| |
Aber wie sehen sichere Kennwörter eigentlich aus?
Michael Böttjer, Senior System Engineer der Nemetschek Bausoftware GmbH
Um dies herauszufinden, muss man zunächst einmal wissen, wie ein Angreifer vorgeht, um - in diesem Fall - Windows-Kennwörter zu „knacken“.
Er braucht zunächst einmal Zugriff auf einen Server, der die Benutzerkonten verwaltet. Von dort beschafft er sich die Benutzerliste mit den – noch – mittels Einwegberechnung verschlüsselten Kennwörtern.
Nun benutzt er ein Programm (den eigentlichen Passwordcracker), der pro Sekunde mehrere hunderttausend oder je nach Rechenleistung seines PCs gar Millionen verschiedene Kennwörter pro Sekunde nach der gleichen Methode verschlüsselt und dann mit dem Schlüssel des Kennwortes in der Original-Benutzerliste – dem sogenannten Hash – vergleicht. Ist der Hash identisch, ist das Kennwort geknackt.
Wenn der Angreifer keinen Zugriff auf die Benutzerkontendatenbank bekommen hat, kann er die Kennwörter nur erraten. Und dies ist ein vergleichsweise mühseliges und langwieriges Unterfangen und würde nur mit sehr viel Glück zum Erfolg führen.
‚Passwordcracker’ – was ist denn das?
Passwortcracker sind für Insider im Internet leicht zu finden und herunterzuladen. Dies stellt das geringste Problem für die Angreifer dar. Diese Programme sind bereits sehr ausgereift und verwenden – bevor sie alle möglichen Zeichenkombinationen als Kennwort ausprobieren – zunächst einmal eine große Datei, in der alle existierenden Wörter der jeweiligen Sprache vorkommen, also ein regelrechter ‚Wörterbuchangriff’ mit zigtausenden Begriffen. Denn die Erfahrung sagt dem Hacker, dass die meisten Benutzer solche Wörter als Passwörter verwenden. Sie sind ja auch am einfachsten zu merken.
Das Durchlaufen eines oder mehrerer digitaler Wörterbücher passiert super schnell. Meist binnen Minuten oder in nur wenigen Stunden werden so die ‚Kennworte aus der Liste’ geknackt.
Für Begriffe, die nicht in Wörterbüchern vorkommen, starten die Angreifer dann oft einen ‚Angriff mit roher Gewalt’, bekannt als ‚Brute-Force-Attack’. Diese Methode probiert einfach alle möglichen Zeichen, Zahlen und Sonderzeichen durch. Das aber kann - je nach Länge des Kennwortes und dem ‚Zufallsfaktor’ (bei der Vergabe des Kennwortes durch den Anwender) erheblich länger dauern. Passwordcracker nutzen auch die Wahrscheinlichkeiten, welche Buchstaben, Ziffern und Sonderzeichen am häufigsten verwendet werden. Sogar gängige Ersetzungen (a = @ oder s = $) werden von den Crackern häufig direkt mitgeprüft.
| Hier einige Tipps, wie Sie den ‚Hackern & Crackern’ mit Ihren Passwörtern Angriffe erschweren können: |
- Verwenden Sie keine Begriffe, die in Wörterbüchern vorkommen.
|
- Jedes Kennwort sollte mindestens 8 Zeichen lang sein und möglichst...
|
- ...Klein- und Großbuchstaben, Zahlen sowie Sonderzeichen beinhalten.
|
- Je höher der Zufalls (Entropie)-Faktor bei der Auswahl, desto besser.
|
So Mancher meint, dass sich das ja dann niemand merken kann. Stimmt – deshalb notieren sie auch ihre Buchstaben- und Zahlenkombinationen an mehr oder weniger offenkundigen Plätzen und hebeln so die eigentlich erreichte größere Sicherheit wieder aus.
| Hier einige Tipps, wie man auch längere Kennwörter im Gedächtnis behält: |
- Anfangsbuchstaben: Denken Sie sich einfach zu einer Buchstabenkombination einen ausgefallenen Satz aus, den nur Sie kennen. Je ausgefallener, desto besser kann man ihn sich oft merken. Ein Beispiel: Sichere Kennwörter sind am Montag gar nicht so schwer.
Kennwort: SKsaMgnss
|
- Zusätzlich eingefügte Zahlen oder andere Zeichen erhöhen den Sicherheitsfaktor nochmals deutlich. Beispiel: SK3saM!gnss
|
- Kennwortsätze: Bei Microsoft Windows oder Lotus Notes zum Beispiel können Sie ganze Sätze als Kennwort verwenden. Mathematik und Logik zeigen, dass Kennwortsätze mit fünf oder sechs Wörtern ungefähr genauso stark sind, wie ein absolut zufällig gewähltes Kennwort aus 9 Zeichen. Der Kennwortsatz hingegen lässt sich einfacher merken, selbst wenn er keine logische Bedeutung hat. Wichtig ist jedoch, dass z.B. absichtlich Rechtschreibfehler eingebaut werden. Auch die Verwendung von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, die nicht unbedingt auf der Tastatur zu finden sind, erhöhen die Sicherheit maßgeblich.
|
- Single-Sign-On: Anwendungen lassen selten Kennwortlängen für ganze Sätze zu. Eine mögliche Lösung bietet Ihnen eventuell die Implementierung von Single-Sign-On. Bei dieser Methode wird vom Benutzer nur bei jeder Neuanmeldung am Betriebssystem ein Kennwort abgefragt. Und das darf durchaus länger sein - s.o. Das nachfolgende Öffnen der einzelnen Anwendungen verlangt dann kein Kennwort mehr. Einschränkung: Die Anwendung muss Single-Sign-On unterstützen.
|
Eine ganz andere Alternative bietet die Zwei-Faktor-Authentifizierung. Hierbei wird das Kennwort durch eine PIN ersetzt. Zweiter Faktor ist ein sogenannter Security-Token, auf dem ein Zertifikat – das eigentliche, sichere ‚Kennwort’ zur Authentifizierung – gespeichert ist. Der Security-Token ist eine Hardwarekomponente, die in der Regel eine Chipkarte enthält, aus der keine Daten herauskopiert oder manipuliert werden können. Der Token kann in der USB-Variante an einem USB-Port angeschlossen werden und integriert somit die Vorteile einer Smartcard, ohne dabei ein Kartenlesegerät zu benötigen. Und nur, wenn der Angreifer die PIN und den ‚Token’ hätte, könnte er sich erfolgreich am Netzwerk anmelden.
Allzu viele Beschäftigte glauben heute noch, persönlich in punkto Schutzmaßnahmen keinen Nachholbedarf zu haben. Wenn Sie wissen wollen, wie es in Ihrem Unternehmen um das IT-Sicherheitsrisiko bestellt ist, lassen Sie es doch auf einen Test ankommen.
Die Systemspezialisten der Nemetschek Bausoftware GmbH beraten Sie gern zu diesen Themen und helfen auch bei der Umsetzung.
| |
|