1929908

Sichere Passworte im Internet

09.04.2014 | 09:30 Uhr |

Und schon wieder eine Sicherheitslücke und Datenklau beim Provider. Nur mit sicheren Passwörtern begegnen Sie den Gefahren.

Rund drei Millionen E-Mail-Adressen von Kunden deutscher Provider wie der Telekom, GMX oder Freenet sind erst kürzlich Hackern in die Hände gefallen. Manche Anwender haben bereits Auswirkungen gespürt, da vor allem Spammer ihre E-Mail-Daten nutzen, um unter ihrem Namen obskure Werbebotschaften zu verschicken.

Wer über die Website der BSI die Meldung erhalten hat, die angegebene Adresse sei unter den gestohlenen, sollte sofort das Passwort für sein Mail-Konto ändern. Und nicht nur dort. Einer der größten Fehler, den man im Internet begehen kann, ist es, das gleiche Passwort mit der gleichen E-Mail-Adresse bei den unterschiedlichsten Diensten zu verwenden.

Das könnte schwere Folge haben, Kriminelle könnten etwa so auch noch an Kreditkartendaten gelangen, die bei Amazon, Google oder Apple gespeichert sind. Der zweite schwere Fehler: Zu einfache Passwörter. Mittlerweile dürfte sich zwar herumgesprochen haben, dass Passwörter wie "12345" oder "password" völlig unsicher sind, aber auch wer glaubt, eines der folgenden Passwörter sei sicher, der irrt:

  • kI(ju7hZ&gt%

  • super846geHeim

Im ersten Fall handelt es sich um eine "Keyboard-Combo", also eine Folge von Zeichen, die neben- oder übereinander auf der Tastatur liegen. Im zweiten Fall besteht das Passwort aus einem zusammengesetzten Wort mit einer dreistelligen Zahl in der Mitte. Programme wie John the Ripper und Hashcat kennen nicht nur Bruteforce-Attacken, sondern verstehen sich auch auf die Nutzung von Wörterbüchern, Textlisten mit Wörtern und Regeln für Wort-Abwandlungen.

Eine der größten frei verfügbaren Wörterbücher entstammt übrigens einem Angriff auf Rockyou . Die Liste verzeichnet 13 Millionen Passwörter. Dazu gibt es Wörterbücher in verschiedenen Sprachen. Eine Liste samt Download der Wörterbücher gibt es bei der Sicherheitsfirma Korelogic Security , die regelmäßig Wettbewerbe ausschreibt. Bei jedem erfolgreichen Angriff auf Passwortdaten, wie zum Beispiel im vergangene Jahr auf Adobe-IDs oder die erst kürzlich entdeckten auf E-Mail-Provider, vergrößern sich die Wörterbücher. Und damit die Wahrscheinlichkeit, dass auch kompliziertere Passwörter geknackt werden können.

John the Ripper Jumbo bietet über die Konfigurationsdatei bereits viele Regeln zur "Behandlung" von Passwörtern. Dazu gehört etwa die Option, Wörtern einer Liste beim Ausprobieren der Hash-Kombinationen Ziffern voran- oder nachzustellen. Wörter der Liste lassen sich zu neuen kombinieren, Groß- mit Kleinbuchstaben tauschen. Mit der "Mangling"-Option kennt das Programm einen weiteren Trick: das Austauschen von Buchstaben in einem Kennwort gegen Ziffern oder Sonderzeichen. So ist "5Up3Rg3he!M" nicht viel sicherer als "supergeheim".

Geplante Attacke

Fällt einem Angreifer eine Tabelle in die Hände, klärt er zunächst die verwendete Verschlüsselungsform samt Salt-Methode die meisten Formate erkennt John the Ripper automatisch. Dann lässt es eine große Wortliste unter Anwendung der Standardregeln gegen die Hash-Liste antreten.

