Für Eindringlinge in Netzwerke ist das eine Goldgrube. Schlechte Passwörter machen es nicht unbedingt einfacher, in das Netzwerk einer Firma einzubrechen, aber für Hacker, die Zugang zu Konzerncomputer auf andere Weise haben, sind sie eine wahre Fundgrube. Passwörter, die auf einem Server gefunden wurden, machen häufig den Weg frei in andere Server, und mit den digitalen Schlüsseln zu einem Großteil der Konten im Netzwerk kann ein Eindringling ungestraft umherwandern und sogar den Eindruck erwecken, dass er ein legitimer User ist.
Deshalb versuchen Hacker Passwörter an sich zu bringen, sobald es eben geht. Einige Viren und Würmer senden die Passwortdatei eines infizierten Computers an den Virenautor zurück. In dieser Woche macht ein Wurm, der sich in Computer hineinwindet, auf denen Microsofts SQL Server 7.0 installiert ist, mit dem Namen DoubleTap genau das. Der 1i0n-Wurm, der Anfang 2001 Linux-Server infizierte, schnappte sich Passwortdateien. Der SirCam-Virus konnte in einigen Fällen sogar die System-Passwörter senden.
Selbst die paranoideste Sicherheitsabteilung und High-Tech-Zäune können nicht viel machen, wenn der Generaldirektor seine wichtigsten Dateien mit „god123“ sichert. Schlimmer noch, einige Firmen und Organisationen verlassen sich nur auf ein Passwort – und nichts weiter – mit dem sich ihre Angestellten authentifizieren.
In Sicherheitskreisen beobachten Experten das Problem bereits seit Jahrzehnten.
Vor dem Internet, 1979, als Speicher noch mit der Anzahl der Bits, die auf einen Zentimeter Magnetband passten, gemessen wurde, fand ein vielbeachteter Aufsatz heraus, dass ein Drittel aller Passwörter in weniger als fünf Minuten geknackt werden konnte.
Nach einem Passwort mit acht Zeichen oder Zahlen zu suchen, dauerte damals 66 Jahre mit dem besten Computer, dem PDP-11/70, der fast 50.000 Kombinationen in der Minute verarbeiten konnte.
Die Studie fand heraus, dass User fast immer schlechte Passwörter wählten, was dazu führte, dass Eindringlinge Abkürzungen benutzen konnten, um in Netzwerke einzudringen.
Von den mehr als 3.300 Passwörtern, die die Autoren Ken Thompson und Robert Morris Sr. untersuchten, waren ungefähr 17 Prozent drei Zeichen oder weniger lang, fast 15 Prozent bestanden aus vier Zeichen (Buchstabe oder Zahl) und weitere 15 Prozent waren in einem der damals verfügbaren Wörterbücher zu finden. Alles zusammen genommen konnte fast die Hälfte aller Passwörter in weniger als sechs Stunden gefunden werden.
Seien Sie sich aber über eines im Klaren: Ein Acht-Zeichen-Passwort kann sehr sicher sein, sogar wenn heutige Computer versuchen, es zu entschlüsseln.
Es gibt mehr als 6,6 Billiarden verschiedene Acht-Zeichen-Passwörter, wenn man die 95 druckbaren ASCII-Zeichen benutzt. Obgleich einige Passwort-Entschlüsselungs-Programme fast 8 Millionen Kombinationen pro Sekunde testen können, würde es immerhin im Schnitt noch 13 Jahre dauern, um ein Acht-Zeichen-Passwort zu entschlüsseln.
In den vergangenen zwei Jahrzehnten wurden Betriebssysteme entwickelt, die die Sicherheit von Passwörtern verbessern. In der Vergangenheit konnte jedermann die Passwortdatei – die Sammlung der Schlüssel zu den Softwareschlössern des Systems – lesen, was es Hackern ermöglichte, die Datei zu kopieren, um sie dann auf dem eigenen Computer zu entschlüsseln.
