Nach dem Hackerangriff auf Yahoo: Wenn Passwörter nicht mehr schützen

Nach dem Hackerangriff auf Yahoo: Wenn Passwörter nicht mehr schützen

, aktualisiert 27. September 2016, 16:08 Uhr
Bild vergrößern

Passwörter wie „123456“ oder „dadada“ sind nicht sicher. Kriminelle und Spione können sie in kürzester Zeit knacken.

von Christof KerkmannQuelle:Handelsblatt Online

Es ist der nächste große Datendiebstahl: Hacker haben bei Yahoo Informationen über 500 Millionen Nutzer erbeutet. Mit jedem Vorfall wird das Prinzip Passwort geschwächt. Welche Gefahren drohen – und was noch hilft.

Millionen Nutzer haben letzte Woche eine schlechte Nachricht in ihrem E-Mail-Postfach vorgefunden: Angreifer sind in die Systeme von Yahoo eingedrungen und haben 500 Millionen Datensätze samt verschlüsselter Passwörter kopiert – der Internetriese rät nun dazu, die Zugangsdaten schleunigst zu ändern und nach „verdächtigen Aktivitäten“ Ausschau zu halten.

Das Ausmaß des Schadens ist zwar rekordverdächtig, doch der Datendiebstahl an sich kein Einzelfall. In den vergangenen Jahren gelang es Angreifern wiederholt, Millionen von Datensätzen zu stehlen. Jedes Mal müssen die Nutzer fürchten, dass Hacker und Spione sie bestehlen und ausschnüffeln. Und jedes Mal wird deutlich, wie schwach die Absicherung durch Passwörter eigentlich ist.

Anzeige

Das Passwort steht schon länger in der Kritik. Es sei „das schlechteste Authentifizierungsverfahren, das wir haben“, sagt Arno Wacker, Professor für angewandte Informationssicherheit an der Uni Kassel. „Aber es ist nun mal das einfachste und billigste – deswegen wird es weiter eingesetzt.“ Dabei spielt die Zeit gegen das Verfahren. Denn Hacker finden immer effizientere Methoden, um Passwörter zu knacken. Wir erklären, wie Nutzer sich damit arrangieren können.

Riskantes „dadada“

E-Mails, soziale Netzwerke, PC, Kreditkarte, und und und: Der normalvernetzte Mensch muss sind mindestens ein halbes Dutzend Passwörter und Codes merken, wenn nicht deutlich mehr. Das macht vielen zu schaffen. Nach einer Umfrage des Hightech-Verbands Bitkom fühlt sich jeder Dritte (36 Prozent) mit der großen Menge an Passwörter überfordert.

Um damit klarzukommen, setzen viele Nutzer auf eine riskante Vereinfachung: Zum einen verwenden sie ihre Zugangsdaten mehrfach. Wenn Cyberkriminelle diese erbeuten, haben es sie leicht, auch in andere Websites einzudringen – etwa beim Online-Händler Amazon oder dem Netzwerk Facebook.

Zum anderen verwenden sie einfache Zeichenketten: Das beliebteste Passwort der Welt lautet „123456“, gefolgt von „password“ und „qwerty“, nach der Abfolge der Buchstaben auf der englischen Tastatur. Dass selbst Facebook-Chef Mark Zuckerberg den Begriff „dadada“ für sicher genug hielt, um seine Nutzerkonten bei Twitter und Pinterest abzusichern, macht nicht gerade Hoffnung für den Durchschnittsnutzer.

Das mag zwar einige Zeit gut gehen, wie der Fall Zuckerberg zeigt. Doch sobald Hacker wie bei Yahoo persönliche Daten kopieren, werden einfache Passwörter zum Problem. Selbst, wenn diese verschlüsselt sind. Warum das so ist, lesen Sie auf der nächsten Seite.


