Vultilion.de

Heutzutage muss bzw. kann man ja zum Glück überall Passwörter vergeben. Die Angriffe auf das Gawker Imperium zeigten jedoch mal wieder das viele Menschen schwache Passwörter vergeben. Dabei ist häufig nicht bewusst was das für Folgen haben kann.

Wenn das Konto leer ist, die persönlichen Daten im Internet verbreitet oder die geliebten E-Mail, Twitter und Facebook Accounts geklaut sind, ist es zu spät aufzuwachen.

Den Satz kann man unendlich weiterführen und es spitzt sich immer weiter zu, über Firmen und Industriespionage bis zu Regierungen und geheimen Dokumenten.
Schwache Passwörter sind immer ein Problem, aber wenn euch bewusst wird was damit für Gefahren verbunden sind dann ist schon mal der erste Schritt getan.

In diesem ersten Teil meiner Artikelreihe über Passwortsicherheit möchte ich erklären was schlechte Passwörter sind und vor allem warum. Auch wie sie ausspioniert werden und was man dann damit anfangen kann.

Der nächste Teil soll dann zeigen wie gute Passwörter aussehen, wie man sie erstellt und sich auch merken kann. Im letzten Teil werde ich dann konkret anhand von Tools zeigen wie man Passwörter sicher verwalten kann.

Die schlimmsten Fehler im Umgang mit Passwörtern in der Übersicht:

• -Einfache Passwörter
• -Keyboard Pattern (qwertz, 123456 usw.)
• -Namen, Geburtsdaten, Orte usw.
• -Passwörter mit Jahren oder aufsteigenden Zahlen
• -Unter die Tastatur kleben
• -Überall das gleiche Passwort
• -Passwort anderen verraten

Um zu verstehen warum bestimmte Passwörter schlecht sind will ich kurz erklären wie diese gespeichert werden und wie man sie “crackt”. Sie werden immer in sogenannten Hashes gespeichert. Also nicht im Klartext sondern in Einweg Hashes, die so heißen weil es nur ein hin aber kein zurück mehr gibt. Wenn ihr euch also für das gebräuchlichste und sinnloseste Passwort der Menschheit entscheidet “password” dann wird daraus “5f4dcc3b5aa765d61d8327deb882cf99″. Es gibt verschiedene dieser Algorithmen zB. SHA, DSA und Md5. Auf einem Webserver wird also nur “5f4dcc3b5aa765d61d8327deb882cf99″ gespeichert. Wenn ihr euch nun einlogt, dann wird “password” umgewandelt und mit dem gespeicherten Hash verglichen. So weiß der Webserver also ob es euer Passwort war oder nicht, kennt das Passwort aber nicht wirklich. Das ist der Grund warum meist nur ein Reset möglich ist, euch der Pass aber nicht angezeigt werden kann.

Die simpelsten Möglichkeiten (technisch) euer Passwort nun doch zu erfahren ist ein Angriff auf den Hash. Mal abgesehen von diversen Schwachstellen einiger Hash Algorithmen sind es vor allem die einfachen Passwörter die leicht zu “erraten” sind. Man kann mit der sogenannten Brute Force Methode einfach alle erdenklichen Zeichen durchprobieren, das dauert recht lange. Intelligentere Möglichkeiten sind zB. Wörterbuchangriffe. Dabei werden alle gebräuchlichen Passwörter und am Ende auch alle Wörter einer oder mehrerer Sprachen durchprobiert. Diese werden auch kombiniert bzw. mit eingestreuten Zahlen und Sonderzeichen getestet, je nach dem wie Intelligent das ganze Programmiert ist. Möglich sind noch Rainbow tables bei denen die gängigsten Passwörter schon als Hash gespeichert sind, dann muss man nur noch vergleichen, was verhältnismäßig schnell geht. Es gibt noch viele andere Tricks um Passwörter zu entschlüsseln aber das soll nicht Thema das Artikels sein.

Einfache Passwörter

Sie sind z.B. durch Wörterbuchangriffe sehr schnell zu finden. Auch Kombinationen von Wörtern oder Namen sind leicht zu knacken. So was wie “Password”, “Winter”, “LetMeIn”, “Audi” oder ähnliches könnt ihr euch schenken. Auch alle Passwörter die mit dem Dienst in Verbindung stehen solltet ihr lassen. zB. “Bank2010″, “email11″, “meinTwitter” oder so was könnt ihr vergessen.
Checkt doch mal euer Passwort hier  http://howsecureismypassword.net/.

Die meisten Passwörter dieser Art werden in wenigen Sekunden bis Minuten geknackt.

Keyboard Pattern

Darunter verstehe ich alle möglichen Muster die man so auf der Tastatur findet. zB. “123456″, “qwertz”, “124578″, “mkoijn” oder was auch immer. Die meisten guten Tools zum entschlüsseln berücksichtigen diese Keyboard Pattern mit, oder sie sind gleich in der Wörterbuchliste hinterlegt.

Auch hier bekommt man euer Passwort meist in unter einer Minute.

Namen, Geburtsdaten, Orte usw.

Hier gilt das gleiche wie für einfache Passwörter. Wenn ich es speziell auf euch abgesehen hätte, würde ich eure Haustiere, Geschwister, Freunde, Geburtsdaten und ähnliches als erstes versuchen.

Auch hier gilt, unsicher.

