Montag, 24. September 2007Passwort Sicherheit
Heutzutage spielen das Internet und die Computer eine zentrale Rolle in unserem Leben. Durch die Passwörter authentifizieren wir uns an einem Computer um Dienst in Anspruch zu nehmen. Passwörter sind aus dem Grund sehr wichtig. In diesem Artikel lernen wir die Vorgehensweise der Cracker kennen um dann sichere Passwörter zu generieren.
Wie werden Passwörter geknackt? Es gibt dazu viele Methoden. Wir beschäftigen uns mit den 3 häufigsten Methoden. Dictionary Attacken, Brute Force Attacken, und Hybrid Attacken. Dictionary-Attacken: Bei dieser Angriffsmethode werden Wörter, die sich in einer Wortliste befinden, hintereinander durchprobiert bis das Passwort geknackt ist. In den Wortlisten befinden sich Wörter aus allen Bereichen des Lebens. Sie können Namen von Promis, bekannte Filme, Orte, Bücher enthalten. Manchmal werden Wortlisten aus den Informationen (Geburtsdatum, Geburtsort, Name, Nachname) des Opfers generiert. Dictionary Attacken sind sehr schnell, aber logischerweise kann man nur Passwörter knacken, die sich in den Wortlisten befinden. Das heißt man ist auf sehr gute Wortlisten angewiesen. Brute Force-Attacken: Bei dieser Methode werden alle möglichen Passwortkombinationen, die man per Tastatur eingeben kann, hintereinander ausprobiert, bis das Passwort geknackt ist. Der Nachteil dabei ist, dass es sehr lange dauert bis das Passwort geknackt ist. Hybrid-Attacken: Hierbei werden die beiden Methoden miteinander kombiniert. Hinter oder vor den Wörtern in den Wortlisten werden bestimmte Zahlen oder Buchstaben systematisch angehängt, um neue Passwörter zu generieren. Einer das Wörter im Wortlist könnte „Secret“ lauten und jetzt hängen wir dahinter alle Zahlen von 1 bis 2500. Die neuen möglichen Passwörter sind: Secret1 Secret2 … Secret2499 Secret2500 Worauf man beim Passwort generieren achten sollte
Oben haben wir die Methoden der Cracker kennen gelernt, jetzt beschäftigen wir uns damit, worauf wir achten müssen, wenn wir Passwörter erstellen. Was man auf gar kein Fall tun sollte: - Namen von sich selber, Familie, Freundin, Bekannten, Haustieren oder berühmte Personen - Loginnamen/Rechnernamen/Seitennamen - Name von Bekannten Personen, Orten, Marken, Filmen, Bücher etc - Telefonnummer, Versicherungsnummer, Autokennzeichen - Musterketten wie: 123456,qwertz,qqqqqq, - Geburtsdatum, Geburtsort - Ein Wort, das sich in einem Wörterbuch befindet, egal welcher Sprache. als Passwort wählen. So sollte ein Passwort sein: - Mindestens 8 Zeichen lang - Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen enthalten - Alle 30-90 Tage ändern. - Zahlen in die Mitte schreiben - Für jeden Account ein anderes Passwort - Sie dürfen keinen Sinn ergeben Worauf man sonst achten sollte: - Das Passwort weitersagen - Passwort aufschreiben (wenn doch, dann modifizieren und nicht schreiben, dass es Passwort von xyz ist) - Nicht auf dem Monitor kleben oder auf dem Pult lassen. Faustregel für Passwörter ist: Wenn man bei google nach dem Passwort sucht, sollte es keine Ergebnisse geben. (Natürlich sollte man nicht danach suchen, wer weiß was google mit dem Suchanfragen anstellt) Wie generiert man sichere Passwörter? Wie sicher ein Passwort sein muss hängt immer davon ab, wofür wir es brauchen. Je wichtiger ein Passwort ist, desto „komplexer“ muss es sein. Manchmal muss man sich auf einer Seite registrieren