Passwörter
Passwörter sind ein erster Schutz gegen fremden Zugriff auf Geräte und Anwendungen. Deshalb sollten sie mit Bedacht und genutzt ausgewählt werden, damit sie möglicht wenig angreifbar sind.
Was ist ein Passwort?
Bei der Verbindung mit einem Computersystem wird meist nach einer ID (auf Englisch login oder username) und einem Passwort (password) gefragt, um Zugang zu erhalten. Dieses Paar aus ID und Passwort bildet den Schlüssel, der Zugang zu dem System gewährt.
Während die ID meist automatisch vom System oder Admin zugeteilt wird, kann der User das Passwort normalerweise selbst wählen. Die meisten User gehen davon aus, dass sie eigentlich keine echten Geheimnisse zu schützen hätten, und verwenden ein Passwort, dass leicht zu merken ist (zum Beispiel ihren Vornamen oder den ihres Partners oder ihr Geburtsdatum).
Aber auch wenn die Daten auf dem User-Account nicht von strategischer Bedeutung sind, kann der Zugang zum Account eine offene Tür zum gesamten System darstellen. Sobald ein Hacker Zugang zu einem Account eines Rechners hat, kann er sein Tätigkeitsfeld ausweiten, indem er die Liste der User aufruft, die autorisiert sind, sich mit dem Rechner zu verbinden. Mit Passwort-generierenden Tools kann er eine große Anzahl von Passwörtern ausprobieren, die zufällig generiert werden oder mit Hilfe eines Wörterbuchs (unter Umständen auch eine Kombination der beiden). Wenn er zufällig auf das Administratoren-Passwort stößt, erhällt er alle Rechte auf diesem Rechner.
Außerdem kann der Hacker von einem Rechner im Netzwerk ausgehend eventuell Zugang zum lokalen Netzwerk erhalten, was bedeutet, dass er Pläne der anderen Server erstellen kann, indem er den verwendet, zu dem er Zugang gewonnen hat.
Die Passwörter der User sind daher die erste Verteidigung gegen Angriffe, die gegen ein System gerichtet sind. Aus diesem Grund ist es nötig, Grundregeln für Passwörter festzulegen, damit die User ein Passwort wählen müssen, dass ausreichend sicher ist.
Angriffsmethoden
Die meisten Systeme sind so konfiguriert, dass ein User-Account temporär blockiert wird, wenn eine bestimmte Anzahl an erfolglosen Verbindungsversuchen stattgefunden hat. Das bedeutet, dass ein Hacker mit dieser Methode nur schwer in ein System eindringen kann.
Allerdings kann ein Hacker sich genau diesen Selbstverteidigungsmechanismus auch zunutzen machen, um alle User-Accounts zu blockieren und so einen Denial of Service auszulösen.
Bei den meisten Systemen werden die Passwörter in chiffrierter Form, also verschlüsselt, in einer Datei oder Datenbank gespeichert. Wenn ein Hacker Zugang zum System erhält und ihm diese Datei in die Hände fällt, kann er versuchen, das Passwort eines Users oder aller User-Accounts zu cracken.
Brute-Force-Angriff
Ein Brute-Force-Angriff (brute force cracking oder auch Exhautionsmethode) ist das Cracken eines Passworts, indem alle möglichen Passwörter ausprobiert werden. Es gibt dafür zahlreiche Tools für jedes Betriebssystem. Diese Tools ermöglichen es Systemadministratoren, die Sicherheit der Passwörter ihrer User auszutesten, aber sie werden oft von Hackern missbraucht, um in Computersysteme einzudringen.
Angriff per Wörterbuch
Tools für Brute-Force-Angriffe können Stunden und sogar Tage an Rechenzeit brauchen, auch auf Rechnern mit schnellen Prozessoren. Eine Alternative besteht darin, einen sogenannten Angriff per Wörterbuch durchzuführen. Meist suchen sich User Passwörter aus, die eine reale Bedeutung haben. Mit dieser Art von Angriff kann ein solches Passwort innerhalb weniger Minuten gecrackt werden.
Hybrid-Angriff
Hybrid-Angriffe suchen speziell nach Passwörtern, die aus einem gewöhnlichen Wort gefolgt von einem Buchstaben oder einer Zahl (wie Marschall6) bestehen. Es handelt sich um eine Kombination aus Brute-Force-Angriff und Angriff per Wörterbuch.
