Passwortlänge von Security Researcher

Passwortlänge von Security Researcher

Marc Ruef
by Marc Ruef
time to read: 4 minutes

Wir haben bisher zwei statistische Auswertungen der Passwortlänge unterschiedlicher Benutzerklassen vorgenommen:

Zu Beginn des Monats wurde eine Kompromittierung des US-amerikanischen Sicherheitsunternehmens HBGary durch die Gruppe Anonymous (siehe DDoS-Attacken im Rahmen von Wikileaks) vorgenommen. Dabei wurde ebenfalls die durch den bekannten Analysten Greg Hoglund betriebene Seite rootkit.com kompromittiert. Auf dieser wird ein Forum gehostet, in dem sich Sicherheitsspezialisten über Backdoors und Rootkits austauschen.

Eine Veröffentlichung sämtlicher Daten (z.B. 60’000 Emails des Unternehmens) hatte zur Folge, dass nun ebenfalls die gehashten Passwörter des Forums einsehbar waren. Verschiedene Analysten machten sich daran, diese Passwörter zu knacken. Dies als Datengrundlage wollten wir nutzen, um einen weiterführenden Vergleich der angestrebten Länge von Passwörtern anzugehen. Sodann können wir also an unsere vorangegangenen Analysen anknüpfen und zu normalen Benutzern und Crackern ebenfalls Security Researcher hinzufügen.

Von 71’222 Passwörtern wurden 44’497 geknackt (62.47%). Da nicht alle Passwörter der rootkit.com innerhalb nützlicher Frist geknackt werden konnten, ist die Auswertung nicht abschliessend. Es ist durchaus denkbar, dass ein Mehr an eher langen (und komplexen) Passwörtern verborgen blieb. Zudem wird von verschiedenen Benutzern des Forums berichtet, dass sie bewusst einfache Wegwerfpasswörter verwendet haben.

Passwortlänge der Security Researcher im Vergleich

Auch hier sind statistisch signifikante Abweichungen ersichtlich:

Dieses Verhalten lässt das Offensichtliche erahnen. Einerseits sind sich Security Researcher sehr wohl den Risiken kurzer Passwörter bewusst. Als Best Practice werden für Webforen jedoch 6-stellige Passwörter verstanden und auf tendeziell längere Passwörter – vor allem mehr als 8 Zeichen – gerne verzichtet. Das Sicherheitsverständnis ist also definitiv höher als bei normalen Benutzern, die Paranoia der Cracker ist jedoch für noch längere Passwörter in diesem Umfeld verantwortlich.

Danksagung

Vielen Dank an dazzlepod.com für das Bereitstellen der Passwortdatenbank und die freundliche Unterstützung.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several universities, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

Links

You want to test the strength of your enterprise regarding malware attacks?

Our experts will get in contact with you!

×
Ransomware Detection, Defense, and Analysis

Ransomware Detection, Defense, and Analysis

Marc Ruef

Data Markets

Data Markets

Marc Ruef

Password Leak Analysis

Password Leak Analysis

Marc Ruef

MITRE ATT&CK

MITRE ATT&CK

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here