um eine Datei herunterladen zu können. Dieses Passwort muss nicht so „sicher“ sein, wie ein Passwort für ssh Zugang auf einem Server. Passwörter kann man in zwei Kategorien einteilen; 1. Sehr wichtige Passwörter, 2. weniger wichtige Passwörter. Welchen Vorteil hat das? Zum einen muss man sich dann nicht sehr viele komplexe Passwörter merken. Außerdem wenn man überall nachdem gleichen Schema Passwörter generieren würde, könnte man leicht Opfer eines Angriffs werden. Weniger wichtige Passwörter generieren: Solche Passwörter könnte man nehmen, wenn man sich auf einer einfachen Webseite registrieren muss, um einen Beitrag zu lesen/schreiben oder eine Datei herunter zu laden. Natürlich sollte man nicht solche Passwörter für ebay, amazon etc nehmen. Hier lernen wir zwei Methoden um einfache Passwörter zu generieren. 1. Was wäre, wenn wir als Passwort „Baum“ nehmen? Zu einfach oder? Und wie wäre es mit „0b4dbe904394456d0500f92a6db3b3ed“? Das ist dasselbe Passwort nur mit MD5 Verschlüsselt. Jetzt sieht es viel komplizierter aus. Mit php kann es sehr leicht umgewandelt werden. echo md5(“Baum“); ?> Einen kleinen Haken hat die Sache, hier hat man nur 16 verschiedene Zeichen zur Auswahl. Außerdem wenn jemand weiß, dass wir einfache Wörter in MD5 umwandeln, wird es nicht sehr schwer sein unser Passwort zu knacken. 2. Manchmal muss man sich auf sehr viele Webseiten anmelden, die man vielleicht einmal im Jahr besucht. Es wird sehr schwierig werden sich an das Passwort zu erinnern. Deswegen sollte man für solche Seiten nach einer Logik Passwörter generieren. Wenn wir uns auf example.com registrieren, wie könnte unser Passwort aussehen? Das Wort „example“ wäre viel zu einfach. Was wäre wenn wir das erste und letzte Zeichen weglassen würden? „xampl“. Sieht bissen schwieriger aus und jetzt brauchen wir nur noch eine Zahl. Die Anzahl der Zeichen des Domainnamen zum Quadrat, example=7, 7 x 7 = 49. Jetzt fügen wir das Vorne, Hinten oder in die Mitte ein. Unser Ergebnis: Xampl49 Wichtige Passwörter generieren Es gibt 2 Methoden um sichere Passwörter zu generieren, 1. Satz ausdenken, 2. Wörter verbinden. 1. Satz ausdenken: Man denkt sich einen Satz aus und nimmt jeden ersten/zweiten… Buchstaben. Unser Satz lauet: 2 Kilo Eisen ist leichter als 3 Kilo Wolle Daraus wird “2KEila3KW“. Bis jetzt sieht’s gar nicht mal so schlecht aus, aber Sonderzeichen fehlen. Nach jeden 3 Zeichen kommt ein - und Nach jeden 5 Zeichen kommt ein @. 2KE-il@a-3KW. Dieses Passwort könnte man viel komplexer machen indem man weitere solche Schritte vornimmt. 2. Wörter verbinden: Man verbindet zwei Wörter die nichts mit einander zu tun haben. Unsere Wörter sind „Wolle“ und „Music“. Wir können uns Leet Speak zu Nutze machen und Buchstaben durch Zahlen ersetzen. Aus Wolle wird W0ll3 und aus Music wird mu51c. Die beiden Wörter zusammen mit einem Smiley dazwischen ergibt : W0ll3(o_0)Mu51c erste und letzte Buchstabe ersetzen wir durch <> daraus wird <0ll3(o_0)Mu51>. Natürlich könnte man weitere Schritte vornehmen, um es noch komplizierter zu machen, aber das ist hier nicht notwendig. Das ist das Prinzip, nach diesem Schema kann man beliebige Passwörter erstellen. Ich habe ein sicheres Passwort, ist mein Account sicher? Leider nicht, es reicht nicht nur ein sicheres Passwort zu erstellen, man muss damit auch sicher umgehen. Es gibt weitere Bedrohungen wie Sniffer, Phishing, Keylogger/Trojaner