Der 1. Februar ist der Ändere-Dein-Passwort-Tag. Das Datum hatten die Blogs Gizmodo und Lifehacker im Jahr 2012 relativ willkürlich auf festgelegt, die Aufmerksamkeit für sichere Passworte sollte aber nicht nur heute hoch sein. Übrigens: Sein Passwort von “geheim” in “streng geheim” oder von “12345” zu “54321” zu ändern, ist mit der Aktion nicht gemeint. Was ein sicheres Passwort ausmacht, wie Sie Ihre unterschiedlichen Passworte verwalten und sich ein hoch sicheres Masterpasswort merken können lesen Sie in diesem Ratgeber:
Der digitale Daten-GAU sieht in etwa so aus: Sie starten morgens Ihr iPad oder iPhone, um die Mails abzufragen. Das Mail-Programm meldet, dass Ihr Passwort falsch ist. Der Versuch, das Problem über das Portal des Mail-Providers zu lösen, schlägt ebenso fehl wie die Nutzung anderer Mail-Accounts oder das Einloggen bei Ebay, Paypal, Facebook und anderen Diensten. Während Sie weiter versuchen, das Problem zu lösen, wird das iPad oder iPhone wie von Geisterhand plötzlich gelöscht, alle Daten sind verloren. In den folgenden Tagen schlagen Rechnungen für den Kauf von Waren bei Ihnen auf, die Sie nie bestellt haben. Ihre Freunde bei Facebook wundern sich derweil ebenso über merkwürdige neue Statusmeldungen wie Ihre Follower bei Twitter über den Inhalt Ihrer Tweets.
Feindliche Übernahme
Ihre digitale Identität wurde übernommen, Sie haben ein echtes Problem. Wer als iPad-Benutzer keinen Rechner sein Eigen nennt, könnte in diesem Fall die Schuld bei Apple suchen, genauer beim mangelhaften Schutz der Daten auf dem Tablet-PC. Wir werden in diesem Artikel erklären, wie es zu einem solchen Szenario kommen kann und wo die Schuldigen zu suchen sind. Dabei erläutern wir, welche Maßnahmen zum Schutz Ihrer Daten und digitalen Identität zu ergreifen sind, damit Ihnen eine vergleichbare Katastrophe nicht droht. Darüber hinaus zeigen wir, dass die bereits von Haus aus in den Geräten integrierten Schutzmechanismen Ihre Daten sehr gut sichern – so Sie sie denn auch nutzen. Getreu dem Motto „Nur wer Datensicherheit versteht, kann sie auch leben und anwenden“ beschreiben wir Schritt für Schritt alle Maßnahmen, die einen Daten-GAU verhindern helfen. Zum besseren Verständnis stellen wir auch die Techniken vor, die Angreifer auf Ihre digitale Identität nutzen – und natürlich wirksame Gegenmittel.
Ursachenforschung: Datenklau-Szenario
Damit ein Angreifer Ihre komplette digitale Identität übernehmen kann, müssen mehrere Faktoren zusammenkommen. Natürlich ist bereits der Rechner eine potenzielle Gefahrenquelle, Stichwort Trojaner und Phishing. Auf dem Rechner sollte daher ein gutes Virenschutzpaket installiert sein. Viele iPad-Benutzer setzen außerdem gar keinen Rechner ein, sind aber dennoch gefährdet.
Jeder Besitzer eines Computers mit Internet-Verbindung, egal ob Smartphone, Tablet, Laptop oder Desktop, nutzt Online-Dienste, Foren, soziale Netzwerke, Blogs und mehr, um sich zu informieren oder zu kommunizieren. Bei fast allen Diensten müssen Sie sich mindestens mit Ihrer E-Mail-Adresse und einem Passwort anmelden, oft zudem Namen, Geburtsdatum und mehr angeben. Andernfalls können Sie weder in Foren posten, noch bei Ebay, Amazon oder anderen aktiv werden. Auch für den Kauf von Musik, Apps und so weiter ist eine Registrierung nötig – etwa über die Apple-ID. (Der Autor dieses Beitrags nutzt das Internet aktiv, mit über 100 Zugängen zu diversen registrierungspflichtigen Diensten.)
