Secure Password ShareSoftware Technologien
3

Websoftware um Sicherheitslöcher mit Passwortregeln zu stopfen

Oliver Belikan
4 MIN LESEDAUER
0 KOMMENTARE
IN POCKET SPEICHERN
20.05.2010

Unbeliebt wie nasse Socken ist der tägliche Umgang mit Passwörtern und deren Regeln. Sind für die Webanwendung keine Passwortregeln festgelegt oder sind die Regeln schlecht durchdacht, ergeben sich schnell Wege für einen Angriff.

Passwort und PasswortregelnDurch fehlende oder schwache Regeln kann alles Erdenkliche als Passwort verwendet werden. Die Benutzer neigen dann dazu, bekannte Begriffe im Passwort zu verwenden, was zum Beispiel einen guten Ansatz für die Wörterbuchangriffe bietet. Zu umfangreiche Regeln hingegen schränken die Anzahl der möglichen Passwörter so weit ein, dass das Passwort keine Sicherheit mehr bietet.

Passwortregeln sind gewöhnlich öffentlich einsehbar, sonst könnte sich kein Benutzer daran halten. Der Angreifer kann so die Regeln nutzen, um seinen Angriff zu planen. Drei mögliche Angriffsarten werden im Folgenden näher vorgestellt.

Die ersten beiden kommen zum Einsatz, wenn angenommen wird, dass die Sicherheitsvorkehrungen des betreffenden Systems kein Hindernis sind und der Zeitaufwand erträglich bleibt. Nicht alle Angriffe lassen sich durch sichere Passwörter verhindern. Auf der technischen Seite können zwar beliebig viele Sicherheitsvorkehrungen getroffen werden, doch stellt nach wie vor der Mensch die größte Schwachstelle für einen Angriff dar.

Der Brute-Force-Angriff

Wie der Name schon sagt, ist dies ein Angriff mit Brachialgewalt. Dabei werden alle möglichen Zeichenfolgen nacheinander ausprobiert, bis das richtige Passwort gefunden wird. Der Erfolg dieses Angriffs hängt immer von der Länge des Passworts und dem erlaubten Zeichenraum ab. Außerdem funktioniert er nur, wenn es möglich ist, beliebig lang Passwörter nacheinander auszuprobieren, ohne dass das angegriffene Benutzerkonto (vorübergehend) gesperrt wird.

Brute Force Angriff mit dem Hammer Aufgrund von schwachen Regeln werden oft zu wenige Zeichen oder nur Kleinbuchstaben verwendet. Das ist ein Problem, denn der Rechenaufwand beim Knacken des Passworts steigt exponentiell zur Anzahl der Zeichen des Passworts. Das Passwort sollte folglich möglichst lang sein und viele verschiedene Zeichen enthalten.

Ein fünfstelliges Passwort, das nur aus Kleinbuchstaben besteht, ist in der Rekonstruktion um einiges einfacher als eines, das achtstellig ist und neben Groß- und Kleinbuchstaben auch Zahlen enthält. Bei angemessener Passwortlänge und einer großen Anzahl an erlaubten Zeichen braucht der Brute-Force-Angriff zu lange und fällt mit der Zeit auf.

Angriff mit Wörterbuch

Ein schnell gewähltes Passwort ist meistens ein bekannter Begriff, wie zum Beispiel der eigene Name oder der eines Gegenstands aus dem Büro. Der Wörterbuchangriff ist dem Brute-Force-Angriff sehr ähnlich, nur dass die zu testenden Passwörter stark reduziert sind.

Angriff auf Grundlage eines Wörterbuchs Um einen Wörterbuchangriff durchzuführen, wird eine Liste mit den gängigsten Passwörtern erstellt. Diese Passwortlisten, auch Dictionaries oder Wordlists genannt, lassen sich im Internet zum Herunterladen finden. Kennt man die Person, deren Passwort man knacken will, macht es Sinn, die verwendeten Listen nach dem Umfeld des Anzugreifenden auszuwählen.