Im nächsten Schritt werden erkannte Passwörter analysiert. So zeigte sich bei einer Attacke auf Linkedin im vergangen Jahr, dass viele der gefundenen Passwörter "linkedin" enthielten. Im nächsten Schritt wird eine Mangling-Regel für die Zeichenkette "linkedin" geschrieben und in die Konfigurationsdatei übernommen. John the Ripper findet im nächsten Lauf auch Passwortkombinationen, bei denen etwa "L!nk3d!n" vorkommt. Üblich sind natürlich auch Bruteforce-Attacken auf Passwörter mit einer Länge bis zu acht Zeichen sowie weiteres manuelles Finetuning der Regeln zur Wortbehandlung.

Crackern keine Chance geben

Bei derartigen Versuchen bleiben stets viele Hashes ungeknackt - die sicheren Passwörter. Sie haben in der Regel mindestens zehn Zeichen und enthalten nur zufällige Ziffern, Zeichen und Symbole. Wer sich für zwölf Zeichen Länge entscheidet, muss selbst dann keine Angst haben, wenn das Passwort nur per DES oder MD5 ohne Salt verschlüsselt wird.

Melden Sie sich auf einer Site an, die Benutzerdaten nicht per Hash verschlüsselt, nützt bei einem erfolgreichen Angriff allerdings das beste Passwort nichts. Kommt das betreffende Passwort aber nur bei diesem Portal zum Einsatz, hat der Angreifer hier zwar einen Zugang, nicht aber auf andere von Ihnen genutzte Portale. Sichere Passwörter und die Regel, je ein Passwort pro "teurem" oder "wichtigem" Dienst zu nutzen, schützen Sie.

Ihre Daten in Online-Portalen

Nahezu alle Online-Dienste erfordern zur vollen Nutzung einen Benutzrenamen samt Passwort. Neben Plattformen wie Ebay, Amazon und anderen, bei denen Sie einkaufen können, gilt das auch für Foren, bei denen Sie Ihre Fragen loswerden oder Antworten für andere Benutzer geben. Der Online-Dienst speichert Benutzernamen, E-Mail und Passwort und oft weitere Angaben in einer Datenbank. Bei der Anmeldung ist nicht ersichtlich, ob die Datenbank sicher auf dem Server gelagert ist und ob Ihr Passwort verschlüsselt abgelegt ist - und wenn ja, mit welchem Algorithmus.

Ob bei Ebay, in Foren, Blogs, Facebook oder anderen Diensten - fast überall müssen Sie sich mit E-Mail-Adresse und Passwort anmelden. Die Daten werden auf dem Server in einer Tabelle gespeichert (untere Abbildung). Ihr gilt das Interesse der Hacker.
Vergrößern Ob bei Ebay, in Foren, Blogs, Facebook oder anderen Diensten - fast überall müssen Sie sich mit E-Mail-Adresse und Passwort anmelden. Die Daten werden auf dem Server in einer Tabelle gespeichert (untere Abbildung). Ihr gilt das Interesse der Hacker.

Grobe Fahrlässigkeit oder Faulheit

Ob der Betreiber eines Webportals Ihre Benutzerdaten überhaupt verschlüsselt, wissen Sie nicht. Und falls ein Hash-Verfahren zum Einsatz kommt, wissen Sie meist nicht, welches, und es bleibt ebenso im Dunkeln, ob weitere Schutzmechanismen ergriffen werden.

Eine ungeheuerliche Kombination aus grober Fahrlässigkeit und Faulheit des Website-Betreibers führte 2009 zu einem gewaltigen Daten-GAU. Angreifern gelang es, das Portal von Rockyou , einem Entwickler für Social-Media-Games, zu hacken und die Daten von 32 Millionen Benutzern zu stehlen. Rockyou hatte die Passwörter nicht verschlüsselt abgelegt, sondern im Klartext gespeichert. Möglich wurde der Angriff durch ein Sicherheitsleck der SQL-Datenbank, das zum Zeitpunkt des Datenklaus bereits zehn Jahre bekannt war. Neben den Rockyou-Benutzerdaten gingen den Angreifern auch Facebook- und Myspace-Zugangsdaten ins Netz.

