Welche Passwörter nutzen User? Wie sicher sind diese?
Bei den meisten Internet-Nutzern ist die Grundregel “Immer, zusätzlich zu den Buchstaben, Zahlen nutzen…” angekommen. Das befolgen die meisten pflichtbewusst. Leider wird oft nicht erwähnt, dass ein Passwort nicht unbedingt sicherer wird, wenn man sein Geburtsdatum an den Namen des Hundes anhängt. “wuffi1980” ist eben nur bedingt sicherer als “wuffi”. Auch wenn einem diverse Portale da etwas anderes erzählen wollen:
Warum ist das so? User kombinieren bekannte Daten und erstellen so ihre Passwörter. Cracker wissen das und können so die eigenen Wortlisten optimieren. So könnte ein Angreifer versuchen per Social Engineering Daten eines Users herauszufinden und diese mit in seine Wortliste einfließen lassen. Das war einmal…
Inzwischen sind wir ja im Web 2.0 angekommen und jeder der nicht mindestens einen Account bei StudiVZ oder Konsorten hat, wird schräg angeschaut. Nur wo liegt hier die Gefahr? Eigentlich ist das ziemlich offensichtlich. Bei sozialen Netzwerken geht ja im Grunde ja darum, sich selbst seinen Freunden und denen die es gerne werden wollen, möglichst genau zu präsentieren. Dazu werden viele persönliche Daten, die im Grunde nicht sehr “wertvoll” erscheinen, veröffentlicht. (inwiefern diese für Werbezwecke doch wertvoll sein können, lassen wir außen vor).
Ein Angreifer könnte jetzt genau diese Informationen gezielt nutzen um eine “soziale Wortliste” zu erstellen. In Kombination mit der vorher erwähnten Fahrlässigkeit bei der Auswahl der Passwörter entsteht hier, vor allem bei einem gezielten Angriff, ein großes Potential für den Angreifer.
Konkret: Die hier links angezeigten Daten könnte ein Angreifer gezielt auswerten und speichern. Per Skript könnte man anschließend die diversen Daten beliebig kombinieren und in eine Wortliste schreiben:
- $heimatstadt
- $geburtsdarum_ohne_punkte
- $vorname$geburtsjahr_yy
- $vorname$geburtsjahr_yyyy
- $sternzeichen$geburtsjahr
- $fußballverein
- $geburtstag_ddmm$
- …
Klar, bei den Daten hier links muss es natürlich nicht bleiben. StudiVZ z.B. bietet die Möglichkeit Gruppen beizutreten – analysiert man diese, lassen sich die $variablen beliebig erweitern. Mit einer “schlauen” Software lassen sich hier mit Sicherheit viele potenzielle Passwörter herausfinden und so die Chance das richtige Passwort zu erraten erheblich steigern.
Vielleicht lassen sich ja einige User hinreißen und schicken mir, per Mail oder hier als Kommentar, ihre Erfahrungen mit schwachen Passwörtern. Hätte sich dieses Passwort durch geschickte Kombination der $variablen herausfinden lassen?
Meine Erfahrung jedenfalls sagt mir, dass man eine deutlich höhere Chance hätte, als mit einer alten Standard-Wortliste. Vor allem bei gut gefüllten StudiVZ-Profilen…
PS. StudiVZ soll nur ein Beispiel sein. Das gilt natürlich für jedes soziale Netzwerk.