Passwörter mit Jahren oder aufsteigenden Zahlen

Beispiele wären “Winter2010″, “Chris31″ usw. Diese Passwörter erfüllen meist die Mindestsicherheitskriterien die einige Dienste verlangen, sie beinhalten Zahlen und Buchstaben und sind meist lang genug. Sie sind so beliebt weil viele Dienste gerade in Firmen ständig neue Passwörter verlangen und auf diese Weise hat man leicht neue Wörter die das System dann dankbar annimmt und die man sich gut merken kann. Leider wird damit der eigentliche Sinn des Ganzen umgangen. Wenn jemand, wie auch immer euer  Passwort erfahren hat, muss er ja nicht immer gleich euren Account klauen oder was auffälliges tun. Vielleicht liest er einfach immer eure Mails mit, was für eine Firma schon ein Riesenschaden sein kann. Wenn ihr nun nach 1-3 Monaten mal wieder euer Passwort ändern müsst und statt “Winter2010/11″ nun “Winter2010/12″ euer Passwort ist, dann wird euer stiller Mitleser noch lange treu bleiben denn das errät jeder.

Es gibt Beispiele für solche Passwörter die erst mal wirklich sehr sicher sind -> “EsIstWinter2010/09UndDorianHatAm12.11Geburtstag” Das knackt euch sicher keiner! Die Gefahr hier liegt vor allem darin das ihr meist nur wenige Stellen am Passwort austauscht und diese sind leicht zu erraten. Hat das Passwort jemand gesehen als ihr es eingetippt habt, dann weiß er vielleicht auch Jahre später noch wie er sich bei euch einloggen kann, obwohl ihr das Passwort regelmäßig ändert. Wenn er dann bei der Konkurrenz arbeitet, könnte euch das teuer zu stehen kommen.

Finger weg von Passwörtern bei denen ihr nur wenige Zahlen oder Zeichen austauscht.

Unter die Tastatur kleben

Schreibt neue Passwörter im Zweifelsfall ruhig auf, aber tragt sie am Anfang lieber immer bei euch und verschließt sie später an einem sicheren Ort. Unter der Tastatur oder Mausmatte hat das nichts verloren!

Da könnt ihr’s auch gleich als Flaschenpost verschicken.

Überall das gleiche Passwort

Nehmen wir mal an ich wäre euer missgünstiger Kollege und stehe zufällig neben euch beim eingeben vom Passwort beim Windows Login. Nun möchte ich mein neu erworbenes Wissen natürlich möglichst gewinnbringend nutzen. Was soll ich aber an eurem PC, ist vielleicht auch viel zu gefährlich da zu schnüffeln. Wenn ich aber davon ausgehe das ihr wie 90% aller Menschen das selbe Passwort öfters verwendet dann geht der Spaß nun los. Ich schaue also am Abend mal welche Dienste du so nutzt. Vielleicht komme ich nur mit dem Passwort von deinem Windows Login in dein Facebook. Soweit so gut aber das kann ja nicht alles sein. Mit ein wenig schnüffeln werde ich auf deinen Flickr Account aufmerksam und uiuiui auch da, das selbe Passwort. Nun was machen wir denn mit den privaten Nacktbildern… hmm erst mal freigeben. Den Link schicke ich zum Chef. So, wer ist jetzt der Depp?

Auch gibt es so viele kostenlose Dienste im Netz, da sind nun mal nicht alle seriös. Wenn nun der tolle Socialnetwork-kack Nummer 0815 dicht macht dann ist davon auszugehen das 90% der Passwörter auf anderen Seiten verwendet werden. Wenn die also noch ein wenig Kohle machen wollen wird halt die Email/Passwort Datenbank vertickt.

Egal wo die Sicherheitslücke ist, alle Dienste mit diesem Passwort sind automatisch kompromittiert. Es ist die schlechteste Idee überhaupt bei verschiedenen Diensten das gleich Passwort zu verwenden!

Passwort anderen verraten

Verratet niemandem euer Passwort. Wenn jemand am Telefon danach fragt und behauptet er sei vom Service des Dienstes oder euch ähnliche legt einfach auf. Niemand braucht euer Passwort, wenn doch ist das Sicherheitskonzept so schlecht das ihr euch nach alternativen umschauen solltet. So was nennt sich Social Engineering und sollte mittlerweile bekannt sein, es soll Leute geben die das Professionell machen.

Passwörter solltet ihr niemandem verraten, man weis nie was die Person damit macht.

Einige allgemeine Tipps noch.

Sollte mal jemand anders Zugriff auf euren Dienst haben obwohl euer Passwort gut war, geht folgende Checkliste durch.

• -Ändert euer Passwort sofort
• -Überall wo ihr dieses oder ähnliche Passwörter verwendet habt solltet ihr es auch ändern
• -War euer System unsicher? Keine Firewall oder Virenprogramm? Dann wird es Zeit für eine komplette Neuinstallation, diesmal aber mit Firewall und Virenprogramm!
• -Sorgt dafür das euer System Updatemäßig auf dem neusten Stand ist
• -Kontrolliert genau welcher Schaden angerichtet wurde und verständigt bei Bedarf den Betreiber des Dienstes
• -Sollte es sich um Firmen relevante Passwörter handeln, verständigt euren Chef oder PC Fuzzi
• -Sollten persönliche, materielle oder Schäden für eure Firma entstanden sein, verständigt umgehend die Polizei, auch im Internet gilt Recht und Gesetzt

Soviel zur Vergabe schlechter Passwörter. Wie man gute Passwörter vergibt und wie diese aussehen, davon mehr beim nächsten mal.