Sprich Freund und tritt ein

Basics: sichere Passwörter

Foto: Tim Reckmann  / pixelio.de

Foto: Tim Reckmann / pixelio.de

Ein zeitgemäßes Passwort. kompliziert genug um sicher zu sein, aber einfach genug, damit man es sich merken kann. Geht das? Als SysAdmin gibt man täglich dutzende Passwörter ein, wie soll man sich
die merken? Sind Admins alles Gedächtniskünstler? Ich kann garantieren: Nein! Es gibt einen vollkommen einfachen Weg sichere Passwörter zu generieren, die man sich auch merken kann. Man muss nur
begreifen, wie doof das eigene Gehirn ist.

Wie sieht ein sicheres Passwort aus?

9WwdmdD?S!11

Das wäre ein ziemlich sicheres Passwort, wenn ich es hier nicht als Beispiel verwenden würde. Was macht es zu einem sicheren Passwort? Man unterscheidet 8 Kriterien, die vorhanden sein sollten:

  • Das Passwort enthält kleine Buchstaben
  • Das Passwort enthält große Buchstaben
  • Das Passwort enthält Sonderzeichen
  • Das Passwort enthält Zahlen
  • Das Passwort ist länger als 8 Zeichen
  • Das Passwort enthält kein ausgeschriebenes Wort in einer gängigen Sprache
  • Das Passwort enthält keinen gängigen Namen
  • Das Passwort enthält keine privaten Informationen

Gerade der letzte Punkt ist für viele nicht verständlich. Hier geht es tatsächlich nicht darum irgendwelche Hacker abzuhalten, sondern amoklaufende Exmänner und overly-attached-girlfriends. Ich
meine, wenn wir von sicher reden, dann von so richtig sicher. Du sollst der einzige Mensch sein, der in der Lage sein soll, sich an dein Passwort zu erinnern.

Wie merkt man sich so ein Ungetüm?

Friedrich Schiller: Schülerschreck und Passwortgenerator - Foto: Gemeinfrei

Friedrich Schiller: Schülerschreck und Passwortgenerator – Foto: Gemeinfrei

Nun, der Trick liegt schon in der Auswahl: auch wenn die Zeichenkette oben vollkommen zufällig aussieht, folgt sie einem Muster, dass niemand – ausser einem selbst – nachkonstruieren kann. Wir
müssen nur lernen eine Funktion unseres Gehirns auszunutzen, die vollkommen blödsinnig ist: unser Kopf merkt sich gewisse nutzlose Dinge auf immer und ewig. Jeder Mensch hat das mit irgendeinem
Mist. Als Schüler mussten wir z.B. von Schiller „Die Bürgschaft“ auswendig lernen. Auswendig lernen war nie so richtig mein Ding, also war das für mich der blanke Horror. Entsprechend ist der
erste Satz wohl für alle Ewigkeiten in mein Gehirn gefräst: „Was willst du mit dem Dolche? Sprich!“
Jeder kennt so einen Satz: irgendwann hat man irgendwas auswendig gelernt oder gehört, was einem nie wieder aus dem Kopf geht.
„Was willst du mit dem Dolche? Sprich!“ -> WwdmdD?S!
Oder passend zu Thema: „Sprich Freund und tritt ein.“ -> „SFute.“

Wir nehmen einfach einen Satz, den unser Schwalbengehirn eh schon gespeichert hat und verwenden ihn als Passwort. Also immer nur den ersten Buchstaben und setzen sie hintereinander. Die
Satzzeichen mit rein: schon habt ihr ein Passwort, sicherer als jedes, das ihr je gehabt habt.
Die meisten Sätze, die man sich so merkt, enthalten keine Zahlen. Also nimmt man jetzt eine Zahl, die man sicher nie vergisst und teilt sie auf. Am besten ein historisches Datum, dass ihr nicht
vergesst. Im Beispiel: 9/11. Die Terroranschläge vom 11. September. 9/11 + Schiller = „9WwdmdD?S!11“ oder das Ende des 2. Weltkriegs: „19SFute.45“
Sichere Passwörter merken? Seit heute eure leichteste Übung!

