Leserfrage: Sicheres Passwort beim Online-Banking
Folgende Frage / Hinweis erreichte mich per E-Mail:
Ich habe Deinen Artikel »Sicheres Passwort wählen: Der Zufall entscheidet« gelesen, in dem Du monierst, dass Banken nur viel zu kurze Passwörter beim Onlinebanking erlauben. Das ärgert mich auch und ich habe mal bei meiner Bank nachgefragt und folgende Antwort bekommen:
Unsere sichere Anmeldung im Internet-Banking setzt sich aus zwei Komponenten zusammen: dem Anmeldenamen und der PIN. Der Anmeldename hat dabei 6-15, die PIN 5 Stellen.
Der Anmeldename darf aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen bestehen. Für die PIN können Sie Klein- und Großbuchstaben sowie Ziffern verwenden. Daraus ergibt sich eine so hohe Anzahl von Kombinationen, dass ein zufälliges Erraten der Anmeldedaten nahezu ausgeschlossen ist. Wichtig ist dabei, dass Sie für beide keine offensichtlichen Begriffe, wie z. B. Namen, Geburtsdaten o.ä. verwenden.
In diesem Zusammenhang wird ein Angriffsszenario immer wieder gerne vergessen. Was passiert, falls sich ein Angreifer Zugang zur Bank verschafft und alle Anmeldedaten abgreift? Er hätte dann eine Liste mit Anmeldenamen und den dazugehörigen Passwörtern. Wir gehen jetzt mal davon aus, dass die Passwörter der Nutzer über eine kryptografische Hash-Funktion (SHA-2, bcrypt) »unleserlich« gemacht wurden. Der Angreifer sitzt jetzt vor einer Liste mit Anmeldenamen und kann die Passwörter im Idealfall nicht mehr zurückrechnen, da ein Hash-Algorithmus in der Regel auf einer mathematischen Einwegfunktion basiert. Bei einer PIN mit 5 Stellen muss er sie auch gar nicht »zurückrechnen«, sondern er generiert sich eine Rainbow-Tabelle, die für alle möglichen Zeichen-Kombinationen den Hashwert vorhält.
Was würde das für einen 5 stelligen PIN bedeuten, der aus Klein- und Großbuchstaben sowie Ziffern besteht?
- 26 Zeichen Kleinbuchstaben (a-z)
- 26 Zeichen Großbuchstaben (A-Z)
- 10 Zeichen an Ziffern (0-9)
- Zeichenraum: Insgesamt also 62 (26 + 26 +10) verschiedene Zeichen
Das ergibt insgesamt 916132832 (62^5) Kombinationen an unterschiedlichen Passwörtern. Selbst wenn wir aufwändige Hash-Verfahren wie bspw. scrypt verwenden, so könnte ein durchschnittlicher Angreifer mit acht Nvidia GTX 1080 und Hashcat eine dazugehörige Rainbow-Tabelle in gut 4 Minuten erstellen [Link zur Quelle nicht verfügbar] – ein Witz und keine Herausforderung. (916132832 / 3493600 Hash/s = 262,231747195 Sekunden bzw. 4,37 Minuten)
Der Zeichenraum mit 62 möglichen Zeichen ist demnach in Ordnung. Das Problem ist die zu kurze Zeichenfolge von nur 5 Stellen. Berechnen wir noch kurz die Entropie für das Passwort. (Die Stärke eines Passworts wird als Entropie angegeben):
Entropie = L x logN/log2 = 5 x log62/log2 = 29,77 Bit an Entropie. Zum Vergleich, ein »sicheres« Passwort sollte heute eine Entropie von mindestens 72 Bit und mehr haben.
Fazit: Insgesamt ist ein 5-stelliges Passwort nicht nur unsicher, sondern angesichts weiterer Angriffsszenarien grob fahrlässig. Zeit die Bank zu wechseln…
Sicheres Passwort wählen: Der Zufall entscheidet
Konfigurationsempfehlungen – Android unter Kontrolle Teil5
Android-Systemeinstellungen & Google-Fallstricke – Take back control! Teil8
KeePassXC: Auto-Type und Browser-Add-on im Alltag nutzen – Passwörter Teil1