Heutzutage erlauben Betriebssysteme nur dem Systemadministrator, die verschlüsselten Passwörter zu lesen. Das zwingt Hacker dazu, Systemadministratorprivilegien zu bekommen, bevor sie die Datei herunterladen können. Außerdem ist es normal geworden, nur drei Versuche zu erlauben: User, die nicht das richtige Passwort innerhalb der ersten drei Male benutzen, werden ausgesperrt.
Neueste Kommentare
2 Kommentare zu Ihr Passwort: Das größte Sicherheitsrisiko
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Sicherheit??
Man sollte mal darüber nachdenken, ob es nicht mit einer Chipkarte, deren Aktivierung sofort ein neuer Schlüssel zur Folge hat, getan ist. Mehrere Faktoren sind so möglich:
1. Die Kompromittierung des Systems/ Netzwerk ist auf das Einloggen zurückzuführen, da nur die Original- Karte oder der Klon der Karte den Zugang erlaubt. Bei Einsatz eines Klons kommt die Originalkarte nicht mehr in das Netz, der Code gibt aufschluß, ab wann ein Klon eingesetzt wurde. Bei Diebstahl ist halt der Tag des Diebstahls ausschlaggebend.
2. Das Kennwort kann beliebig lang sein – etwa Schillers Glocke mit Rechtscgweibfehlern, ich meine, das sollte reichen, um jedes Programm verzweifeln zu lassen.
3. Ein ganz einfacher Vergleich: Der Haustürschlüssel ändert sich nie, aber er kann nachgemacht werden. Benutzt man aber jeden Tag ein anderes Schloß – wie lange braucht ein Dieb, um einzubrechen?
Anstatt also dem Anwender das Feld zu überlassen und zu sagen, merk dir dein Passwort, sollte der Admin den Anwender entmündigen und ihm etwas an die Hand geben, um mit einem Handgriff das Feld der Paßwörter zu öffnen und die Paßwörter fast unmöglich zu merken sind.
Da Chipkarten mit bis zu einem GB zu haben sind, sollte es schon möglich sein, ein 4KB großes Paßwort zu benutzen, bei den Einlesegeschwindigkeiten der Chipdaten ist das immer noch schneller als von Hand einzugeben bei 14 Bustaben/Zahlen.
Übrigens: Windows benutzt seid jeher schon 14 Zeichen, jedenfalls bis NT4, ob Windows XP oder 2000 das macht, habe ich noch nicht ausprobiert. Aber warum nur so kurz?
AW: Sicherheit??
Jedes Auto-Radio läst die ersten 3 Code-Versuche sofort hintereinander zu, bei noch mehr Versuchen gibt es Sperren von 5 und später auch 30 min, danach sogar von einem Tag. Über den Zeitfaktor und eine automatische Administratorbenachrichtigung bei offensichtlichen Bruteforce-Attacken lässt sich schlimmeres verhindern. Allerdings ist für die Dauer der Sperre auch der Administrator ausgesperrt, wobei man auch diverse Hintertürchen einbauen kann. Wenn der 100MBIt-Backbone als Einfallstor herhält und gesperrt wird, kann man noch mit ISDN eine RAS-Einwahl organisieren.Ein Angreifer könnte nur schlecht eine der zulässigen MSNs in der CallerID vorgaukeln, weil man dann das ISDN-Netz manipulieren müsste.
Für’s Homebanking benutze ich auch kein einfaches PIN/TAN-Verfahren sondern seit 6 Jahren HBCI.
In den Bankfilialen werden Mäuse mit Fingerabdrucksensor verwendet. Vielleicht ist es relativ einfach, an den Fingerabdruck eines Bankmitarbeiters zu gelangen.
Bei Ebay ist es sicherlich vorteilhafter bei 10 000 Namen einmal das Passwort "Passwort" einzutippen als bei einem Namen 10 000 Passwörter.