oder gespeicherte Passwörter Sniffer: Im Internet werden die Daten als kleine Pakete von A nach B über mehrere Computer transportiert. Da die Übertragung nicht verschlüsselt ist, kann sie mit Hilfe von automatisierten Programmen (Sniffer) abgehört werden. Das heißt jeder, der Zugang zu den Computern hat, kann die Daten, unter Anderem auch die Passwörter, abfangen. Da das Internet abgehört wird, sollte man den Internetverkehr verschlüsseln. HTTP/S: Allgemein werden die Daten beim Aufruf einer Webseite über HTTP (HyperText Transfer Protocol) transportiert und diese Verbindung ist unverschlüsselt. Deswegen setzen viele Banken, Online Shops auf HTTPS (Hypertext Transfer Protocol Secure). Das erkennt man an der URL der Seite, die anstatt mit „http://“, mit „https://“ anfängt und unten rechts im Browser ist ein „Schloss-Icon“. Wenn es möglich ist, sollte man immer HTTPS benutzen. Telnet/SSH: Mit Hilfe von Telnet kann man sich auf entfernte Computer anmelden und arbeiten. Der Nachteil liegt darin, dass die Anmeldung und weitere Übertragung unverschlüsselt ist. Das heißt es ist abhörbar und aus diesem Grund wurde SSH (Secure Shell) entwickelt. FTP/SFTP/FTPS: FTP (File Transfer Protocol) ermöglicht den Datentransfer zwischen zwei Computern. Das selbe Problem haben wir auch hier, dass die Daten unverschlüsselt übertragen werden und abhörbar sind. Aus dem Grund sollte man auf SFTP (Secure File Transfer Protocol) oder FTPS (FTP über SSL) setzen. Phishing: Der Angreifer schickt eine Mail und gibt sich als eine vertrauenswürdige Person aus und verlangt von seinem Opfer seine Daten (Name, Passwort, Kundennummer…) einzutippen. Nutzer von vielen großen Banken, Communitys, E-Mail Provider sind Ziele solcher Angriffe. Eine Bank fragt per Mail niemals nach persönlichen Daten. Man muss immer wachsam gegen solche Angriffe sein und nicht immer alles blind glauben. Keylogger/Trojaner: Keylogger und Trojaner sind schädliche Programme, die alles was der Opfer eintippt, speichern und an den Angreifer verschicken. Trojaner gehen sogar viel weiter und öffnen Hintertüren für den Angreifer und so kann er sich auf dem Computer des Opfer einloggen und Befehle ausführen. Um sich vor solchen Angriffen zu schützen, sollte man keine Dateien von unbekannten Personen annehmen und die von Freunden sollte man mit einem Anti-Virus Programm scannen. Man kann sich nicht immer auf Anti-Virus Programme verlassen, da sie nur Schädlinge erkennen, die sich in ihrer Datenbank befinden. Gespeicherte Passwörter: Es ist sehr praktisch Passwörter zu speichern, man muss sie dann nicht jedes Mal eintippen, wenn man sich anmelden möchte. Der Nachteil liegt darin, dass jeder der Zugang zu dem Computer hat, die Passwörter sehr leicht entschlüsseln kann. Deswegen sollte man Passwörter generell nicht speichern. Öffentliche PCs: Die öffentlichen Computer, z.B. Internetcafes sollte man nicht für sehr wichtige Dinge nutzen. Da andere Kunden oder der Besitzer dort Programme installiert haben könnten. Wenn es unbedingt notwendig sein sollte, könnte man es nutzen und später wenn man zu Hause ist, das Passwort wieder ändern. Natürlich wenn es nicht bereits von dem Angreifer geändert wurde. Das artikel kann man hier als PDF herunterladen: Passwort Sicherheit © Ali Recai Yekta Trackbacks
Trackback für spezifische URI dieses Eintrags
Keine Trackbacks
|
SprachauswahlLinksCategoriesSuche |