Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Cyber-Security - Adlas - Magazin für Sicherheitspolitik
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
PERSÖNLICHE SICHERHEIT<br />
Mit Grafikkarten und<br />
roher Gewalt Passwörter knacken<br />
Prozessor ganze 23 Jahre, um alle 7,2 Billiarden (10 15 ) Kombinationen durchzuprobieren.<br />
Achtstellige Passwörter mit Groß- und Kleinbuchstaben, Zahlen<br />
und Sonderzeichen galten daher bislang als relativ sicher.<br />
Das hat sich geändert, da heutige Hochleistungsgrafikkarten die für<br />
»Brute-Force«-Attacken notwendigen Berechnungen drastisch schneller abwickeln<br />
können als Hauptprozessoren. So schafft eine ältere Grafikkarte des<br />
Typs »Radeon 6770«, derzeit erhältlich für unter 100 Euro, schon fast 200<br />
Millionen Versuche pro Sekunde – und knackt »Inge196%« damit in etwas<br />
mehr als einem Jahr. Investiert man rund 800 Euro in das Topmodell dieser<br />
älteren Reihe, die »Radeon 6990«, so liegt das Passwort bei 772 Millionen<br />
Versuchen pro Sekunde bereits nach 107 Tagen offen.<br />
Eine Eigenart der neueren Grafikkarten ist zudem, dass man mehrere<br />
Exemplare in Reihe schalten kann. Während Computerspieleenthusiasten<br />
diese Möglichkeit gerne dazu nutzen, noch mehr Grafikleistung zu erzielen,<br />
brechen Hacker und »Penetration-testing«-Spezialisten Passwörter so noch<br />
ten. Damit fehlt ihnen zwar die Flexibilität des Hauptprozessors, aber in<br />
dem, was sie tun, sind die Grafikchips hunderte Male schneller als der Computerkern.<br />
Genau das macht sie so interessant für Menschen, die fremde<br />
Passwörter mit so genannten »Brute force«-Attacken entschlüsseln wollen.<br />
Die etwas martialische Bezeichnung – »brute force« bedeutet wörtlich<br />
»rohe Gewalt« – rührt daher, dass hier wenig Finesse im Spiel ist. Eine entsprechende<br />
Software probiert einfach so lange alle möglichen Passwortkombinationen<br />
durch, bis die richtige gefunden ist. Theoretisch kann mit dieser<br />
simpel-brutalen Methode jedes Passwort irgendwann geknackt werden. Je<br />
länger und komplexer das angegriffene Codewort ist, desto mehr mögliche<br />
Varianten müssen allerdings durchprobiert werden und desto länger dauert<br />
folglich die Suche nach der richtigen Kombination.<br />
Kurze und wenig komplexe Passwörter, wie zum Beispiel die vierstellige<br />
Geheimzahl der EC-Karte mit ihren theoretisch 10.000 verschiedenen Kombinationen,<br />
sind daher nicht sonderlich sicher und könnten selbst von einem<br />
Smartphone-Prozessor praktisch sofort gebrochen werden. An einem typischen<br />
achtstelligen Passwort aus Groß- und Kleinbuchstaben und Zahlen mit<br />
seinen 218 Billionen (10 12 ) möglichen Varianten würde ein aktueller Vierkern-<br />
Hauptprozessor, etwa aus der Intel i7-Reihe, hingegen deutlich länger rechnen.<br />
Mit seinen rund 20 Millionen Versuchen pro Sekunde würde er bei einer<br />
reinen »Brute-Force«-Attacke beispielsweise das Passwort »Inge1967« nach<br />
126 Tagen gebrochen haben. Enthielte das Passwort bei acht Stellen zusätzlich<br />
noch ein typisches Sonderzeichen – wie in »Inge196%« – so bräuchte der<br />
PENETRATION-TESTING<br />
Als »Penetration-Testing« oder kurz »Pen-Testing« werden alle Aktivitäten bezeichnet,<br />
bei denen Hacker, beispielsweise im Auftrag einer Firma, versuchen, in<br />
deren Systeme einzudringen oder ihre Passwörter zu brechen. Die so entdeckten<br />
Sicherheitslücken können dann beseitigt werden, bevor <strong>Cyber</strong>kriminelle sie<br />
nutzen können.<br />
DAS MOORESCHE GESETZ<br />
Der Physiker und Intel-Mitbegründer Gordon Moore sagte 1965 voraus, dass<br />
sich die Leistung integrierter Schaltkreise auf Grund des technischen Fortschritts<br />
in Zukunft jährlich verdoppeln würde. Angesichts neuerer Daten hat<br />
Moore selbst 1975 den Zeitraum auf etwas weniger als zwei Jahre korrigiert.<br />
>><br />
ADLAS 1/2013 ISSN 1869-1684 23