Ist Ihr Passwort sicher genug? Neue Regelungen für Passwortsicherheit!
Roland Portmann setzt sich für praktische und wirkungsvolle Mechanismen in der IT-Security ein. Heute werden viele Pseudomethoden eingesetzt und propagiert, wie im Endeffekt kaum etwas bringen und grosse Schäden verursachen können. Als IT-Spezialist arbeitet Roland Portmann bei der Hochschule Luzern, bei SQS als 27001 Fachexperte. Er macht IT-Security Audits und Beratungen bei der isec AG.
Demnach sollen Passwörter heute vor allem vor der Verwendung mit bekannten Passwortlisten abgeglichen werden, sollten möglichst lang aber nicht mit Wörter aus dem Wörterbuch oder aus den Passwortlisten bestückt sein. Gemäss den altbekannten Anforderungen an Passwörtern sollte man sein Passwort regelmässig wechseln. Dies ist nach Aussage des NIST nicht erforderlich, solange das Passwort nicht kompromittiert wurde. Ein Passwort gilt heute als sicher, wenn es nicht in den sogenannten Passwortlisten vorkommt.
So überprüfe ich mein Passwort
Passwörter können auf verschiedenen Portalen auf ihre Stärke überprüft werden, Geben Sie beispielsweise auf passwortcheck.ch das Passwort «juduHu27.» ein. Sie erhalten dabei eine Rechenzeit von einem Tag als Resultat. Was sind dies für Zeiten? Wann sind diese Zeiten relevant? Auf diese Fragen findet man selten eine Antwort.
Die Bedeutung der Rechenzeit von Passwort-Check-Portalen
In der Regel werden Passwörter im Authentisierungssystem (Login auf Web-Services, Active Directory usw.) nicht im Klartext gespeichert, sondern es wird der Hashwert des Passwortes gespeichert. Ein Hashwert ist das Resultat einer mathematischen Einweg-Funktion. Bei einer Einwegfunktion kann das Resultat (der Hashwert) effizient berechnet werden. Wenn ich aber den Hashwert kenne, gibt es keinen effizienten Weg, den Eingangswert der Funktion (eben das Passwort) zu berechnen.
Die einzige Möglichkeit ist eine Bruteforce-Attacke, bei der von allen möglichen Passwörtern der Hashwert berechnet wird. Falls der Hashwert zufällig übereinstimmt, dann hat man das Passwort gefunden. Die angegebene Zeit auf den Passwortcheck-Webseiten entspricht der Zeit in der ein üblicher Rechner mit einem guten Hacking-Programm mit grosser Wahrscheinlichkeit das Passwort mittels einer Bruteforce-Attacke finden kann.
Wie kommt nun ein Hacker an den Hashwert eines Passwortes?
Das scheint auf dem ersten Blick gar nicht einfach zu sein, da die meisten Betriebssysteme die Hashwerte sehr gut schützen und bei modernen Authentisierungsprotokollen der Hashwert des Passworts nicht mehr über das Netzwerk übertragen wird. Es gibt aber einige Möglichkeiten für Angreifer an den Hashwert der Passwörter zu kommen:
Mittels manipulierten Netzwerk-Paketen wird dem Betriebssystem vorgegaukelt, dass der Kommunikationspartner die modernen Authentisierungsprotokolle nicht unterstützt. Vielfach schaltet dann das Betriebssystem automatisch auf alte, unsichere Authentisierungsprotokolle um, bei denen der Hashwert des Passwortes über das Netzwerk übertragen wird.
Sehr viele Cloud-Provider und Webseiten wurden in den letzten Jahren gehackt. Schauen sie unter haveibeenpwned.com nach, ob ihr Passwort darunter ist. Sie sehen auch über welche Web-Dienste und zu welchem Zeitpunkt ihr Passwort bekannt wurde. Diese Listen mit vielen Usernamen und Passwörtern werden auf dem Internet (Darknet) gegen recht hohe Preise angeboten. Falls Services mit ihrem Passwort gehackt wurden und Sie das Passwort seit dem Zeitpunkt des Angriffes nicht geändert habe, ändern Sie das Passwort sofort.
