Mein Kollege Silas hat einen lesenswerten Artikel gebloggt. Das Thema ist aus meiner Sicht sehr relevant und top aktuell. Ich habe das Gefühl, dass in den letzten Monaten das “Erstellen von Accounts” irgendwie zugenommen hat. Den Hauptgrund sehe ich im Boom der Web 2.0 Applikationen, welche tatsächlich oft eine Registrierung verlangen – und sich Services wie z.B. OpenID leider noch nicht weit genug verbreitet haben.
Ohne nochmals alles, was Silas bereits geschrieben hat, zu wiederholen, möchte ich einfach hervorheben, dass ich selber bereits auf eine “Sie müssen sich registrieren”-Täuschung reingefallen bin.
Zu meinem Glück mit “gutem” Hintergrund, sprich der Verantwortliche wollte ebenfalls auf genannte Thematik aufmerksam machen und liess für sein Experiment unzählige seiner Blogleser “in den Hammer laufen”. Es war natürlich im Nachhinein witzig – aber weniger witzig an der Sache war, dass der genannte Blogger ein ziemlich fitter Spezialist in Sachen Webtechnologien und vorallem auch Sicherheitstechniken ist. Und in diesem Bereich gibt es immer Leute von der hellen und der dunklen Seite.
Das Fazit des Experiments wird in folgendem Absatz perfekt zusammengefasst:
I got about 400 or so sign ups, ranging from large international corporations, banks, browser vendors, black hats, other hackers, security people and students. The smallest password was 5 chars long without any numbers. Such a password can be brute forced in seconds. Some used birth dates, and others used names of females or girlfriends. Another group had common brute-forceable library passes. The longest passwords ranged from 16 to 32 characters with a lot of different characters used. Roughly 20% used pass phrases and about 10% used very, very strong passwords.
Also rund 70% der Passwörter waren so schwach, dass sie mit üblichen Tools innerhalb von kurzer Zeit hätten geknackt werden können!
