine Kollisionen erzeugt, sondern die Passwörter unter anderem mit Tools wie hashcat und MDXfind aus dem Hash rekonstruiert. Das funktioniert zum Beispiel mit wahrscheinlichkeitsbasierten Verfahren wie der Markov-Kette und Wörterbuch-Attacken kombiniert mit brachialer Rechenkraft.
Eigenen Angaben zufolge hat CynoSure Prime Cluster unter anderem bestehend aus Computern mit Intel Core i7-6700K, vier GeForce GTX 1080 und 64 GByte RAM zum Knacken genutzt. Von den 305 Millionen SHA-1-Hashes haben sie eigenen Angaben zufolge lediglich 116 nicht geknackt.
Passwörter sicher hashen ? jetzt!
Damit sich Hacker die Zähne an Passwörtern ausbeißen, müssen Webseitenbetreiber diese mit Verfahren wie brcrypt oder PBKDF2 speichern. Die sind absichtlich so konzipiert, dass ein Passwort-Test möglichst viel Ressourcen benötigt. Sie erreichen dies unter anderem, indem sie viele Iterationen über Hash-Operationen durchführen.
Zudem sollten sie serverseitig Bremsen einbauen, um so Brute-Force-Attacken auf Anmeldeformulare vorzubeugen. Das gelingt etwa, indem sie die Zahl der möglichen Login-Versuche innerhalb eines bestimmten Zeitraums pro IP-Adresse beschränken.