Passwörter

Dezember 2016

Passwörter


Bei der Verbindung mit einem Computersystem, wird meist nach einer ID (auf Englisch login oder username) und einem Passwort (auf Englisch password) gefragt, um Zugang zu erhalten. Dieses Paar von ID/Passwort bildet den Schlüssel, der Zugang zu dem System gewährt.

Während die ID meist automatisch vom System oder Admin zugeteilt wird, kann der User das Passwort meist selbst wählen. Der Großteil der User geht davon aus, dass sie eigentlich keine echten Geheimnisse zu schützen hätten, und verwenden ein Passwort, dass leicht zu merken ist (zum Beispiel ihre ID, den Vornamen ihres Partners oder ihr Geburtsdatum).

Aber auch wenn die Daten auf dem User-Account nicht von strategischer Bedeutung sind, kann der Zugang zum Account eine offene Tür zum gesamten System darstellen. Sobald ein Hacker Zugang zu einem Account eines Rechners hat, kann er sein Tätigkeitsfeld ausweiten, indem er die Liste der User aufruft, die autorisiert sind, sich auf dem Rechner zu verbinden. Mit Passwort-generierenden Tools kann er eine große Anzahl an Passwörtern ausprobieren, die zufällig generiert werden oder mit Hilfe eines Wörterbuchs (unter Umständen auch eine Kombination der Beiden). Wenn er zufällig auf das Administratoren-Passwort stößt, erhällt er alle Rechte auf diesem Rechner !

Außerdem kann der Hacker von einem Rechner im Netzwerk ausgehen eventuell Zugang zum lokalen Netzwerk erhalten, was bedeutet, dass er Pläne der anderen Server erstellen kann, indem er den verwendet, zu dem er Zugang gewonnen hat.

Die Passwörter der User sind daher die erste Verteidugung gegen Angriffe, die gegen ein System gerichtet sind. Aus diesem Grund ist es nötig, Grundregeln festzulegen, was die Passwörter betrifft, damit die User ein Passwort wählen müssen, dass ausreichend sicher ist.

Angriffsmethoden


Die meisten Systeme sind so konfiguriert, dass ein User-Account temporär blockiert wird, wenn eine bestimmte Anzahl an erfolglosen Verbindungsversuchen stattgefunden hat. Das bedeutet, dass ein Hacker mit dieser Methode nur schwer in ein System eindringen kann.

Allerdings kann ein Hacker sich dieses Auto-Verteidugungs.Mechanismus bedienen, um alle User-Accounts zu blockieren und so einen Denial of Service auszulösen.

Bei den meisten Systemen werden die Passwörter in chiffrierter Form gespeichert (« verschlüsselt »), in einer Datei oder Datenbankt.

Wenn ein Hacker aber Zugang zum System erhält und ihm diese Datei in die Hände fällt, kann er versuchen, das Passwort eines Users oder aller User-Accounts zu cracken.

Brute-Force Angriff


Ein « Brute-Force Angriff » (auf Englisch « brute force cracking », manchmal auch Exhautionsmethode) ist das Cracken eines Passworts, indem alle möglichen Passwörter ausprobiert werden. Es gibt dafür zahlreiche Tools für jedes Betriebssystem. Diese Tools ermöglichen es Systemadministratoren, die Sicherheit der Passwörter ihrer User auszutesten, aber sie werden oft von Hackern missbraucht, um in Computersysteme einzudringen.

Angriff per Wörterbuch


Tools für Brute-Forca Angriffe können Stunden, wenn nicht Tage, Rechenzeit brauchen, auch auf Rechnern mit schnellen Prozessoren. Eine Alternative besteht darin, einen; Angriff per Wörterbuch » durchzuführen. Meistens suchen sich User Passwörter aus, die eine reale Bedeutung haben. Mit dieser Art von Angriff kann ein solches Passwort innerhalb weniger Minuten gecrackt werden.

Hybrid-Angriff


Die letzten Angriffe dieser Art, genannt « Hybrid-Angriffe », suchen speziell nach Passwörtern, die aus einem gewöhnlichem Wort gefolgt von einem Buchstaben oder einer Zahl (wie « Marschall6 ») bestehen. Es handelt sich um eine Kombination aus Brute- Force und Angriff über Wörterbuch.

Es gibt auch Mittel und Wege, durch die der Hacker an Passwörter der User gelangen kann :

  • Key Logger (wörtlich « Tastenaufnehmer »), sind Software-Programme, die, wenn sie am Computer des Users installiert wurden, die Tastaturanschläge des Users aufnehmen können. Moderne Betriebssysteme haben Puffer-Speicher, die sich ein Passwort temporär merken können und nur vom System aus zugänglich sind.
  • Social Engineering besteht darin, die Naivität des Einzelnen auszunützen, um an Informationen zu gelangen. Ein Hacker kann ein Passwort einer Person erhalten, indem er sich als Administrator des Netzwerks ausgibt, oder umgekehrt, indem er das Support-Team anruft und bittet, das Passwort zurückzusetzen, und dabei einen Notfall vortäuscht ;
  • Das Ausspionieren ist die älteste aller Methoden. Manchmal genügt es einem Hacker, Zettel zu betrachten, die um den Bildschirm herum oder unter der Tastatur liegen, um das Passwort zu erhalten. Wenn der Hacker im näheren Umfeld des Opfers ist, reicht bereits ein einfacher Blick über die Schulter bei der Passworteingabe, und er kann das Passwort sehen oder erraten.