Zur genannten Katastrophe kann es prinzipiell sehr einfach kommen: Fast täglich finden im Internet Angriffe auf Webserver statt, mit dem Ziel, Benutzerdaten zu stehlen. Die meisten Angriffe werden kaum bekannt, nur die auf die großen Portale. Gelingt es einem Angreifen etwa, die Site eines Portals für Kochfreunde zu hacken und der User-Liste habhaft zu werden, kann das Unheil seinen Lauf nehmen. Steht dem Angreifer Ihre Mail-Adresse nebst Passwort für das betreffende Portal zur Verfügung, kann er mit den Daten versuchen, auch bei Paypal, Ebay, Apple und in anderen Foren Erfolg zu haben. Voraussetzung wäre dann natürlich, dass Sie nur ein Passwort für mehrere Online-Zugänge nutzen – was grundsätzlich keine besonders gute Idee ist.
Ihre Daten in Online-Portalen
Nahezu alle Online-Dienste erfordern zur vollen Nutzung einen Benutzrenamen samt Passwort. Neben Plattformen wie Ebay, Amazon und anderen, bei denen Sie einkaufen können, gilt das auch für Foren, bei denen Sie Ihre Fragen loswerden oder Antworten für andere Benutzer geben. Der Online-Dienst speichert Benutzernamen, E-Mail und Passwort und oft weitere Angaben in einer Datenbank. Bei der Anmeldung ist nicht ersichtlich, ob die Datenbank sicher auf dem Server gelagert ist und ob Ihr Passwort verschlüsselt abgelegt ist – und wenn ja, mit welchem Algorithmus.
Sicherheit im Web
Wie aber kommen Angreifer an diese Tabellen mit den Daten? Ohne ins Detail zu gehen, werfen wir einen Blick auf die Funktionsweise und Technik bei Websites. Die meisten Onlineshops, Spieleplattformen, Foren und Blogs nutzen eine Scriptsprache (meist PHP ) und eine Datenbanksoftware (meist MySQL ), um die Seiten dynamisch anzuzeigen. Oft werden diese Systeme CMS genannt (Content Management System). Die Login-Daten der Benutzer landen in einer Datenbanktabelle. Dieser gilt der Hacker-Angriff.
Beliebt und immer mal wieder erfolgreich sind SQL-Injections und/oder Angriffe über die Scriptsprache. Wie bei Betriebssystemen gibt es deshalb ständig Sicherheits-Patches und Updates für PHP und MySQL, die das verhindern. Gerade kleinere Betreiber einer Seite ändern aber eine bestehende Installation eher selten, sind dann offen für Angriffe.
Um das Ausspähen der Passwörter zu verhindern, verschlüsseln Betreiber einer Website – beziehungsweise verschlüsselt das CMS – die Nutzer-Passwörter mithilfe eines kryptografischen Hash-Verfahrens (siehe Kasten). Weit verbreitet ist der „Message-Digest Algorithm 5“ (kurz MD5 ), der bereits 1991 entwickelt wurde. Dabei leitet ein Algorithmus aus dem vom Benutzer eingegebenen Passwort eine Zeichenkette (den Hash-Wert) ab, die keinen Rückschluss auf das Passwort zulässt, und speichert diese. Meldet sich der Benutzer das nächste Mal am Portal an, wird das eingegebene (Klartext-)Passwort wiederum verschlüsselt und der Hash-Wert mit dem hinterlegten verglichen.
Hashes, Salz und Pfeffer
Was auf den ersten Blick nach Kochzutaten aussieht, sind Methoden, um Benutzerdaten vor dem Entschlüsseln zu schützen. Der bereits seit 1991 verfügbare Hash-Algorithmus MD5 ist immer noch enorm verbreitet bei CMS-Systemen wie Blogs, Shops und so weiter. Seit 1991 ist die Rechenleistung eingesetzter PCs gewaltig gestiegen. Unser iMac i7 aus dem Jahr 2009 kann pro Sekunde gut 3 Millionen MD5-Hashes erzeugen und gegen Passwort-Hashes einer Liste testen. Um ein vielfaches schneller sind zusätzlich eingesetzte Grafikkarten. Sie sind extrem leistungsfähig, spezialisiert auf Zahlen. Eine Bruteforce-Attacke gegen ein Passwort mit acht willkürlich gewählten Zeichen ist an einem Tag erledigt.
