Heise Security bringen erhellende Informationen zu dem kürzlich vorgestellten Passwort-Knacker mit Radeon-Grafikkarten: Danach werden damit nicht die Passwörter selber, sondern "nur" deren Hashes geknackt – was bei eigentlich veralteten Hash-Methoden sehr gut funktioniert. Ein direkter Angriff auf ein Passwort ohne jeden Hashwert ist damit ebenso wenig möglich wie ein Angriff auf einen Webserver, da dort üblicherweise die Anzahl der Passwort-Versuche limitiert sind. Was allerdings möglich wird, ist die Rekonstruktion von als Hashwerte vorliegender Passwörter – beispielsweise nach einem Datenklau bei einem Online-Dienst. Wenn hier aus Kompatibilitätsgründen oder Nachlässigkeit veraltete Hash-Verfahren eingesetzt wurden, dann wird ein 14stelliges LM-gehashtes Passwort in nur sechs Minuten geknackt – selbst lange Passwörter sind somit überhaupt nicht mehr sicher.

Radeon GPU-Cluster

Radeon GPU-Cluster – Hashes-Benchmarks

Die dabei eingesetzte Hardware scheint nur auf den ersten Blick großartig zu sein: Hierfür wurde ein GPU-Cluster mit 25 Radeon-Grafikkarten benutzt, wobei die Grafikkarten mittels Infiniband zusammengeschaltet wurden. Technologisch ist dies sehr hochwertig – aber letztlich nur die absolute Spitze der Möglichkeiten, denn GPU-Cluster von Universitäten können auch schnell einmal ein paar zehntausende Grafikkarten enthalten. Noch werden solche Universitäts-Systeme nicht exklusiv zum Passwort-Knacken verwendet – aber die Technologie existiert und wird sogar (in mittlerem Format) von diversen Cloud-Diensten frei vermietet. Demzufolge kann man davon ausgehen, daß selbst lange Passwörter heutzutage problemlos knackbar sind, wenn für diese veraltete Hash-Methoden wie LM, NTLM, MD5 und SHA1 verwendet werden.

Leider behandeln die meisten Internet-Dienste ihre Kunden viel zu sehr von oben herab, um herausbekommen zu können, ob jene Internet-Dienste sichere Hash-Methoden verwenden – so daß man als Internet-Nutzer leider davon ausgehen muß, daß die eigenen Passwörter bei einem Online-Dienst nicht gänzlich sicher sind. Demzufolge muß man selber etwas für die eigene Passwort-Sicherheit tun: Dazu gehören Standard-Maßnahmen, wie die maximal mögliche Passwort-Länge auch ausnutzen – nichts spricht gegen 30stellige Passwörter, denn merken soll sich diese sowieso keiner, jene müssen zwingend notiert werden (Passwort-Buch oder Passwort-Safe). Zudem darf natürlich kein Passwort zweimal verwendet werden, so daß der maximal mögliche Schaden möglichst klein bleibt. Am Ende benötigt es aber den gesunden Menschenverstand, welcher einen nicht davon ausgehen läßt, total sicher zu sein – sowie bei verdächtig wirkenden Aktionen immer den Gedanken zuläßt, daß der eigene oder der Account eines Online-Bekannten durchaus von Hackern übernommen worden sein könnte.