Re: Schwachstelle Passwort! - Schwachstellen

Ich hatte bis vor zwei Jahren in der Regel 7-stellige Passworte aus
Zeichen- und Ziffernkombinationen ohne erkennbare Regelmäßigkeiten.
Nachdem diese Passworte bei einem von mir durchgeführten
Sicherheitstest mittels “john” und ähnlicher Programme allesamt
aufgeflogen waren, habe ich alle meine Passworte (und die meiner
Kunden) verstärkt.
Ich kann heute nicht mehr empfehlen Passworte unter 8 Zeichen zu
benutzen und in diesen Passworten irgendeine Regelmäßigkeit erkennen
zu lassen. Satzpassworte (Anfangsbuchstaben oder ähnliches von
“Passphrases”) mit eingeschobenen Sonderzeichen oder Zahlen sind als
recht sicher anzunehmen.
Bei der Untersuchung der Systeme unter meiner Kontrolle wurden auf
diese Weise etwa 90% der von den Usern verwendeten Passwörter
ungültig. Ein erschreckend großer Teil nahm Datumswerte nach dem
simplen Motto “130954″ oder “24011934″ und dergleichen, was definitiv
heute nicht mehr ausreicht. Ebenfalls immer noch beliebt sind
Frauennamen, Automarken und dergleichen. All das wird von bestehenden
Passwortcrackern auch mit geradezu bemerkenswerter Zielstrebigkeit
innerhalb von kürzester Zeit gefunden. Solche Passworte halten in der
Regel nichtmal eine halbe Stunde intensivem Scan stand, von Angriffen
mittels verteilter Systeme rede ich da noch nicht einmal.
Ebenfalls kann ich wirklich nicht behaupten, “john” wäre in
irgendeiner Weile effizient programmiert. Ein Passwortscanner, der
auf einem Pentium-75 nur zwei oder drei Passworte pro Sekunde
generiert stellt bei weitem nicht die Gefahr dar, die ein effizient
programmierter Scanner darstellen würde. Auf einem P-75 hätte ich
zumindest ein paar tausend Passworte pro Sekunde erwartet…
Es ist auch kompletter Wahnsinn über die geradezu erschreckende
Bedenkenlosigkeit von Usern Stillschweigen zu bewahren und
vorzugeben, die Sicherheitslage wäre nicht katastrophal.
Meine Empfehlung deshalb: 10 Stellen sollten allgemeines Minimum
sein. 15 Stellen bei sicherheitsrelevanten Dingen. 20 Stellen bei
kritischen Zugängen, besser noch abschaffen des reinen Passwortes und
ersetzen durch ein Zugangssystem aus einem gespeicherten Binärcode,
sowie einem Zugangscode zu diesem Schlüssel aus einer Kombination aus
Biometrie und Schlüsselcode, wie er beispielsweise auch von SSH
unterstützt wird (zusammen mit Passcodes Biometrie wird das recht
sicher).
So wird der Zugang mittels Passwörter inzwischen nach und nach durch
bessere Verfahren ersetzt und Passwörter werden vorher grundsätzlich
mit einem Verifikationssystem überprüft. Alle Regeln für
Passworterstellungen sind dabei zu vermeiden, selbst solche
“Sicherheitsregeln” wie: es darf keine zwei gleichen Buchstaben
aufeinander geben. Wir dürfen nicht vergessen, dass genau so eine
blödsinnige Bestimmung im zweiten Weltkrieg maßgeblich für das
Brechen des Enigma-Codes verantwortlich war. Die Spiegelwalze sorgte
dafür, dass ein Buchstabe niemals als er selbst erscheinen konnte.
Das war eine Schwäche des Codes, an dem er gebrochen wurde. Genauso
gefährlich sind Regelmäßigkeiten wie “es darf keine zwei Buchstaben
hintereinander geben” und dergleichen.
Die Verwaltung von Passworten mittels gut gesicherter
Passwortverwalter (”Wallets”) ist nirgendwo gespeicherten Passworten
ebenfalls vorzuziehen, die Sicherheit der Wallet ist aber vorher
durch Experten zu überprüfen (Offene Systeme sind daher absolutes
muss).
Und warum das alles? Weil die Menschen erfahrungsgemäß die Dinger
doch irgendwo notieren oder aus Bequemlichkeit immer das selbe
Passwort benutzen.
Am besten, wie gesagt: gar kein Passwort, sondern gleich mit
public-key-Verfahren arbeiten, sprich einem Pass-Key statt einem
Pass-Wort arbeiten. Mir sind Passworte bekannt, die aus DREI
BUCHSTABEN bestehen und Zugang zu vitalen, ich wiederhole VITALEN
Systemen deutscher Großkonzerne führen (keine Namen). Aber wenn die
Verantwortlichen selbst nach Hinweis diese Passwörter nicht
verbessern, läßt sich so viel Ignoranz der Sicherheit gegenüber nur
noch durch Zwangsvorgaben begegnen.
Gruß Hanno

Mai 14th, 2008 - Posted in Allgemein | |

Leave a reply

You must be logged in to post a comment.