Um die Crack-Programme auszubremsen, gibt es „bessere“ Algorithmen, vor allem „Salt“, zu Deutsch Salz. Bei der Verschlüsselung versteht man unter „salzen“ das Versehen des vom Benutzer eingegebenen Passworts mit einer zufälligen, zusätzlichen Zeichenkette. Die so entstandene neue Zeichenkette wird erneut durch einen Hash-Algorithmus geschickt. Damit das System später den Benutzer beim Einloggen erkennt, wird das „Salz“ dem Hash in der Datei im Klartext vorangestellt. Was auf den ersten Blick wie eine simple Idee wirkt, ist recht effektiv. Denn dadurch, dass das „Salz“ ein zufälliger Wert ist, wird ein Programm wie John the Ripper gezwungen, haufenweise zusätzliche Kombinationen eines Passworts auszuprobieren.
Das Vorgehen erschwert oder verhindert im besten Fall auch die Nutzung von Regenbogen-Tabellen (Rainbow Tables). Dabei handelt es sich um Milliarden vorberechneter Hash-Werte in einer Tabelle. Gegen kurze, einfache Passwörter erlauben Rainbow Tables das Ermitteln des Passworts aus dem Hash oft in Minutenschnelle. Ein Salt mit einer längeren Zeichenkette bläht die Regenbogen-Tabelle derart auf, dass sie „unwirtschaftlich“ beziehungsweise nicht mehr nutzbar wird.
Zwei weitere Techniken, „Pfeffer“ (Pepper) und das künstliche Verlängern des Schlüssels (Key Stretching), stellen weitere Optionen für Website-Betreiber dar, schwache Passwörter ihrer Benutzer vor der Entschlüsselung zu schützen.
Erlangt ein Angreifer die Benutzerdaten mit Hash-verschlüsselten Passwörtern, nutzt er Programme, die Klartextpasswörter mit hoher Geschwindigkeit in Hashes umwandeln und mit denen aus der Benutzerliste vergleichen – dazu später mehr.
Grobe Fahrlässigkeit oder Faulheit
Ob der Betreiber eines Webportals Ihre Benutzerdaten überhaupt verschlüsselt, wissen Sie nicht. Und falls ein Hash-Verfahren zum Einsatz kommt, wissen Sie meist nicht, welches, und es bleibt ebenso im Dunkeln, ob weitere Schutzmechanismen ergriffen werden.
Eine ungeheuerliche Kombination aus grober Fahrlässigkeit und Faulheit des Website-Betreibers führte 2009 zu einem gewaltigen Daten-GAU. Angreifern gelang es, das Portal von Rockyou , einem Entwickler für Social-Media-Games, zu hacken und die Daten von 32 Millionen Benutzern zu stehlen. Rockyou hatte die Passwörter nicht verschlüsselt abgelegt, sondern im Klartext gespeichert. Möglich wurde der Angriff durch ein Sicherheitsleck der SQL-Datenbank, das zum Zeitpunkt des Datenklaus bereits zehn Jahre bekannt war. Neben den Rockyou-Benutzerdaten gingen den Angreifern auch Facebook- und Myspace-Zugangsdaten ins Netz.
Im Sommer 2014 traf es Linkedin, das große Netzwerk für Geschäftskontakte. Ein russischer Hacker veröffentlichte nach dem Angriff auf den Server die Daten von 6,5 Millionen Nutzern, die allerdings verschlüsselt vorlagen. Durch die recht einfache Verschlüsselung und ausgefeilte Hack-Techniken wurden viele Passwörter geknackt.
Für den Angriff auf Nutzerdaten gibt es haufenweise Tools, das bekannteste ist John the Ripper beziehungsweise die erweiterten Versionen John the Ripper Jumbo . Diese liegen kostenlos als Quellcode zum Selbstkompilieren oder als fertige Version (Binary) vor. Ebenfalls beliebt bei Hack-Fans und Sicherheitsbeauftragten in Firmen ist Hashcat .