Angriff im sozialen Netz
Hacker haben erkannt, dass es immer schwerer wird, an Passwörter zu kommen. Sie gehen also einen neuen Weg: viele Seiten haben eine Funktion, in der man den Namen des ersten Haustiers oder den Mädchennamen der Mutter hinterlegen kann und wenn man die angibt, kann man das Passwort neu setzen. Schon mal auf Facebook oder damals auf MySpace einen Freundschaftsfragebogen gesehen, die lustig (gerade unter Frauen) verteilt und ausgefüllt wurden? Ja, das waren Hackerattacken. Unter den „40 Fragen zu unserer Freundschaft“ waren irgendwo die Sicherheitsfragen von eBay versteckt. Die wurden dann fleißig von den Nutzern weiterverteilt und zum Schluss konnte der Hacker dann mit Hilfe von Google einfach nach den Fragen und damit nach euren Zugangsdaten zu Paypal suchen. Man spricht bei dieser Form des Angriffs von „Social Engineering“. Ein weit verbreiteter Spruch in der Informatik ist: „Don’t be a Hacker. Be a Social Engineer. Because there is no patch for human stupidity.“ (Sei kein Hacker. Sei ein Social Engineer. Denn es gibt keine Updates gegen menschliche Dummheit)

Tech-Talk (Advanced): Wenn die Playstation mit einem Regenbogen angreift

Hackermaskottchen - Foto: gemeinfrei

Hackermaskottchen – Foto: gemeinfrei

Es gibt, von Betreiberseite aus gesehen, 3 Möglichkeiten Passwörter zu speichern. Die erste, ursprüngliche, war, das Passwort einfach in eine Datenbank zu sichern und dann die Eingabe mit dem
gespeicherten zu vergleichen. Das haben die meisten Menschen wahrscheinlich auch heute noch im Sinn, wenn sie sich vorstellen, wie das mit den Passwörtern läuft. Das offenbart sich darin, dass ich
häufig den Satz höre: „Ich hab mein Passwort vergessen, können Sie mir sagen, wie das war?“ – Nein, kann ich nicht, denn normalerweise wird heutzutage das Passwort nach Möglichkeit 2 gespeichert:
die eingebenen Buchstaben, werden in Zahlen umgewandelt und danach eine mathematische Operation durchgeführt, die man nicht umkehren kann. Es entsteht ein Hash-Wert, der gespeichert wird. Gibt der
Benutzer sein Passwort wieder ein, wird die gleiche Operation durchgeführt und die Ergebnisse verglichen. Selbst die, die euer Passwort gespeichert haben, kennen es also nicht. Das Problem daran
ist: wenn ein Hacker an die Sammlung von Hashwerten kommt, kann er einfach so lange rumrechnen, bis er das richtige Ergebnis hat. Oder er nimmt eine vorgefertigte Datenbank mit Hashwerten und
vergleicht diese, man nennt das Verfahren „Rainbow-Table“. Einige Magazine haben sich entschieden das ganze als Regenbogen-Attacke einzudeutschen.
Als Nutzer schützt man sich dagegen am Besten, in dem man ein möglichst kryptisches Passwort nach oben beschriebenem Muster verwendet, da die meisten Rainbow-Tables aus Wörterbüchern generiert
werden (Dictionary-Attack). Betreiber können die Passwörter Ihrer Nutzer aber durch Möglichkeit 3 schützen: Passwörter salzen. Diese noch relativ wenig verbreitete Art der Passwort-Speicherung (es
ist bekannt, dass z.B. Google seine Passwörter so speichert), Saltet-Password genannt, gilt als bisher ungeknackt. Dabei wird das Passwort auch zuerst in Zahlen umgewandelt, dann wird aber eine Zufallszahl hinzuaddiert (oder dadurch geteilt, oder die Wurzel draus gezogen, oder, oder, oder …), dann daraus der Hashwert erzeugt und dieser gespeichert. Zusätzlich wird die Zufallszahl in einer vom Hashwert getrennten Tabelle gesichert. Ein Angreifer muss jetzt also 2 Tabellen klauen und wissen, welche mathematische Operation der Betreiber anwendet, um überhaupt erst mit einem Rainbow-Table-Angriff anfangen zu können. Das ist zwar immer noch nicht unmöglich, aber doch extrem unwahrscheinlich.
Funfact: Das effizienteste Mittel zum Angriff mit Rainbow-Tables sind Playstations. Der Grafikchip hat sich als extrem leistungsfähig für die schnelle Generierung von Hashwerten erwiesen und ist dabei sehr günstig zu haben.

Advertisements

Eine Antwort zu “Sprich Freund und tritt ein

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s