Um zu verhindern, dass bekannte Wörter im Passwort enthalten sind, kann man Strukturregeln erstellen. Durch den Zwang, sowohl Groß- und Kleinbuchstaben, Zahlen, aber auch Sonderzeichen zu verwenden, ist es meist erst gar nicht möglich, ein Passwort aus richtigen Wörtern oder Teilwörtern zu generieren. Solche Regeln sind normalerweise jedoch recht streng, darum ist es ratsam, für diesen Zweck eine Blacklist einzusetzen.

Angriff durch Social Engineering

Als Social Engineering bezeichnet man das zwischenmenschliche Beeinflussen, mit dem Ziel unberechtigt an materielle Dinge, Rechte, Dienstleistungen oder vertrauliche Informationen zu kommen. In der Informatik dient Social Engineering meist dazu, um in Computersysteme einzubrechen. In diesem Fall spricht man auch von Social Hacking. Man geht davon aus, dass der Mensch das schwächste Glied in der Sicherheitskette ist.

Angriff durch Ausspähen des PasswortsDer Angreifer analysiert sein Opfer, um dessen Schwächen ausnutzen zu können. Dazu wird auch das soziale Umfeld des Opfers ins Visier genommen, wie zum Beispiel der Arbeitsplatz und die dort ablaufenden Vorgänge. Um sein Ziel zu erreichen, tauscht der Angreifer eine falsche Identität vor.

Ein klassisches Beispiel ist der Techniker, der ein Problem festgestellt hat und zum Lösen die Zugangsdaten des Opfers benötigt. Etwa mittels Behauptungen, dass er von „ganz oben“ beauftragt worden sei, nutzt er die Autoritätshörigkeit des Opfers zu seinem Vorteil aus.

Eine bekannte Art des Social Engineerings ist Phishing. Dabei wird man zum Beispiel per E-Mail aufgefordert, sich wegen einer technischen Änderung oder Ähnlichem in einem Online-Banking-Portal einzuloggen. Gleichzeitig wird ein Link mitgesendet, der zu einer gefälschten Seite führt, die dem Original gleicht. Wenn der Benutzer auf den Link klickt und dort seine Login-Daten eingibt, war der Angriff erfolgreich.

Beispiele und Websoftware für Passwortregeln

Viele Unternehmen oder Institutionen haben wegen der bereits genannten Sicherheitsprobleme Regeln festgelegt, die beim Erstellen eines Passworts eingehalten werden müssen.
Ein Teil dieser Regeln schreibt die eigentliche Struktur des Passworts (z. B. die Mindestlänge) von Seiten der Softwareanwendung vor, die anderen sind eher auf organisatorischer Ebene (z. B. dass das Passwort nicht aufgeschrieben werden sollte) und können von der IT nicht komplett beeinflusst werden.
Zu den organisatorischen Passwortregeln gehören z. B.

  • Man sollte das Passwort schnell eintippen können
  • Das Passwort sollte gut einprägsam sein
  • Passwortintervalle
  • Anzahl von Verwendungen

Jede moderne Softwareanwendung sollte folgende syntaktische Passwortregeln unterstützen.

  • Definierbare Mindestlänge von Passwörtern
  • Kombination aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen
  • Keine bekannten Begriffe, keine Tastaturfolgen
  • Keine persönlichen Informationen wie Namen, Kfz-Kennzeichen, Geburtstage etc.
  • Gültigkeitszeiträume

Sicherer Dateiaustausch für FirmenZumindest bei Softwarelösungen wie z. B. secureTransfer lassen sich Passwortpolicys, Regeln und Vorgaben frei definieren. Sicherheitslöcher durch ungenügenden Umgang mit Passwörtern sollten somit der Vergangenheit angehören.

 

Mehr Informationen zu Secure Password Share

 

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*