Für die weiteren Betrachtungen haben wir John the Ripper 1.7.9 Jumbo 7 unter OS X für die Nutzung von vier Prozessorkernen kompiliert. Das Programm muss per Terminal bedient werden und bietet den Bruteforce-Modus, kann aber auch mit Wörterbüchern und Regeln versuchen, Passwörter zu ermitteln. Es bildet aus Wörtern eines Wörterbuchs mit oder ohne Regeln oder per Bruteforce Hash-Werte und vergleicht diese mit der Hash-Liste oder einem Passwort-Hash. In einer Welt mit unendlich schnellen Rechnern ließe sich damit jedes Passwort knacken. Auch bei Nutzung eines Rechners mit mehreren Grafikkarten zur Unterstützung klappt das in annehmbarer Zeit nur bei zufälligen Passwörtern mit bis zu acht Zeichen. Bei zwölf Zeichen ist eine Bruteforce-Attacke nicht mehr machbar.
Bruteforce und Wörterbücher
Bei einer Bruteforce-Attacke muss der Rechner, auf dem das Programm zum Ermitteln des Passworts installiert ist, alle möglichen Kombinationen ausprobieren. Bei Verwendung von Groß- und Kleinbuchstaben (ASCII-Zeichensatz) sowie Ziffern und Sonderzeichen stehen für jedes Zeichen 95 Möglichkeiten zur Verfügung. Der Einfachheit halber rechnen wir mit 100 Zeichen. Bei einem Passwort aus zwei Zeichen ergibt das 10.000 Möglichkeiten, jedes zusätzliche Zeichen im Passwort erhöht die Möglichkeiten um den Faktor 100.
Während sich Passwörter mit bis zu sieben Zeichen in vertretbarem Zeitraum knacken lassen, benötigt ein Rechner für ein zufälliges Passwort mit acht Zeichen Jahre. Ein mit mehreren Grafikkarten aufgerüsteter Rechner schafft das allerdings an einem Tag. Bei einem Passwort mit zwölf zufälligen Zeichen wäre aber auch bei einer solchen Ausstattung die Erde Vergangenheit, bis ein Passwort geknackt wäre. Leider wählen viele Benutzer Passwörter, die zu kurz sind, oder solche, die sich leicht merken lassen.
Hier greifen weitere Techniken: Wörterbücher und Regeln. Wir haben zum Test das Wörterbuch Uniqpass mit gut 130 Millionen Passwörtern gegen verschiedene Listen mit MD5-Hashes eingesetzt. In kurzer Zeit ließen sich jeweils rund die Hälfte der Passwörter ermitteln. Der Einsatz von Regeln erweitert die Suchoptionen, man findet dann neben „meister“ aus dem Wörterbuch auch „mEister123“, „M3!5ter“ und so weiter.
Schwache Passwörter
Wer glaubt, eines der folgenden Passwörter sei sicher, der irrt:
- kI(ju7hZ>%
- super846geHeim
Im ersten Fall handelt es sich um eine „Keyboard-Combo“, also eine Folge von Zeichen, die neben- oder übereinander auf der Tastatur liegen. Im zweiten Fall besteht das Passwort aus einem zusammengesetzten Wort mit einer dreistelligen Zahl in der Mitte. Programme wie John the Ripper und Hashcat kennen nicht nur Bruteforce-Attacken, sondern verstehen sich auch auf die Nutzung von Wörterbüchern, Textlisten mit Wörtern und Regeln für Wort-Abwandlungen.
Eine der größten frei verfügbaren Wörterbücher entstammt übrigens dem erwähnten Angriff auf Rockyou . Die Liste verzeichnet 13 Millionen Passwörter. Dazu gibt es Wörterbücher in verschiedenen Sprachen. Eine Liste samt Download der Wörterbücher gibt es bei der Sicherheitsfirma Korelogic Security , die regelmäßig Wettbewerbe ausschreibt.