Bei vielen Angriffen auf das Passwort wird direkt das Klartext-Passwort ermittelt. Dann muss das Passwort gar nicht zuerst gehackt werden, sondern kann direkt verwendet werden. Auf dem Internet (Darknet) sind auch viele Listen gegen Bezahlung erhältlich bei denen dem Benutzernamen (Mail-Adresse) gleich das funktionierende Klartext-Passwort zugeordnet ist. Es gibt viele Methoden, wie man an das Klartext-Passwort kommt:
-
Phishing-Attacken funktionieren bei allen Firmen. Der Anwender wird auf eine fremde Webseite geführt (Dazu werden beispielsweise Wettbewerbe oder Vergünstigungen versprochen). Auf der fremden Webseite muss sich der Anwender scheinbar anmelden (Username/Passwort). Der Angreifer hat dann einen Username und das zugehörige Passwort. Die Erfahrung zeigt, dass bei einer gut konzipierten Phishing-Attacke über 50% der Mitarbeitenden die internen Benutzernamen/Passwörter bekannt geben.
-
Man beobachtet oder filmt einen Benutzer bei der Eingabe des Passwortes.
-
Viele Benutzer schreiben die Passwörter auf und «verstecken» die Notiz in der Nähe des Computers bzw. der Tastatur.
-
Passwörter werden vielfach bei mobilen Betriebssystemen z.B. Auf dem Smartphone hinterlegt und können durch Apps ausgelesen werden.
-
Sehr häufig verwendet man auf mehreren Webseiten das gleiche Passwort. Wenn eine Webseite gehackt wird, sind die Passwörter für die anderen Webseiten bekannt.
So kommen Hacker an Ihr Passwort
Hacker nutzen heute überwiegend gute Hacking-Programm um an Passwörter zu gelangen. Diese Programme versuchen nicht einfach alle Möglichkeiten durchzuprobieren, sondern sie nutzen alle möglichen «Tricks» der Passwort-Anwender und versuchen damit viel schneller zum gewünschten Resultat zu kommen als bei einem systematischen Durchprobieren.
Wir haben für Sie in diesem Blogpost die Tricks der sogenannten Hacking-Programme aufgelistet:
- Ein Teil des Passwortes ist in einem Wörterbuch zu finden. Viele Passwort-Anwender nutzen im Passwort Wörter, die man auch in einem Wörterbuch findet. Das Hacking-Programm reichert die Wörterbucheinträge vor allem mit Zahlen vor, und Zahlen nach dem Passwort oder auch mit Sonderzeichen an.
- Ein Teil der Buchstaben oder Zahlen werden durch ähnliche Zeichen ersetzt, d.h. aus «i» wird ‘l’, aus «s» wird «3», aus «I» wird «!». Es gibt riesige Listen im Internet, was so Nutzer typischerweise versuchen bzw. in der Vergangenheit durchgeführt haben.
- Es werden Listen von bereits verwendeten Passwörtern verwendet. Im Internet findet man Listen von weit über 1'000'000'000 üblichen Passwörtern. Mit einer Wahrscheinlichkeit von weit über 95% ist in diesen Listen auch ein als sicher taxiertes Passwort zu finden.
- Passwort-Cracker arbeiten teilweise mit Rainbow Tables. Rainbow-Tables sind riesige, extrem stark komprimierte Tabellen, bei denen die Hashwerte von potentiellen Passwörtern vorberechnet werden. Teilweise wird seit Jahren an diesen Rainbow-Tables gerechnet. Wenn ein Hashwert in diese Tabellen vorhanden ist, wird das Passwort in kurzer Zeit (wenigen Minuten) gefunden. Die Rainbow-Tables werden auf dem Internet gegen entsprechende Bezahlung angeboten.
Es gibt immer mehr «Tricks», die die Passwort-Cracker kennen. Damit wird es immer schwieriger, ein wirklich sicheres Passwort zu finden.
Die empfohlenen Massnahmen können weiterhelfen. Meistens sind aber die Angreifer cleverer als der Normalbenutzer.
Fazit, ein auch gutes Passwort ist heute nicht mehr absolut sicher. Wirklich sicher ist eine Firma nur, wenn alternative Authentisierungsmethoden (Biometrie siehe Blogartikel, Zweifaktor-Authentisierung, Smartcards usw.) verwendet werden.
Empfohlene Artikel: