1929908

Sichere Passworte im Internet

09.04.2014 | 09:30 Uhr |

Und schon wieder eine Sicherheitslücke und Datenklau beim Provider. Nur mit sicheren Passwörtern begegnen Sie den Gefahren.

Rund drei Millionen E-Mail-Adressen von Kunden deutscher Provider wie der Telekom, GMX oder Freenet sind erst kürzlich Hackern in die Hände gefallen. Manche Anwender haben bereits Auswirkungen gespürt, da vor allem Spammer ihre E-Mail-Daten nutzen, um unter ihrem Namen obskure Werbebotschaften zu verschicken.

Wer über die Website der BSI die Meldung erhalten hat, die angegebene Adresse sei unter den gestohlenen, sollte sofort das Passwort für sein Mail-Konto ändern. Und nicht nur dort. Einer der größten Fehler, den man im Internet begehen kann, ist es, das gleiche Passwort mit der gleichen E-Mail-Adresse bei den unterschiedlichsten Diensten zu verwenden.

Das könnte schwere Folge haben, Kriminelle könnten etwa so auch noch an Kreditkartendaten gelangen, die bei Amazon, Google oder Apple gespeichert sind. Der zweite schwere Fehler: Zu einfache Passwörter. Mittlerweile dürfte sich zwar herumgesprochen haben, dass Passwörter wie "12345" oder "password" völlig unsicher sind, aber auch wer glaubt, eines der folgenden Passwörter sei sicher, der irrt:

  • kI(ju7hZ&gt%

  • super846geHeim

Im ersten Fall handelt es sich um eine "Keyboard-Combo", also eine Folge von Zeichen, die neben- oder übereinander auf der Tastatur liegen. Im zweiten Fall besteht das Passwort aus einem zusammengesetzten Wort mit einer dreistelligen Zahl in der Mitte. Programme wie John the Ripper und Hashcat kennen nicht nur Bruteforce-Attacken, sondern verstehen sich auch auf die Nutzung von Wörterbüchern, Textlisten mit Wörtern und Regeln für Wort-Abwandlungen.

Eine der größten frei verfügbaren Wörterbücher entstammt übrigens einem Angriff auf Rockyou . Die Liste verzeichnet 13 Millionen Passwörter. Dazu gibt es Wörterbücher in verschiedenen Sprachen. Eine Liste samt Download der Wörterbücher gibt es bei der Sicherheitsfirma Korelogic Security , die regelmäßig Wettbewerbe ausschreibt. Bei jedem erfolgreichen Angriff auf Passwortdaten, wie zum Beispiel im vergangene Jahr auf Adobe-IDs oder die erst kürzlich entdeckten auf E-Mail-Provider, vergrößern sich die Wörterbücher. Und damit die Wahrscheinlichkeit, dass auch kompliziertere Passwörter geknackt werden können.

John the Ripper Jumbo bietet über die Konfigurationsdatei bereits viele Regeln zur "Behandlung" von Passwörtern. Dazu gehört etwa die Option, Wörtern einer Liste beim Ausprobieren der Hash-Kombinationen Ziffern voran- oder nachzustellen. Wörter der Liste lassen sich zu neuen kombinieren, Groß- mit Kleinbuchstaben tauschen. Mit der "Mangling"-Option kennt das Programm einen weiteren Trick: das Austauschen von Buchstaben in einem Kennwort gegen Ziffern oder Sonderzeichen. So ist "5Up3Rg3he!M" nicht viel sicherer als "supergeheim".

Schritt für Schritt zum sicheren Passwort

Nur ein komplexes Passwort ist ein sicheres Passwort. Das muss aber nicht heißen, dass man es sich nicht merken kann. Wer ein paar wenige Regeln im Kopf behält, kann sich auch ein komplexes Passwort einfach wieder ins Gedächtnis rufen.

SCHRITT 1 Ein sicheres Passwort soll aus zwölf zufälligen Zeichen bestehen. Zunächst denken Sie sich einen markanten Satz mit zwölf Wörtern aus oder nehmen die ersten zwölf Wörter ihres Lieblingslieds oder Ähnliches.

SCHRITT 2 Das "Ausgangsmaterial" in unserem Beispiel lautet: "Mein Nachbar Emil hat immer eine Flasche Bier für mich im Kühlschrank". Wir reduzieren den Satz nun auf seine Anfangsbuchstaben. Unser Passwort lautet also "MNEhieFBfmiK" und ist so bereits sicherer als alle Passwörter, die aus bekannten Wörtern bestehen.

SCHRITT 3 Im nächsten Schritt tauschen wir Groß- gegen Kleinbuchstaben und umgekehrt, dazu zwei Buchstaben per Mangling durch Ziffern: Das "e" durch "3" und das "h" durch "4". Unser Passwort sieht jetzt schon bunt gemischt und sicher aus: "mn34I3fbFMIK".

In drei Schritten haben wir nun ein Passwort erzeugt, das nicht zu entschlüsseln ist. Natürlich ließe sich das Passwort noch komplexer machen, etwa indem wir einen Buchstaben durch ein Sonderzeichen ersetzen. Wir wollen es hier aber bei den drei Schritten belassen. Das Passwort lässt sich aus dem Gedächtnis schnell rekonstruieren, wenn man es etwa unterwegs benötigt.

Geplante Attacke

Fällt einem Angreifer eine Tabelle in die Hände, klärt er zunächst die verwendete Verschlüsselungsform samt Salt-Methode die meisten Formate erkennt John the Ripper automatisch. Dann lässt es eine große Wortliste unter Anwendung der Standardregeln gegen die Hash-Liste antreten.

Im nächsten Schritt werden erkannte Passwörter analysiert. So zeigte sich bei einer Attacke auf Linkedin im vergangen Jahr, dass viele der gefundenen Passwörter "linkedin" enthielten. Im nächsten Schritt wird eine Mangling-Regel für die Zeichenkette "linkedin" geschrieben und in die Konfigurationsdatei übernommen. John the Ripper findet im nächsten Lauf auch Passwortkombinationen, bei denen etwa "L!nk3d!n" vorkommt. Üblich sind natürlich auch Bruteforce-Attacken auf Passwörter mit einer Länge bis zu acht Zeichen sowie weiteres manuelles Finetuning der Regeln zur Wortbehandlung.

Crackern keine Chance geben

Bei derartigen Versuchen bleiben stets viele Hashes ungeknackt - die sicheren Passwörter. Sie haben in der Regel mindestens zehn Zeichen und enthalten nur zufällige Ziffern, Zeichen und Symbole. Wer sich für zwölf Zeichen Länge entscheidet, muss selbst dann keine Angst haben, wenn das Passwort nur per DES oder MD5 ohne Salt verschlüsselt wird.

Hashes, Salz und Pfeffer

Was auf den ersten Blick nach Kochzutaten aussieht, sind Methoden, um Benutzerdaten vor dem Entschlüsseln zu schützen. Der bereits seit 1991 verfügbare Hash-Algorithmus MD5 ist immer noch enorm verbreitet bei CMS-Systemen wie Blogs, Shops und so weiter. Seit 1991 ist die Rechenleistung eingesetzter PCs gewaltig gestiegen. Unser iMac i7 aus dem Jahr 2009 kann pro Sekunde gut 3 Millionen MD5-Hashes erzeugen und gegen Passwort-Hashes einer Liste testen. Um ein vielfaches schneller sind zusätzlich eingesetzte Grafikkarten. Sie sind extrem leistungsfähig, spezialisiert auf Zahlen. Eine Bruteforce-Attacke gegen ein Passwort mit acht willkürlich gewählten Zeichen ist an einem Tag erledigt.

Um die Crack-Programme auszubremsen, gibt es "bessere" Algorithmen, vor allem "Salt", zu Deutsch Salz. Bei der Verschlüsselung versteht man unter "salzen" das Versehen des vom Benutzer eingegebenen Passworts mit einer zufälligen, zusätzlichen Zeichenkette. Die so entstandene neue Zeichenkette wird erneut durch einen Hash-Algorithmus geschickt. Damit das System später den Benutzer beim Einloggen erkennt, wird das "Salz" dem Hash in der Datei im Klartext vorangestellt. Was auf den ersten Blick wie eine simple Idee wirkt, ist recht effektiv. Denn dadurch, dass das "Salz" ein zufälliger Wert ist, wird ein Programm wie John the Ripper gezwungen, haufenweise zusätzliche Kombinationen eines Passworts auszuprobieren.

Das Vorgehen erschwert oder verhindert im besten Fall auch die Nutzung von Regenbogen-Tabellen (Rainbow Tables). Dabei handelt es sich um Milliarden vorberechneter Hash-Werte in einer Tabelle. Gegen kurze, einfache Passwörter erlauben Rainbow Tables das Ermitteln des Passworts aus dem Hash oft in Minutenschnelle. Ein Salt mit einer längeren Zeichenkette bläht die Regenbogen-Tabelle derart auf, dass sie "unwirtschaftlich" beziehungsweise nicht mehr nutzbar wird.

Zwei weitere Techniken, "Pfeffer" (Pepper) und das künstliche Verlängern des Schlüssels (Key Stretching), stellen weitere Optionen für Website-Betreiber dar, schwache Passwörter ihrer Benutzer vor der Entschlüsselung zu schützen.

Melden Sie sich auf einer Site an, die Benutzerdaten nicht per Hash verschlüsselt, nützt bei einem erfolgreichen Angriff allerdings das beste Passwort nichts. Kommt das betreffende Passwort aber nur bei diesem Portal zum Einsatz, hat der Angreifer hier zwar einen Zugang, nicht aber auf andere von Ihnen genutzte Portale. Sichere Passwörter und die Regel, je ein Passwort pro "teurem" oder "wichtigem" Dienst zu nutzen, schützen Sie.

Ihre Daten in Online-Portalen

Nahezu alle Online-Dienste erfordern zur vollen Nutzung einen Benutzrenamen samt Passwort. Neben Plattformen wie Ebay, Amazon und anderen, bei denen Sie einkaufen können, gilt das auch für Foren, bei denen Sie Ihre Fragen loswerden oder Antworten für andere Benutzer geben. Der Online-Dienst speichert Benutzernamen, E-Mail und Passwort und oft weitere Angaben in einer Datenbank. Bei der Anmeldung ist nicht ersichtlich, ob die Datenbank sicher auf dem Server gelagert ist und ob Ihr Passwort verschlüsselt abgelegt ist - und wenn ja, mit welchem Algorithmus.

Ob bei Ebay, in Foren, Blogs, Facebook oder anderen Diensten - fast überall müssen Sie sich mit E-Mail-Adresse und Passwort anmelden. Die Daten werden auf dem Server in einer Tabelle gespeichert (untere Abbildung). Ihr gilt das Interesse der Hacker.
Vergrößern Ob bei Ebay, in Foren, Blogs, Facebook oder anderen Diensten - fast überall müssen Sie sich mit E-Mail-Adresse und Passwort anmelden. Die Daten werden auf dem Server in einer Tabelle gespeichert (untere Abbildung). Ihr gilt das Interesse der Hacker.

Grobe Fahrlässigkeit oder Faulheit

Ob der Betreiber eines Webportals Ihre Benutzerdaten überhaupt verschlüsselt, wissen Sie nicht. Und falls ein Hash-Verfahren zum Einsatz kommt, wissen Sie meist nicht, welches, und es bleibt ebenso im Dunkeln, ob weitere Schutzmechanismen ergriffen werden.

Eine ungeheuerliche Kombination aus grober Fahrlässigkeit und Faulheit des Website-Betreibers führte 2009 zu einem gewaltigen Daten-GAU. Angreifern gelang es, das Portal von Rockyou , einem Entwickler für Social-Media-Games, zu hacken und die Daten von 32 Millionen Benutzern zu stehlen. Rockyou hatte die Passwörter nicht verschlüsselt abgelegt, sondern im Klartext gespeichert. Möglich wurde der Angriff durch ein Sicherheitsleck der SQL-Datenbank, das zum Zeitpunkt des Datenklaus bereits zehn Jahre bekannt war. Neben den Rockyou-Benutzerdaten gingen den Angreifern auch Facebook- und Myspace-Zugangsdaten ins Netz.