Der Dietrich aus dem Netz

Es klingt halbwegs beruhigend, was Yahoo in seiner E-Mail an die Nutzer schreibt: Unter den gestohlenen Informationen seien keine „ungeschützten Passwörter“ – diese Daten sind also nicht im Klartext vermerkt, sondern unkenntlich gemacht. Was der Konzern verschweigt: Auch derart verschlüsselte Daten lassen sich rekonstruieren, wenn die Hacker nur ausreichend Zeit und Ressourcen haben.

Die von Yahoo eingesetzte Technik ist heute Standard. Experten bezeichnen sie als Hash, englisch für zerhacken. Das Passwort wird dabei mit einem mathematischen Verfahren in eine lange Buchstaben- und Zahlenkette umgerechnet – wenn Nutzer sich anmelden, überprüft der Anbieter lediglich, ob ihre Zugangsdaten denselben Code produzieren. Ein Beispiel: Der Algorithmus MD5 zerhäckselt das Passwort „123456“ zum Hash-Wert „e10adc3949ba59abbe56e057f20f883e“.

Doch auch so eine Verschlüsselung lässt sich knacken. Denn mit einer Kopie der Datenbank können die Einbrecher in Ruhe Millionen von Varianten ausprobieren: Sie verschlüsseln die Passwörter mit demselben Verfahren wie der Internetdienst – stimmt das Ergebnis mit dem Hash-Wert in der Datenbank überein, haben sie den Schlüssel in der Hand.

„Die professionellen Gruppen haben in der Regel einen Pool von Rechnern, auf denen sie die viele Anfragen parallel laufen lassen“, sagt Arno Wacker von der Universität Kassel. Dabei setzen sie – quasi als intelligenten Dietrich –Programme wie „John the Ripper“ ein. Die Software gibt zunächst typische Passwörter wie „123456“ und „password“ ein, dann versucht sie es mit Begriffen aus dem Wörterbuch und wandelt sie leicht ab. Mit der Zeit probiert sie immer komplexere Kombinationen. „Das ist ein Massenangriff, der auf die schwächsten Glieder der Kette zielt“, sagt Wacker.

Die Erfolgsquote hängt von der Verschlüsselungstechnik ab. Das Hash-Verfahren Bcrypt, das Yahoo nach eigenen Angaben überwiegend eingesetzt hat, gilt unter Experten als vergleichsweise sicher – um ein komplexes Passwort zu rekonstruieren, müssen die Angreifer einen deutlich höheren Rechenaufwand betreiben als bei älteren Verfahren wie MD5. Das hilft allerdings nicht, wenn Nutzer einfache Passwörter wie „123456“ oder „Mama“ verwenden: Diese erkennt die Software binnen Minuten.

Ihr Wissen über die Marotten der Menschen verfeinern die Angreifer mit jedem Datensatz. „Sie nutzen aus, dass die Menschen bei Passwörtern gewisse Schemata verwenden“, sagt Thorsten Holz, Professor für Systemsicherheit an der Ruhr-Universität Bochum. So lasse sich ablesen, nach welchen Mechanismen Nutzer ihre Passwörter wählen, womöglich in Abhängigkeit von den Regeln, die der Onlinedienst dafür vorgibt. „Man kommt weg vom naiven Raten.“ Das gilt auch für den aktuellen Fall: 500 Millionen Datensätze bieten eine Menge Lernstoff.


SMS und Fingerabdruck als Zusatzschutz

Der Hackerangriff auf Yahoo zeigt einmal mehr: Der Schutz mit E-Mail-Adresse und Passwort lässt sich leicht aushebeln. Längst bieten Gerätehersteller und Online-Dienste daher zusätzliche Absicherungen an. Dabei helfen SMS mit Codes genauso wie Fingerabdruck- und Irisscanner.

Erstere sind Mittel für die sogenannte Zwei-Faktor-Authentifizierung: Zum Passwort tritt ein zweiter Faktor, der die Sicherheit gewährleisten soll. Das kann etwa ein Code sein, den Nutzer per SMS erhalten oder auf einer App ablesen können. Oder ein kleiner Stecker, der an die USB-Schnittstelle angeschlossen wird und damit den Nutzer zusätzlich identifiziert.

