Auswertung rockyou.com Hack – Wie sicher ist mein Passwort?
Viele unbedarfte Internetbenutzer nutzen über Jahre hinweg das gleiche Passwort auf allen möglichen Internetportalen. unabhängig davon ob sie dort noch aktiv sind oder nicht. Oftmals sind bei den Portalen auch die aktuellen E-Mail Adressen eingerichtet und niemanden kümmert es, was mit seinen Daten oder dem Internetauftritt weiter geschieht. Am Beispiel des RockYou.com Hacks möchte ich prüfen, ob und wie einfach Passwörter gestrickt sind. Ist ihr Passwort wirklich sicher? Was kann man unternehmen um seine Accounts zu schützen?
[ad#co-1]
Ich muss zugeben, dass ich die Seite RockYou.com bis vor wenigen Tagen noch gar nicht kannte. RockYou.com ist eine Social Application Plattform, wenn ich es richtig verstanden habe, bei der man widgets irgendwo einbinden kann und vorallen englischsprachige Nutzer hat. Der Hack selbst ist zwar schon am 15.12.2009 durchgeführt worden und wurde unter http://igigi.baywords.com/rockyou-com-exposed-more-than-32-millions-of-passwords-in-plaintext/ veröffenlicht (mittlererweile ist der Blog gesperrt). Angriffe durch Hacker sind ja bekanntlich nie böse, sondern sie wollen Schwachstellen in Systemen aufzeigen. Bei diesem Hack wurde eine SQL-Injection verwendet und es wurden danach alle Passwörter, jedoch ohne irgendwelche weiteren Informationen wie Username, E-Mail Adresse oder sonstiges veröffentlicht.
Ich dachte mir was gibt es schöneres als eine kleine Analyse von 32 Millionen Passwörtern, die zeigt wie Passwörter oftmals aufgebaut sind und vielleicht verdeutlicht, dass man sorgfältig bei der Wahl und Verwendung seiner Passwörter sein sollte.
Die Passwortdatei selbst ist einfach aufgebaut : In jeder Zeile befindet sich ein Passwort.
Ich habe für meine Untersuchung 4 Zeichenklassen definiert um herauszufinden welche Zeichenklassen oft verwendet werden.
Die 4 Zeichenklassen sind :
- Alle Kleinbuchstaben [a..z]
- Alle Großbuchstaben [A..Z]
- Alle Ziffern [0..9]
- Alle sonstigen Zeichen
Zudem habe ich die Länge der Passwörter analysiert und die Passwörter nach Anzahl ihrer Verwendung sortiert.
Insgesamt haben wir also 32603388 Passwörter, die Verteilung der Länge sieht wie folgt aus :
Wie man sehen kann machen die 6 bis 8 stelligen Passwörter über 50% aus, wenn man die 9 stelligen noch dazu nimmt kann man sogar mit dieser Länge über 75% aller Passwörter identifiziern.
Interssant wird dies nun wenn man die einzelnen Längen mit den Zeichenklassen vergleicht, schließlich sind die Zeichenklassen ausschlaggebend wieviele Möglichkeiten es gibt. Wenn man nur Ziffern verwendet exisiteren bei einem 6 Stelligen Passwort 10^6 Möglichkeiten, wenn man nur Kleinbuchstaben verwendet 26^6 Möglichkeiten und wenn man Groß-, Kleinbuchstaben und sogar Ziffern verwendet sind es schon 62^6 mögliche Kombinationen.
Das Problem dabei ist, man müsste dies natürlich auch so mischen, schauen wie einmal wie das Verhältnis von Passwörtern mit einer Länge 6 und einmal mit der Länge 8 mit den Zeichenklassen aussieht.
Bei eine Passwortlänge von 6 Zeichen vertrauen knappe 25% auf eins von 1000000 Passwörten und fast 50% auf eins von 308915776 Möglichkeiten.
Bei 8 Zeichen erkennt man schon, dass diese schwieriger werden zu Knacken, die Verteilung der komplexeren Passwörter steigt, jedoch vertrauen noch immer knapp 50% reinen Ziffern oder Kleinbuchstabenkombinationen.
Bei Rockyou.com waren von den 32 Millionen Passwörtern 14343760 unterschiedlich! Interessant dabei ist die Liste der am häufigsten verwendeten :
- Platz 1 : 123456 mit 290731 Vorkommnissen
- Platz 2 : 12345 mit 79078 Vorkommnissen
- Platz 3 : 123456789 mit 76790 Erwähnungen
- Platz 4 : password mit 59463 Nutzern
- Platz 8 : rockyou mit 20903 Nennungen
Das sind in meinen Augen schon sehr interessante Erkenntnisse. Wir wissen, wenn wir uns die Liste weiter anschauen, dass ein Großteil der TOP 500 Passwörter direkt logisch mit dem Nutzer oder physikalisch an der Tastatur miteinander verbunden sein. In den TOP 100 werden viele Vornamen wie vanessa, andrew, andrea usw genutzt, es werden Stars und Hobbys wie football, computer, basketball, eminem, spongbob, naruto genannt und es exisiteren eine Vielzahl von leicht eingebbaren Passwörtern wie qwertz, abc123 und so weiter. Extrem überrascht hat mich, dass das Passwort, das idenitsch mit der Seite ist schon Platz 8 belegt.
Die meisten werden sich nun natürlich denken, dass eins aus 300 Millionen Passwörtern ausreichen sollte, wenn man jedoch bedenkt, dass die Seite vielleicht gar nciht merh aktiv genutzt wird und ein Angreifer beliebig viele Anfragen an den Server senden kann ohne dass es jemanden auffällt ist diese Zahl schon bedenklich gering.
Auf was sollte man also achten wenn man ein Passwort wählt :
- Auf jeder Internetseite ein anderes Passwort verwenden
- Mindestens 8 Zeichen sollte das Passwort haben
- Nutzen sie aus jeder der gezeigten Zeichenklassen mindestens ein Zeichen
Wenn Sie diese einfachen Regeln beachten sollten Ihre Account immer einen guten Schutz gegen Fremde bieten.
Kommentare
Keine Kommentare
Kommentiere diesen Artikel als erstes!