Es gibt weitere Methoden, mit denen der Hacker an Passwörter der User gelangen kann:
Key Logger (wörtlich Tastenaufnehmer) sind Software-Programme, die - wenn sie auf dem Computer des Users installiert wurden - die Tastaturanschläge des Users aufnehmen können. Moderne Betriebssysteme haben Puffer-Speicher, die sich ein Passwort temporär merken können und nur vom System aus zugänglich sind.
Social Engineering besteht darin, die Naivität des Einzelnen auszunutzen, um an Informationen zu gelangen. Ein Hacker kann das Passwort einer Person zum Beispiel erhalten, indem er sich als Administrator des Netzwerks ausgibt oder umgekehrt indem er das Support-Team anruft und bittet, das Passwort zurückzusetzen und dabei einen Notfall vortäuscht.
Das Ausspionieren ist die älteste aller Methoden. Manchmal genügt es einem Hacker, Zettel zu betrachten, die um den Bildschirm herum oder unter der Tastatur liegen, um das Passwort zu erhalten. Wenn der Hacker im näheren Umfeld des Opfers ist, reicht bereits ein einfacher Blick über die Schulter bei der Passworteingabe und er kann das Passwort sehen oder erraten.
Wahl des Passworts
Es ist relativ klar, dass ein Passwort mit zunehmender Länge schwieriger ist zu cracken. Andererseits ist ein Passwort, dass allein aus Ziffern besteht, um einiges einfacher zu cracken als eines, das Buchstaben enthält:
Es gibt 10.000 Möglichkeiten, ein Passwort mit vier Ziffern zu bilden (104). Auch wenn diese Zahl vielleicht hoch erscheint: Ein Computer mit nur mittelmäßiger Konfiguration ist fähig, es innerhalb weniger Sekunden zu cracken.
Vorzuziehen wäre ein Passwort mit vier Buchstaben, denn hierfür gibt es 456.972 Möglichkeiten (264). Demnach ergibt sich, dass ein Passwort, das Ziffern und Buchstaben vereint, in weiterer Folge auch Großbuchstaben und Sonderzeichen, noch schwieriger zu cracken ist.
Diese Passwörter sollte man vermeiden:
Ihre ID,
Ihren Namen,
Ihren Vornamen oder den einer Ihnen nahestehenden Person (Partner, Kind usw.),
ein Wort aus dem Wörterbuch,
ein rückwärts geschriebenes Wort (Tools zum Cracken von Passwörtern berücksichtigen auch diese Möglichkeit),
ein Wort gefolgt von einer Zahl des laufenden Jahres oder Geburtsjahres (zum Beispiel password1999).
Grundsätze im Bezug auf Passwörter
Der Zugang zum Account eines einzigen Angestellten eines Unternehmens kann die gesamte Sicherheit der Organisation gefährden. Daher sollte jede Firma, die ein optimales Sicherheitsniveau gewährleisten will, Grundsätze zur Sicherheit von Passwörtern festlegen. Es geht vor allem darum, Angestellten einige Vorgaben bei der Wahl ihrer Passwörter zu machen, zum Beispiel:
eine Minimallänge für Passwörter,
die Verwendung von Sonderzeichen,
Wechsel zwischen Klein- und Großschreibung.
Außerdem können diese Maßnahmen noch wirksamer gemacht werden, wenn eine Ablaufzeit für Passwörter eingeführt wird, so dass die User ihre Passwörter regelmäßig ändern müssen. Das erschwert die Arbeit von Hackern, die versuchen, im Laufe der Zeit die Passwörter zu cracken. Außerdem ist es eine ausgezeichnete Möglichkeit, die Lebensdauer bereits gecrackter Passwörter zu verkürzen.
Schließlich ist es für Systemadministratoren empfehlenswert, interne Tools zum Cracken von Passwörtern einzusetzen, um zu überprüfen, wie sicher die Passwörter der User sind. Dies muss allerdings im Rahmen der festgelegten Sicherheitspolitik geschehen und schriftlich festgehalten werden, damit es nicht ohne Zustimmung der Unternehmensführung und der User geschieht.
Multiple Passwörter
Es ist nicht empfehlenswert, nur ein einziges Passwort für mehrere oder alle Accounts zu haben. Genauso wenig sollte man ja dieselbe PIN für seine Bankkarte, für sein Handy und für seine Alarmanlage benutzen.
Man sollte für jeden Verwendungsbereich ein anderes Passwort haben. Auch beim Anmelden zu Online-Services, bei denen eine E-Mail-Adresse verlangt wird, ist es keine gute Idee, dasselbe Passwort zu wählen wie das zu seinem E-Mail-Konto, da ein unmoralischer Administrator problemlos einen Blick auf Ihr Privatleben werfen könnte.
Foto: © iStock.