Wir haben bisher zwei statistische Auswertungen der Passwortlänge unterschiedlicher Benutzerklassen vorgenommen:

• Einerseits waren dies normale Benutzer, bei denen eine geschechtsspezifische Aufteilung erfolgen konnte. (Quelle)
• Zusätzlich wurde nach der Veröffentlichung der Passwörter von carders.cc ein Vergleich von Crackern mit tendenziell illegalem Hintergrund vorgenommen. (Quelle)

Zu Beginn des Monats wurde eine Kompromittierung des US-amerikanischen Sicherheitsunternehmens HBGary durch die Gruppe Anonymous (siehe DDoS-Attacken im Rahmen von Wikileaks) vorgenommen. Dabei wurde ebenfalls die durch den bekannten Analysten Greg Hoglund betriebene Seite rootkit.com kompromittiert. Auf dieser wird ein Forum gehostet, in dem sich Sicherheitsspezialisten über Backdoors und Rootkits austauschen.

Eine Veröffentlichung sämtlicher Daten (z.B. 60’000 Emails des Unternehmens) hatte zur Folge, dass nun ebenfalls die gehashten Passwörter des Forums einsehbar waren. Verschiedene Analysten machten sich daran, diese Passwörter zu knacken. Dies als Datengrundlage wollten wir nutzen, um einen weiterführenden Vergleich der angestrebten Länge von Passwörtern anzugehen. Sodann können wir also an unsere vorangegangenen Analysen anknüpfen und zu normalen Benutzern und Crackern ebenfalls Security Researcher hinzufügen.

Von 71’222 Passwörtern wurden 44’497 geknackt (62.47%). Da nicht alle Passwörter der rootkit.com innerhalb nützlicher Frist geknackt werden konnten, ist die Auswertung nicht abschliessend. Es ist durchaus denkbar, dass ein Mehr an eher langen (und komplexen) Passwörtern verborgen blieb. Zudem wird von verschiedenen Benutzern des Forums berichtet, dass sie bewusst einfache Wegwerfpasswörter verwendet haben.

Auch hier sind statistisch signifikante Abweichungen ersichtlich:

• Researcher pflegen in der Regel mindestens 6-stellige Passwörter zu nutzen (36.67%). Sie setzen damit die typische Minimale Länge gegenüber Benutzern (31.35%) und Cracker (24.35%) noch etwas höher.
• Auch hier ist der typische 2er-Schritt von 6- zu 8-stelligen (23.73%) Passwörter zu bemerken. 5-stellige Passwörter sind eher untervertreten mit 20.93%.
• 8-stellige Passwörter sind bei Researcher weniger wichtig (23.73%) als bei Crackern (32.17%). Gleiches gilt für Passwörter mit einer grösseren Länge.

Dieses Verhalten lässt das Offensichtliche erahnen. Einerseits sind sich Security Researcher sehr wohl den Risiken kurzer Passwörter bewusst. Als Best Practice werden für Webforen jedoch 6-stellige Passwörter verstanden und auf tendeziell längere Passwörter – vor allem mehr als 8 Zeichen – gerne verzichtet. Das Sicherheitsverständnis ist also definitiv höher als bei normalen Benutzern, die Paranoia der Cracker ist jedoch für noch längere Passwörter in diesem Umfeld verantwortlich.

Danksagung

Vielen Dank an dazzlepod.com für das Bereitstellen der Passwortdatenbank und die freundliche Unterstützung.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars/
• http://dazzlepod.com/rootkit/
• http://thepiratebay.org/torrent/6156166/HBGary_leaked_emails
• http://www.dazzlepod.com
• http://www.hbgary.com
• http://www.heise.de/security/meldung/Anonymous-kompromittiert-amerikanische-Sicherheitsfirma-1189245.html