John the Ripper Jumbo bietet über die Konfigurationsdatei bereits viele Regeln zur „Behandlung“ von Passwörtern. Dazu gehört etwa die Option, Wörtern einer Liste beim Ausprobieren der Hash-Kombinationen Ziffern voran- oder nachzustellen. Wörter der Liste lassen sich zu neuen kombinieren, Groß- mit Kleinbuchstaben tauschen. Mit der „Mangling“-Option kennt das Programm einen weiteren Trick: das Austauschen von Buchstaben in einem Kennwort gegen Ziffern oder Sonderzeichen. So ist „5Up3Rg3he!M“ nicht viel sicherer als „supergeheim“.
Geplante Attacke
Fällt einem Angreifer eine Tabelle in die Hände, klärt er zunächst die verwendete Verschlüsselungsform samt Salt-Methode (siehe Kasten) – die meisten Formate erkennt John the Ripper automatisch. Dann lässt es eine große Wortliste unter Anwendung der Standardregeln gegen die Hash-Liste antreten.
Schritt für Schritt zum sicheren Passwort
©Fotolia
Im nächsten Schritt werden erkannte Passwörter analysiert. So zeigte sich bei der Attacke auf die Linkedin-Daten, dass viele der gefundenen Passwörter „linkedin“ enthielten. Im nächsten Schritt wird eine Mangling-Regel für die Zeichenkette „linkedin“ geschrieben und in die Konfigurationsdatei übernommen. John the Ripper findet im nächsten Lauf auch Passwortkombinationen, bei denen etwa „L!nk3d!n“ vorkommt. Üblich sind natürlich auch Bruteforce-Attacken auf Passwörter mit einer Länge bis zu acht Zeichen sowie weiteres manuelles Finetuning der Regeln zur Wortbehandlung.
Crackern keine Chance geben
Bei derartigen Versuchen bleiben stets viele Hashes ungeknackt – die sicheren Passwörter. Sie haben in der Regel mindestens zehn Zeichen und enthalten nur zufällige Ziffern, Zeichen und Symbole. Wer sich für zwölf Zeichen Länge entscheidet, muss selbst dann keine Angst haben, wenn das Passwort nur per DES oder MD5 ohne Salt verschlüsselt wird.
Melden Sie sich auf einer Site an, die Benutzerdaten nicht per Hash verschlüsselt, nützt bei einem erfolgreichen Angriff allerdings das beste Passwort nichts. Kommt das betreffende Passwort aber nur bei diesem Portal zum Einsatz, hat der Angreifer hier zwar einen Zugang, nicht aber auf andere von Ihnen genutzte Portale. Sichere Passwörter und die Regel, je ein Passwort pro „teurem“ oder „wichtigem“ Dienst zu nutzen, schützen Sie.
Wer die Risiken der Mehrfachnutzung unsicherer Passwörter erkannt hat und entsprechend handelt, verabschiedet sich auch vom bequemen Surfen im Internet. Die meisten Nutzer verfügen über eine Apple-ID, einen Zugang zu Paypal, Ebay, Amazon und anderen Diensten, die bei Missbrauch „Geld kosten“. Für jeden der Dienste sollte ein eigenes, sicheres Passwort gewählt werden. Der Zugang zu „unwichtigeren“ Foren und Portalen sollte auch jeweils mit einem eigenen Passwort abgesichert sein. Diese mögen zwar einfacher ausfallen – wären damit aber auch unsicherer. Fällt Ihr Zugang zum Kochportal einem Angreifer zum Opfer, kann er allenfalls in Ihrem Namen Beiträge posten. Zugang zu anderen Portalen gewinnt er damit nicht.
Selbst bei einer überschaubaren Anzahl von genutzten Online-Diensten ist es kaum machbar, sich 20 oder 30 Zugangsdaten inklusive Passwort zu merken. Hierbei helfen diverse Programme für den Rechner beziehungsweise Apps fürs iPad. Wir empfehlen die besonders sichere und gut durchdachte Hybrid-App 1Password von Agilebits . Mit einem Preis von 16 Euro gehört sie zwar zu den teuersten Apps im Store. Dafür ist sie ein sicherer Hafen für alle Zugangspasswörter, dazu verwaltet sie Ihre Bank- und Kreditkarten-Daten, Seriennummern und dergleichen mehr.
