Egal, ob ein Brute-Force-Angriff auf die zentrale Passwortdatei im System abzielt oder – wie im Fall der iCloud – voraussetzte, dass der Angreifer die Apple-ID der Betroffenen besaß, beweisen die Geschehnisse der Vergangenheit eindeutig, wie wichtig es ist, sich vor der penetranten Entschlüsselungsmethode zu schützen. Bei Ihren privaten Systempasswörtern haben Sie dabei in der Regel das Heft selbst in der Hand. Setzen Sie auf Kombinationen, die aus vielen verschiedenen Zeichentypen bestehen. Im besten Fall verwenden Sie sowohl Klein- und Großbuchstaben und Sonderzeichen als auch Zahlen in Ihren Kennwörtern. Und natürlich gilt immer: Aus je mehr Zeichen sich das Passwort zusammensetzt, desto schwerer ist es zu knacken.
Schwieriger gestaltet sich die Situation bei der Erstellung von Passwörtern für Onlinedienste und Co. Hier sind Sie an die Vorgaben gebunden, die der jeweilige Anbieter macht. Typisch sind eine Maximallänge von nur acht Zeichen und häufig die Beschränkung auf Buchstaben und Zahlen – was ohne zusätzliche Sicherheitsmaßnahmen wenig zufriedenstellend ist. Sie sollten in einem solchen Fall unbedingt in Erfahrung bringen, welche Vorkehrungen der Betreiber des Webprojekts zum Schutz vor Brute Force trifft. Sind Sie selbst Betreiber eines Webservices mit einem Log-in-Mechanismus, fällt dies in Ihren Verantwortungsbereich. Zwei Ansätze sind möglich:
- der Kennwortmechanismus wird abgesichert
- eine Mehr-Wege-Authentifizierung wird eingerichtet
Die Absicherung des Kennwortmechanismus sollte eigentlich eine Standardkomponente jeglicher Log-in-Masken sein, doch wie der eingangs erwähnte iCloud-Skandal bestens unter Beweis stellt, ist dies nicht immer der Fall. Bei dem Schutzmechanismus geht es darum, der Brute-Force-Software die Arbeit zu erschweren. Dazu wird die Eingabe eines Kennworts für ein bestimmtes Zeitintervall gesperrt, nachdem ein falsches Passwort eingegeben wurde. Ferner ist es möglich, dieses Intervall mit jeder weiteren falschen Eingabe weiter zu erhöhen. Man kann auch einen Schritt weiter gehen – so wie es Apple schließlich getan hat – und das komplette Nutzerkontonach einer gewissen Anzahl an Log-in-Versuchen sperren.
Die Möglichkeit einer Mehr-Wege-Authentifizierung wird von vielen Anbietern häufig optional angeboten. Sie verkompliziert den Anmeldevorgang etwas, da neben dem Passwort noch eine weitere Komponente benötigt wird. Dabei kann es sich um die Beantwortung einer Geheimfrage, die Eingabe einer PIN oder ein sogenanntes Captcha handeln. Letztere sind kleine Testformulare, mit denen festgestellt werden soll, ob es sich bei der anmeldenden Instanz um einen menschlichen Benutzer oder – wie es bei einer Brute-Force-Software der Fall wäre – um einen Roboter handelt.