Im Sommer 2012 traf es Linkedin, das große Netzwerk für Geschäftskontakte. Ein russischer Hacker veröffentlichte nach dem Angriff auf den Server die Daten von 6,5 Millionen Nutzern, die allerdings verschlüsselt vorlagen. Durch die recht einfache Verschlüsselung und ausgefeilte Hack-Techniken wurden viele Passwörter geknackt.

Für den Angriff auf Nutzerdaten gibt es haufenweise Tools, das bekannteste ist John the Ripper beziehungsweise die erweiterten Versionen John the Ripper Jumbo . Diese liegen kostenlos als Quellcode zum Selbstkompilieren oder als fertige Version (Binary) vor. Ebenfalls beliebt bei Hack-Fans und Sicherheitsbeauftragten in Firmen ist Hashcat .

Wer die Risiken der Mehrfachnutzung unsicherer Passwörter erkannt hat und entsprechend handelt, verabschiedet sich auch vom bequemen Surfen im Internet. Die meisten Nutzer verfügen über eine Apple-ID, einen Zugang zu Paypal, Ebay, Amazon und anderen Diensten, die bei Missbrauch "Geld kosten". Für jeden der Dienste sollte ein eigenes, sicheres Passwort gewählt werden.

Der Zugang zu "unwichtigeren" Foren und Portalen sollte auch jeweils mit einem eigenen Passwort abgesichert sein. Diese mögen zwar einfacher ausfallen - wären damit aber auch unsicherer. Fällt Ihr Zugang zum Kochportal einem Angreifer zum Opfer, kann er allenfalls in Ihrem Namen Beiträge posten. Zugang zu anderen Portalen gewinnt er damit nicht.

Selbst bei einer überschaubaren Anzahl von genutzten Online-Diensten ist es kaum machbar, sich 20 oder 30 Zugangsdaten inklusive Passwort zu merken. Hierbei helfen diverse Programme für den Rechner beziehungsweise Apps fürs iPad. Wir empfehlen die besonders sichere und gut durchdachte Hybrid-App 1Password von Agilebits . Mit einem Preis von 16 Euro gehört sie zwar zu den teuersten Apps im Store. Dafür ist sie ein sicherer Hafen für alle Zugangspasswörter, dazu verwaltet sie Ihre Bank- und Kreditkarten-Daten, Seriennummern und dergleichen mehr.

Die App 1Password ist ein sicherer Aufbewahrungort für Ihre Account- und Bankdaten. Über den integrierten Webbrowser können Sie die Websites direkt aufrufen und 1Password den Eintrag von Benutzernamen und Passwort überlassen.
Vergrößern Die App 1Password ist ein sicherer Aufbewahrungort für Ihre Account- und Bankdaten. Über den integrierten Webbrowser können Sie die Websites direkt aufrufen und 1Password den Eintrag von Benutzernamen und Passwort überlassen.

Die 1Password-Datei schützen Sie mit einem sicheren Master-Passwort vor dem Zugriff durch andere, die Software verschlüsselt die Datei mit dem als absolut sicher geltenden AES-256-Algorithmus, der sogar zu militärischen Zwecken eingesetzt wird. Deshalb ist es auch unproblematisch, die Synchronisation der Datei über Dropbox oder iCloud zu wählen und so an iPad, iPhone und am Rechner die jeweils aktuellen Daten zur Verfügung zu haben. Die Versionen für Windows und Mac OS sind mit 45 Euro kein Schnäppchen, die Anschaffung lohnt aber.

Neben der sicheren Verwahrung Ihrer Daten können Sie aus der App direkt einen Online-Zugang auswählen und ihn über die integrierte Webkit-Engine aufrufen. 1Password sorgt dann für die automatische Übergabe von Benutzername und Passwort.

Fazit

Ein Daten-GAU lässt sich fast komplett ausschließen. Dafür müssen Sie allerdings etwas Unbequemlichkeit in Kauf nehmen und für Accounts im Internet sichere Passwörter wählen.

Macwelt Marktplatz

1929908