Passwortsicherheit? Am Arsch.

Geschrieben von kingalca am 11. September 2013
Dieser Post ist über ein Jahr alt. Eventuell haben sich die Details mittlerweile geändert, oder Links sind nicht mehr verfügbar.

Passwortsicherheit? Am Arsch.

Seit einiger Zeit beschäftige ich mich mit Passwortlängen und -verschlüsselungsmechanismen. Speziell geht es um ein Rainbowtable, dass mit relevanten Phrasen gefüllt werden soll, um die Table möglichst klein zu halten.

Die Theorie dahinter ist, dass ein Nutzer sein Passwort in ein Feld eingibt, welches dann die Phrase in einen bspw. MD5-Hash umwandelt, oder eben einen SHA1, SHA256 oder SHA512. Oder oder oder.

Vor ein paar Jahren wurden @live.com/de/bla-Accounts gehackt und die Datenbank veröffentlicht. Ein Auszug aus einem Blog:

An anonymous user posted usernames and passwords for over 10,000 Windows Live Hotmail accounts to web site PasteBin. PasteBin is currently down for maintenance but I managed to get a copy of the list and quickly generated some statistics from these passwords. First, my impression is that these passwords have been gathered using phishing kits. Even more, I think it was a badly designed phishing kit, one that didn’t further authenticated the users to the Hotmail/Live website. I think it just returned an error message after grabbing the credentials. I’m saying that because some of the passwords are repeated once or twice (sometimes with different capitalization). The users didn’t understand what happened and entered the same password again and again trying to login.
Es gab verschiedene Auswertungen zu dieser Statistik, die für spätere forensische Untersuchungen durchaus interessant sind. Beispielsweiße konnte man aus der Auswertung erkennen, dass nur die wenigsten Leute Passwörter mit Groß- UND Kleinbuchstaben verwenden.
Häufig heißt das Passwort einfach „iloveyou“ statt dem sichereren „ILoveYou“. Oder „ILoveYou%2“.
Die Statistik zu dieser Liste:

  • die Liste hatte ursprünglich 10,028 Einträge.
  • in der Liste befinden sich 8931 (90%) unique Passwörter.
  • das längste Passwort war 30 Zeichen lang: lafaroleratropezoooooooooooooo.
  • das kürzeste Passwort war 1 Zeichen lang : )

Die am häufigsten genutzten Passwörter:

  1. 123456 – 64
  2. 123456789 – 18
  3. alejandra – 11
  4. 111111 – 10
  5. alberto – 9
  6. tequiero – 9
  7. alejandro – 9
  8. 12345678 – 9
  9. 1234567 – 8
  10. estrella – 7
  11. iloveyou  – 7
  12. daniel  – 7
  13. 000000  – 7
  14. roberto  – 7
  15. 654321  – 6
  16. bonita  – 6
  17. sebastian  – 6
  18. beatriz  – 6
  19. mariposa  – 5
  20. america  – 5

Interessant ist auch die unterschiedliche Länge der Passwörter, die an einer Stelle sich summieren (ab 6 Chars) und sich kurz danach wieder auf ein Minimum drückt:

  • 1 chars – 2 – 0 %
  • 2 chars – 4 – 0 %
  • 3 chars – 4 – 0 %
  • 4 chars – 31 – 0 %
  • 5 chars – 49 – 1 %
  • 6 chars – 1946 – 22 %
  • 7 chars – 1254 – 14 %
  • 8 chars – 1838 – 21 %
  • 9 chars – 1091 – 12 %
  • 10 chars – 772 – 9 %
  • 11 chars – 527 – 6 %
  • 12 chars – 431 – 5 %
  • 13 chars – 290 – 3 %
  • 14 chars – 219 – 2 %
  • 15 chars – 157 – 2 %
  • 16 chars – 190 – 2 %
  • 17 chars – 56 – 1 %
  • 18 chars – 17 – 0 %
  • 19 chars – 7 – 0 %
  • 20 chars – 14 – 0 %
  • 21 chars – 10 – 0 %
  • 22 chars – 8 – 0 %
  • 23 chars – 3 – 0 %
  • 24 chars – 3 – 0 %
  • 25 chars – 3 – 0 %
  • 26 chars – 0 – 0 %
  • 27 chars – 3 – 0 %
  • 28 chars – 0 – 0 %
  • 29 chars – 1 – 0 %
  • 30 chars – 1 – 0 %

Wie man sehen kann haben die meisten Passwörter 6 – 9 Buchstaben.

Welche Passworttypen waren in der Liste vorhanden?

  • 3,713 = 42 %; Kleinbuchstaben von a bis z, sonst nichts.
    Example : iloveyou
  • 291 = 3 %; Gemischte Groß- und Kleinschreibung: Passwörter bestehen aus a – z und A – Z
    Example: ILoveYou
  • 1707 = 19 %; nur nummerische Passwörter, also 0 – 9.
    Example: 123456
  • 2655 = 30 %; gemischte Groß- und Kleinschreibung INKLUSIVE Zahlen.
    Example: Iloveyou12
  • 565 = 6 %; komplett gemischt: Sonderzeichen, Groß- und Kleinzeichen, Zahlen.
    Example: 1Love You$%@

Wie man also erkennen kann haben die allermeisten Otto-Normal-Nutzer unsichere Passwörter, im 6-9 Stelligen Charakterbereich. 42% davon nutzen eh nur Kleinbuchstaben, danach kommen schon die mit Groß- und Kleinschreibung inklusive Zahlen.

Für die Überlegung wie oben beschrieben ist das insofern interessant, da man keine Rechenleistung auf Alphanumerische Passwörter legen muss, die 30 und mehr Zeichen haben: die Wahrscheinlichkeit ein solches Passwort cracken zu müssen ist dermaßen gering, dass es sich schlicht und ergreifend nicht lohnt.