Zunächst mal ein Lob an die IT Abteilung in unserem Unternehmen: Regelmäßig gibt es leicht verdauliche Infobytes rund um Cyber Risiken und Best Practices für mehr Cyber Resilienz. Dahinter steckt eine Strategie zum Awareness Building: Statt einer umfangreichen Schulung (deren Inhalte nach 3 Wochen im Alltagsgeschäft aus den Augen und aus dem Sinn fallen) bekommen Mitarbeiter*innen kontinuierlich Infos, die das Thema im Bewusstsein halten.

In der letzten Mail ein paar spannende Zahlen, die sehr eindrücklich die Dynamik exponentieller Mathematik verdeutlichen: Wie hängen Passwortkomplexität und Zeitbedarf zum Hacken eines Passworts zusammen? Nachfolgende Tabelle zeigt die benötigte Zeit eines Hackers, um ein Passwort zu knacken – und zwar in Abhängigkeit der Komplexität eben dieses Passworts:

Man kann ja kaum oft genug auf die Bedeutung komplexer Passwörter hinweisen. Und wenn es nicht so ernst wäre, könnte man die TOP20 der meistverwendeten Passwörter durchaus amüsant finden. Nachfolgend die Charts der meistverwendeten Passwörter von www.hartware.de:

#1: 123456
#2: 123456789
#3: 12345678
#4: password
#5: 1234567
#6: 123123
#7: 1234567890
#8: 111111
#9: abc123
#10: 00000
#11: dragon
#12: iloveyou
#13: password1
#14: monkey
#15: target123
#16: 1q2w3e4r
#17: qwerty123
#18: zag12wsx
#19: tinkle
#20: qwerty

Es lohnt übrigens auch ein Blick auf die Webseite des obersten Hüters der Informationssicherheit in Deutschland, dem BSI (Bundesamt für Sicherheit in der Informationstechnik). Zur Webseite: www.bsi.bund.de. Hier findet man eine Reihe von praktischen Tipps („Wie kann man sich komplexe Passwörter merken?“, „Wann soll man Passwörter ändern?“).

Und auf der Seite des BSI findet sich auch der Hinweis auf Passwortverwaltungsprogramme. Bei der wachsenden Anzahl an genutzter Software und Apps im Grunde ein Must-have. Ich selbst verwalte inzwischen in meinem Programm ca. 100 Passwörter für verschiedene Apps, Webseiten undsoweiter. Alle unterschiedlich natürlich. Wenn ein Hacker die alle knacken wollte, bräuchte er/sie rund 900 000 000 Mio. Jahre. Good luck!

P.S.: Security-Spezialist Peter Rost, secunet (Zum LinkedIn-Profil) hat mir netterweise noch folgende Ergänzung zukommen lassen: „Rainbow tables have been obsoleted by a technology called salt injection. But still, instead of brute-force attacks that may enumerate alphanumeric passwords systematically for millions of years, more intelligent attacks are in use now. Very straightforward one: try all previously leaked passwords of the world (dictionary attack). Preferably ordered by their popularity. You’ll be done within milliseconds for half of all accounts. More sophisticated: have an AI learn password-building rules from previously leaked passwords. You’ll be able to generate variations that are likely to be chosen by humans that have – over and over – been asked to select a new password after 90days.

P.P.S.: Wer den Rainbow-Table übrigens etwas bunter haben möchte, der findet auf der Seite www.ghacks.net folgende Graphik:

Author

Der Autor ist Manager in der Softwareindustrie mit internationaler Expertise: Prokurist bei einem der großen Beratungshäuser - Verantwortung für den Aufbau eines IT Entwicklungszentrums am Offshore-Standort Bangalore - Director M&A bei einem Softwarehaus in Berlin.