Die 1Password-Datei schützen Sie mit einem sicheren Master-Passwort vor dem Zugriff durch andere, die Software verschlüsselt die Datei mit dem als absolut sicher geltenden AES-256-Algorithmus, der sogar zu militärischen Zwecken eingesetzt wird. Deshalb ist es auch unproblematisch, die Synchronisation der Datei über Dropbox oder iCloud zu wählen und so an iPad, iPhone und am Rechner die jeweils aktuellen Daten zur Verfügung zu haben. Die Versionen für Windows und Mac OS sind mit 45 Euro kein Schnäppchen, die Anschaffung lohnt aber.
Neben der sicheren Verwahrung Ihrer Daten können Sie aus der App direkt einen Online-Zugang auswählen und ihn über die integrierte Webkit-Engine aufrufen. 1Password sorgt dann für die automatische Übergabe von Benutzername und Passwort.
Wie sicher ist das iPad?
Wer sein digitales Ich wie beschrieben gesichert hat, fragt sich natürlich, wie sicher vertrauliche Daten am iPad und iPhone sind, zumal Berichte über Sicherheits-Lecks beim iOS misstrauisch machen. Die genannte Lösung von Agilebits setzt bei der Verschlüsselung der Datei mit Zugangsdaten und Passwörtern auf eine vom iOS und dem Gerät unabhängige Lösung – jedenfalls zum größten Teil. Dabei arbeitet 1Password ganz ähnlich wie Banking-Apps, die Ihre Kontodaten ebenfalls mit einem sicheren Algorithmus verschlüsseln.
Das zugehörige Master-Passwort bei 1Password und ähnlichen Lösungen muss allerdings ebenfalls gespeichert werden, unter iOS in der sogenannten Keychain (Schlüsselbund). Solche Programme verschlüsseln das Master-Passwort zwar – es ist also nicht im Klartext gespeichert –, ein Angriff wäre jedoch theoretisch trotzdem möglich.
Sicherheit bei iPad und iOS
©2015
Mehr als Sichtschutz: Code-Sperre
Um genau das zu verhindern, gibt es die Code-Sperre. Ist diese Funktion aktiv, verschlüsselt sie den Inhalt der Keychain und anderer wichtiger Daten sicher vor Hack-Angriffen. Dabei sieht der Benutzer meist nur die Blickschutz-Funktion. Ist die Code-Sperre eingeschaltet (über die Einstellungen) und gelangt das Gerät in falsche Hände, haben Unbefugte zehn Versuche, um das richtige Passwort einzugeben. Sollte dies gelingen, könnten viele Daten kopiert werden. Ihre Passwort- und Bankdaten bleiben allerdings trotzdem sicher.
Im Hintergrund agiert die Code-Sperre hocheffizient. Ist die Funktion eingeschaltet, wird ein zusätzlicher Schlüssel generiert, abgeleitet von dem eindeutigen Schlüssel des iOS-Gerätes (siehe Kasten Sicherheits-Knigge). Die Zahlenreihe der Code-Sperre wird Teil des Schlüssels und sofort ungültig, wenn das iPhone gesperrt wird. Auf diese Weise ist es für das iOS physisch unmöglich, die Daten zu entschlüsseln, bis die Geheimzahl vom Anwender erneut eingegeben wird.
Sicherheits-Knigge
Da die Geheimzahl nirgends auf dem Gerät gespeichert ist, ist eine Entschlüsselung der Daten nur über einen Bruteforce-Angriff direkt auf dem iOS-Gerät möglich. Die Bruteforce-Attacke kann also nicht auf einen leistungsfähigen Rechner ausgelagert werden. Möglich ist eine Bruteforce-Attacke direkt auf dem iPhone. (Wir erklären später, warum das klappt.) Allerdings hat Apple hier eine Bremse eingebaut. Die Bruteforce-Attacke bringt es auch am aktuellen iPad 4 nur auf das Ausprobieren von rund 13 Schlüsseln pro Sekunde. Am Rechner ließen sich in derselben Zeit mehreren Millionen Schlüssel prüfen. Dass auch bei einer derart ausgebremsten Bruteforce-Attacke ein Dateneinbruch erfolgreich sein kann, liegt wieder am Faktor Mensch bei der Passwortvergabe und an fleißigen Entwicklern, die immer einmal wieder einen Jailbreak möglich machen.