Wahl des Passworts


Es ist relativ klar, dass ein Passwort mit zunehmender Länge schwieriger wird zu cracken. Andererseits ist ein Passwort, dass allein aus Ziffern besteht, um einiges einfacher zu cracken als eines, das Buchstaben enthält :


Es gibt 10 000 Möglichkeiten, ein Passwort mit 4 Ziffern zu bilden (104). Auch wenn diese Zahl vielleicht hoch erscheint - ein Computer mit nur mittelmäßiger Konfiguration ist fähig, es innerhalb weniger Sekunden zu cracken.
Vorzuziehen wäre ein Passwort mit 4 Buchstaben, hierfür gibt es 456972 Möglichkeiten (264). Folgt man diesem Grundgedanken, ergibt sich, dass ein Passwort, das Ziffern und Buchstaben vereint, in weiterer Folge auch Großbuchstaben und Sonderzeichen, noch schwieriger zu cracken ist.

Passwörter, die man vermeiden sollte :

  • Ihre ID
  • Ihren Namen
  • Ihren Vornamen oder den, einer Ihnen nahe stehenden Person (Partner, Kind, etc.) ;
  • Ein Wort aus dem Wörterbuch ;
  • Ein Wort rückwärts (Tools zum cracken von Passwörtern berücksichtigen auch diese Möglichkeit) ;
  • Ein Wort, gefolgt von einer Zahl, des laufenden Jahres oder Geburtsjahres (zum Beispiel « password1999 »).

Grundsätze im Bezug auf Passwörter


Der Zugang zum Account eines einzigen Angestellten eines Unternehmens kann die gesamte Sicherheit der Organisation gefährden. Daher sollte jede Firma, die ein optimales Sicherheitsniveau gewährleisten will, Grundsätze zur Sicherheit festlegen, die sich auf Passwörter beziehen. Es geht vor allem darum, Angestellten einige Vorgaben bei der Wahl ihrer Passwörter zu machen, zum Beispiel :

  • Eine Minimallänge für Passwörter
  • Die Verwendung von Sonderzeichen
  • Wechsel zwischen Klein- und Großschreibung



Außerdem können diese Maßnahmen noch wirksamer gemacht werden, wen eine Ablaufzeit für Passwörter eingeführt wird, sodass die User ihre Passwörter regelmäßig ändern müssen. Das erschwert die Arbeit der Hacker, die versuchen, im Laufe der Zeit die Passwörter zu cracken. Außerdem ist es eine ausgezeichnete Möglichkeit, die Lebensdauer bereits gecrackter Passwörter zu verkürzen.

Schließlich ist es für Systemadministratoren noch empfehlenswert, intern Tools zum cracken von Passwörtern einzusetzen, um zu überprüfen, wie sicher die Passwörter der User sind. Dies muss allerdings im Rahmen der festgelegten Sicherheitspolitik geschehen und schwarz auf weiß geschrieben sein, damit es nicht ohne Zustimmung der Direktion und der User geschieht.

Multiple Passwörter


es ist nicht gut ein einziges Passwort zu haben, genauso wie es nicht gut wäre, bei seiner Bankomatkarte den selben Code zu haben, wie am Handy und dem Hauseingang.

Daher sollte man für jeden Verwendungsbereich mehrere Passwörter haben, je nach Vertraulichkeit des Geheimnisses, das geschützt wird. Der Code einer Bankomat- Karte sollte also nur dafür verwendent werden. Der PIN-Code des Handys hingegen kann auch an einem Kofferschloss verwendet werden.

Auch beim Anmelden zu Online-Services, bei denen eine E-Mail Adresse verlangt wird (zum Beispiel beim Newsletter von Kioskea), ist es keine gute Idee, dasselbe Passwort zu wählen, das auch Zugang zum E-Mail Account verschafft, da ein unmoralischer Administrator problemlos einen Blick auf Ihr Privatleben werfen könnte !


Lesen Sie auch :


Passwords
Passwords
Contraseñas
Contraseñas
Mots de passe
Mots de passe
Password
Password
 Senha (br) Palavra-Passe (pt)
Senha (br) Palavra-Passe (pt)
Das Dokument mit dem Titel « Passwörter » aus CCM (de.ccm.net) wird zur Verfügung gestellt unter den Bedingungen der Creative Commons Lizenz. Sie dürfen das Dokument verwenden, verändern sowie Vervielfältigungen dieser Seite erstellen, unter den Bedingungen, die in der vorgenannten Lizenz erwähnt sind und unter der gleichzeitigen Bedingung, dass Sie im Rahmen Ihrer Verwendung, Veränderung oder Vervielfältigung nach außen hin klar und deutlich auf den Urheber (= de.ccm.net) des Dokuments hinweisen.