Im Sommer 2012 traf es Linkedin, das große Netzwerk für Geschäftskontakte. Ein russischer Hacker veröffentlichte nach dem Angriff auf den Server die Daten von 6,5 Millionen Nutzern, die allerdings verschlüsselt vorlagen. Durch die recht einfache Verschlüsselung und ausgefeilte Hack-Techniken wurden viele Passwörter geknackt.

Für den Angriff auf Nutzerdaten gibt es haufenweise Tools, das bekannteste ist John the Ripper beziehungsweise die erweiterten Versionen John the Ripper Jumbo . Diese liegen kostenlos als Quellcode zum Selbstkompilieren oder als fertige Version (Binary) vor. Ebenfalls beliebt bei Hack-Fans und Sicherheitsbeauftragten in Firmen ist Hashcat .

Wer die Risiken der Mehrfachnutzung unsicherer Passwörter erkannt hat und entsprechend handelt, verabschiedet sich auch vom bequemen Surfen im Internet. Die meisten Nutzer verfügen über eine Apple-ID, einen Zugang zu Paypal, Ebay, Amazon und anderen Diensten, die bei Missbrauch "Geld kosten". Für jeden der Dienste sollte ein eigenes, sicheres Passwort gewählt werden.

Der Zugang zu "unwichtigeren" Foren und Portalen sollte auch jeweils mit einem eigenen Passwort abgesichert sein. Diese mögen zwar einfacher ausfallen - wären damit aber auch unsicherer. Fällt Ihr Zugang zum Kochportal einem Angreifer zum Opfer, kann er allenfalls in Ihrem Namen Beiträge posten. Zugang zu anderen Portalen gewinnt er damit nicht.

Selbst bei einer überschaubaren Anzahl von genutzten Online-Diensten ist es kaum machbar, sich 20 oder 30 Zugangsdaten inklusive Passwort zu merken. Hierbei helfen diverse Programme für den Rechner beziehungsweise Apps fürs iPad. Wir empfehlen die besonders sichere und gut durchdachte Hybrid-App 1Password von Agilebits . Mit einem Preis von 16 Euro gehört sie zwar zu den teuersten Apps im Store. Dafür ist sie ein sicherer Hafen für alle Zugangspasswörter, dazu verwaltet sie Ihre Bank- und Kreditkarten-Daten, Seriennummern und dergleichen mehr.

Die App 1Password ist ein sicherer Aufbewahrungort für Ihre Account- und Bankdaten. Über den integrierten Webbrowser können Sie die Websites direkt aufrufen und 1Password den Eintrag von Benutzernamen und Passwort überlassen.
Vergrößern Die App 1Password ist ein sicherer Aufbewahrungort für Ihre Account- und Bankdaten. Über den integrierten Webbrowser können Sie die Websites direkt aufrufen und 1Password den Eintrag von Benutzernamen und Passwort überlassen.

Die 1Password-Datei schützen Sie mit einem sicheren Master-Passwort vor dem Zugriff durch andere, die Software verschlüsselt die Datei mit dem als absolut sicher geltenden AES-256-Algorithmus, der sogar zu militärischen Zwecken eingesetzt wird. Deshalb ist es auch unproblematisch, die Synchronisation der Datei über Dropbox oder iCloud zu wählen und so an iPad, iPhone und am Rechner die jeweils aktuellen Daten zur Verfügung zu haben. Die Versionen für Windows und Mac OS sind mit 45 Euro kein Schnäppchen, die Anschaffung lohnt aber.

Neben der sicheren Verwahrung Ihrer Daten können Sie aus der App direkt einen Online-Zugang auswählen und ihn über die integrierte Webkit-Engine aufrufen. 1Password sorgt dann für die automatische Übergabe von Benutzername und Passwort.

Fazit

Ein Daten-GAU lässt sich fast komplett ausschließen. Dafür müssen Sie allerdings etwas Unbequemlichkeit in Kauf nehmen und für Accounts im Internet sichere Passwörter wählen.

0 Kommentare zu diesem Artikel
1929908