Datenklau trotz Code-Sperre
Dass Datenklau in bestimmten Fällen trotz Code-Sperre möglich ist, hat mehrere Gründe. Voraussetzung ist zum einen, dass sich ein Bruteforce-Programm auf dem iOS-Gerät installieren lässt. Da so etwas natürlich nicht im App-Store zu haben ist, ist ein Jailbreak oder die Nutzung einer sogenannten Custom Ramdisk Voraussetzung. Letztere lässt sich gegen alle iPhone-Modelle bis zum iPhone 4, den iPod Touch (bis 4. Generation) und dem Ur-iPad einsetzen. Grund ist ein Fehler („Exploit“) im Boot-ROM, also der Hardware. Den kann Apple nicht mit einem neuen iOS bereinigen. Aktuelle iOS-Geräte waren und sind ebenfalls immer wieder betroffen, zuletzt unter iOS 6.0 bis 6.1.2. Auf neuen iOS-Geräten ist kein Boot-ROM-Exploit bekannt, hier werden Schwachstellen im iOS oder in Apps genutzt. Die hat Apple mit iOS 6.1.3 übrigens geschlossen. Da immer wieder neue Exploits auftauchen, ist die Gefahr latent vorhanden.
Bruteforce sicher verhindern
Die bekannte Bruteforce-Attacke gegen die „Einfache Code-Sperre“ hat der Sicherheitsexperte Jean Sigwald gut dokumentiert . Das kleine Programm lässt sich direkt auf dem iOS-Gerät (mit Jailbreak) oder sogar per SSH-Verbindung vom Rechner aus auf dem iOS-Gerät starten. Nacheinander probiert es alle Zahlenkombinationen von 0000 bis 9999 durch und hat die Code-Sperre spätestens in rund 15 Minuten geknackt. Da das Programm direkt auf dem iPhone läuft oder vielmehr laufen muss, greift die genannte Beschränkung auf zehn Versuche nicht.
Die Möglichkeit zeigt auf, dass die Funktion „Einfache Code-Sperre“ nach hinten losgehen kann. Gelingt es einem Angreifer, die Bruteforce-Attacke zu starten und nach dem Erfolg die Code-Sperre auszuschalten, hat er Apples an sich guten Sicherheitsmechanismus überwunden und Zugriff auf viele Daten an iPad und Co. Sie können als Nutzer die Bruteforce-Attacke aber von vornherein unmöglich machen. Wählen Sie „Einstellungen > Code-Sperre“, und schalten Sie die Option „Einfacher Code“ aus. Nun lässt sich ein komplexes Passwort wählen.
Wegen der Ausbremsfunktion reicht als Code glücklicherweise ein zufälliges fünfstelliges Passwort aus Kleinbuchstaben und Ziffern. Damit müsste die Bruteforce-Attacke 36 mal 5 Möglichkeiten testen (26 Buchstaben plus 10 Ziffern), rund 60 Millionen. Das würde am iPad 4 rund 50 Tage dauern – Zeit genug für Sie, ein Fernlöschen zu versuchen und alle wichtigen Zugangsdaten (zu Ihren Mail- und sonstigen Accounts) zu ändern. Aber Vorsicht bei der Wahl des Passworts: Es muss zufällig sein, Wörterbuchattacken wären auch hier schneller erfolgreich.
Fazit
Ein Daten-GAU, wie am Anfang dieses Artikels beschrieben, lässt sich fast komplett ausschließen. Dafür müssen Sie allerdings etwas Unbequemlichkeit in Kauf nehmen und für Accounts im Internet und Ihr iPad sichere Passwörter wählen und obendrein die komplexe Code-Sperre nutzen.