Das Konzept ist schon Jahrzehnte alt und von Bankgeschäften hinlänglich bekannt – wer am Automaten Geld abholt, muss sowohl die Bankkarte besitzen als auch den Code kennen. Dass es sich erst jetzt auch bei Internetdiensten durchsetzt, hat nach Ansicht von Arno Wacker mit der Verbreitung von mobilen Geräten zu tun. „Früher brauchte man für das Verfahren zusätzliche Hardware wie eine Smartcard“, sagt der Informatiker. „Heute kann man davon ausgehen, dass jeder ein Smartphone hat.“ Damit sei das Verfahren einfach und erschwinglich geworden.

Da das E-Mail-Konto der Zentralschlüssel zum digitalen Leben ist, sollten Nutzer es unbedingt doppelt absichern. Auch Yahoo weist nach dem Hackerangriff auf diesen Mechanismus hin. Bei vielen anderen Diensten ist es ebenfalls überlegenswert, etwa Apples iCloud, in der viele Nutzer private Daten wie Fotos speichern.

Bequem, aber nicht sehr sicher

Ein anderes Mittel zur Absicherung ist der eigene Körper. Ob per Fingerabdruck oder Irisscan: Zur Absicherung von Smartphones und PCs kommen immer häufiger biometrische Verfahren zum Einsatz. Apple setzte 2013 mit der TouchID-Technologie den Trend, inzwischen haben selbst Mittelklassetelefone einen Sensor. Und mit Windows 10 bietet Microsoft eine Technik zur Entsperrung des Gerätes per Fingerabdruck-, Gesichts- oder Iriserkennung, die allerdings aktuelle Hardware braucht.


Viele Nutzer sperren ihr Smartphone gar nicht

Aufgrund der Geschwindigkeit seien diese Verfahren nutzerfreundlich, urteilt IT-Sicherheitsexperte Thorsten Holz von der Ruhr-Universität Bochum. Allerdings gebe es ein grundsätzliches Problem: „Man kann dieses Passwort nicht ändern.“ Die Struktur des Fingerabdrucks oder der Iris bleibt ein Leben lang gleich. Wenn Hacker sich darauf Zugriff verschaffen, ist Biometrie nicht mehr sicher, betont der Professor für Systemsicherheit.

Dass die Sensoren sich überwinden lassen, haben Fachleute mehrfach demonstriert, unter anderem 2013 Hacker des Chaos Computer Clubs (CCC): Sie fotografierten einen Fingerabdruck von einer Glasoberfläche ab und imitierten ihn mit Holzleim – das reichte, um das iPhone 5s zu überwinden. Dafür ist es noch nicht einmal nötig, das Glas selbst in die Hand zu bekommen, eine gängige Digitalkamera reicht dafür aus.

„Biometrie bedeutet mehr Bequemlichkeit, nicht mehr Sicherheit“, sagt Arno Wacker von der Uni Kassel. Trotzdem sei die biometrische Absicherung sinnvoll – als zusätzlicher Schutz. Denn zahlreiche Nutzer sperren ihr Smartphone überhaupt nicht. Sein Fazit: „Gegen den Gelegenheitsdieb hilft der Fingerabdrucksensor, gegen die NSA vermutlich nicht.“ Immerhin.

Eine Mischung aus verschiedenen Faktoren will Google einsetzen, um auf Geräten mit dem eigenen Betriebssystem Android Passwörter ganz zu ersetzen. Dazu zählen der Aufenthaltsort, Gesichtserkennung und typische Verhaltensweisen beim Tippen – daraus errechnet die Software einen Vertrauenswert. Biometrie kommt dabei also zum Einsatz, aber nicht allein. App-Entwickler sollen bis Jahresende auf die Trust API genannte Technologie zugreifen können.

Quelle:  Handelsblatt Online
Anzeige
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%