Weitere Artikel
IT-Sicherheit

Durch richtige Grammatik werden Passwörter unsicher

Passwörter mit weniger als acht Zeichen sind unsicher, das sollte jedem Internetnutzer bekannt sein. Deshalb raten Sicherheitsexperten zu deutlich längeren Passwörter. Folgen diese aber grammatikalischen Regeln, sind sie für Angreifer ebenfalls leichter zu knacken. Dies haben Ashwini Rao und ihr Team von der Carnegie Mellon University nun mit einem eigens entwickelten Grammatik-sensitiven Crack-Algorithmus bewiesen.

"Wir sollten uns nicht blind auf die Zahl der Wörter oder Zeichen als Maß für die Stärke eines Passworts verlassen", betont die Informatik-Doktorandin Ashwini Rao. Denn lange Passwörter sind oft praktisch kurze Sätze, da sich User das leichter merken können als willkürliche Zeichenketten.

Gute Grammatik ist schlecht

Das Team hat seinen Knack-Algorithmus an 1.434 Passwörtern mit 16 oder mehr Zeichen getestet und konnte zeigen, dass er bei Passwörtern mit grammatikalischen Strukturen besser abschneidet als andere modernste Knack-Lösungen. Bei zehn Prozent des Datensatzes habe nur der neue Algorithmus mit dem Knacken Erfolg gehabt.

Das liegt daran, dass er sich Regeln der Grammatik zunutze gemacht hat und satzähnliche Passwörter praktisch in ihre Teile zerlegt, wenn sie gängigen Strukturen wie "Fürwort-Verb-Adjektiv-Hauptwort" folgen. Dann spielt die Zahl der Worte und Zeichen für die Sicherheit eines Passworts eigentlich keine Rolle, so das Team.

Ein Beispiel dafür ist, dass die auf den ersten Blick dank Zeichensubstitutionen und der Verwendung von Sonderzeichen eigentlich gut wirkende Phrase "Th3r3 can only b3 #1!" sich als extrem leicht zu erraten erwiesen hat. Sogar der leichter als solcher zu erkennende Satz "Superman is $uper str0ng!" ist den Berechnungen des Teams zufolge als Passwort 10.000 Mal stärker.

Zudem warnt Rao, dass Phrasen mit vielen Fürwörtern sehr leicht zu erraten sind. Es gibt nämlich nur wenige Pronomen, sie sind als mit einem passenden Wörterbuch schnell gefunden. Mehr Details wird die Informatikerin im Februar auf der Conference on Data and Application Security and Privacy präsentieren.

Die Praxis ist noch schlimmer

Auf den Online-Alltag dürfte die neue Erkenntnis kaum Auswirkungen haben, da sich User auf lange Passwörter ohnehin kaum einlassen.

"Realweltliche Statistiken aus Breaches zeigen, dass Passwörter meistens maximal acht Zeichen lang sind und oftmals bei mehreren Diensten benutzt werden", betont Marco Preuß, Head of Global Research and Analysis Team, DACH, bei Kaspersky.

Grammatik spielt also bei echten Passwörtern meist gar keine Rolle, da es sich nur um ein Wort oder eine triviale Zeichenkette handelt.

So waren dem Passwort-Management-Spezialisten SplashData zufolge 2012 die beiden gängigsten Passwörter "password" und "123456". Zwar enthalten die SplashDate-Top-25 auch einige Kurzsätze wie "letmein", die aber ohnehin mit acht oder weniger Zeichen zu kurz sind.

"Derartige Kombinationen sind aufgrund aktueller GPU-Leistung mit entsprechenden Tools schnell zu knacken", erklärt Preuß.

User müssen also erst einmal anfangen, überhaupt in nennenswertem Ausmaß lange (16 Zeichen oder mehr) und komplexe Passwörter nutzen, ehe die Frage der Grammtik wirklich breitenrelevant wird.

(Redaktion)


 


 

Ashwini Rao
IT-Sicherheit
Passwort
Hacker
Passwortschutz
Grammatik
Marco Preuß
Kaspersky

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "Ashwini Rao" - jetzt Suche starten:

Kommentar abgeben

Bei einer Antwort möchte ich per E-Mail benachrichtigt werden

 
 

 

Entdecken Sie business-on.de: