Die Psychologie bei der Passwortvergabe
Bruteforce-Attacken sind häufig erlebte Angriffe, die neben finanziellem Schaden auch große Reputationsschäden hervorrufen können. Wer früher vielleicht noch unter dem Radar schwamm, der hat heute mit Angriffen unterschiedlichster Art zu rechnen. Längst sind Kriminelle nicht mehr nur hinter den großen Unternehmen her, sondern nutzen die Angriffsflächen eines jeden Unternehmens aus. Es gilt sich zu wappnen.
Bei Bruteforce Attacken wird versucht über unterschiedliche Nutzername-Passwort-Kombinationen Zugriff auf ein Konto zu bekommen. Wie als dreht jemand solange am Rädchen eines Zahlenschlosses, und versucht die unterschiedlichsten Zahlenkombinationen aus, bis das Zahlenschloss geknackt ist.
Wohingegen beim Zahlenschloss manuell an den Rädchen gedreht wird, leistet bei einem Bruteforce-Angriff der Rechner ganze Arbeit. Mit mehr als 10.000 Passwortkombinationen pro Sekunde kann der Angreifer die Login-Maske beschießen und einen sogenannten Account-Takeover versuchen.
Die Logik hinter der Passwortstärke
Bei einem Passwort bestehend aus 6 Kleinbuchstaben des deutschen Alphabets ergibt 308.915.776 Möglichkeiten.
Berechnet wird das, indem die in Frage kommenden Buchstaben des Alphabets, ohne äöü und ß, was bei dann 26 Stück sind, hoch 6 ermittelt werden. 6 entspricht der Länge des Passworts.
Geht man nun von 1000 Versuchen pro Sekunde aus, ist in spätestens 3,5 Tagen das Passwort erraten.
Verbessert sollte das durch Passwortrichtlinien oder Passwort Policies werden, die dann besagen, es werden 12 Zeichen benötigt, es müssen Groß- und Kleinbuchstaben enthalten sein und ein Sonderzeichen soll verwendet werden.
Dadurch erhöht sich die Anzahl an möglichen Zeichen von 26 auf 72. Der Exponent wird von 6 auf 12 angehoben, sodass 19.408.409.961.765.342.806.016 Passworte in Frage kommen. Damit wäre eine Angriffsversuch schon bei 615.436.642.623 Jahren angekommen.
Ein Ergebnis das sich sehen lassen kann.
Warum sind Bruteforce-Attacken trotz Passwortrichtlinien nicht klein zu kriegen
In der IT würde man sagen ein Layer 8 Problem – damit ist der Mensch vor dem Bildschirm gemeint .
Die Evolution des Menschen ist beeindruckend, so dass wir heute von dem modernen Menschen sprechen. Leider haben wir heute trotzdem ein großes Problem mit dem Merken von Passwörtern.
Die Annahme hinter dem vielen verschiedenen Passwortkombinationen und dem Lösungsraum ist, dass tatsächlich eine zufällige Kombination der Zeichen ausgewählt wird.
Faktor Mensch: Die Psychologie bei der Passwortvergabe und des Passwortmerkens
Um das Leben etwas einfacher zu machen, tendieren wir zu Mustern und wenden auf unsere Passwörter eine Logik an. Diese Logiken sind abbildbar. Der Lösungsraum schrumpft damit erheblich, da verschiedene Wahrscheinlichkeiten auf die Kombinationen angewendet werden. Beispielsweise wird der Duden hergenommen und ein E zu einer 3 umgewandelt, hinten Kombinationen aus Sonderzeichen und Zahlen angehängt.
Noch einfacher wird es, wenn Passwortrichtlinien nicht so stark ausgelegt werden und vor allem, dann wenn Nutzer die gleichen Passwörter verwenden oder eines der beliebtesten Passwörter auswählt. Zum Letzteren gibt es viele Listen und Statistiken, die belegen, dass Passwörter wie 123456 auf manchen Plattformen noch bis zu 10% der Nutzer dieses oder ein vergleichbares benutzen.
Damit ist es einem Hacker sehr leicht möglich, Zutritt zu Konten zu bekommen. Es wurden noch einige weitere Muster in der Verhaltensweise bei der Passwortvergabe und des Passwortmerkens erkannt. Verschiedene psychologische Studien handeln von diesen Themen, die unter anderem auch einen Zusammenhang zur natürlichen Sprache erkannten. Konkret beseht der Zusammenhang darin, welche Buchstaben in der Regel bzw. sehr häufig aufeinander folgen. Diese Häufigkeit, welcher Buchstabe auf einen anderen Buchstaben folgt, sind bekannt als Bigramme. Die TU Freiberg veröffentliche hierzu eine Statistik, die die zehn häufigsten Doppelbuchstaben, die achtzehn häufigsten Bigramme, zu denen im Deutschen ER, EN und CH als Top Drei Anwärter zählen, und auch weitere Analysen zum Englischen Sprachgebrauch darstellt.