Smartphonesicherheit

Passwortsicherheit Mythen und Fakten Passwörter sind im digitalen Zeitalter ein alltägliches Thema. Vom Email-Account bis hin zum Banking-Account sollen sie persönliche und hochsensible Daten vor fremden Händen schützen.

Passwortsicherheit – Mythen und Fakten

Passwörter sind im digitalen Zeitalter ein alltägliches Thema. Vom Email-Account bis hin zum Banking-Account sollen sie persönliche und hochsensible Daten vor fremden Händen schützen. Erfolgreiche Hackerangriffe auf Stellen wie die US-Regierung erinnern mit mehreren Millionen Opfern allerdings immer wieder daran, dass kein Passwort hundertprozentige Sicherheit bietet. So alltäglich das Thema Passwort ist, so wenig weiß der Durchschnittsbürger eigentlich darüber Bescheid. Um kaum ein Thema ranken sich heutzutage derart viele Mythen wie um Passwortsicherheit. Zeit für einen kurzen Mythbuster.

  1. Passwortmythos: Hashen ist Verschlüsseln

Passwörter sind entweder auf einem Browser oder einer Plattform hinterlegt und gewähren dem einzelnen User oder einer ganzen Gruppe von Usern Zutritt zum jeweiligen System. Da Passwörter an irgendeiner Stelle immer gespeichert werden, sind sie vor dem Zugriff Dritter niemals voll geschützt. Trojaner sind zum Beispiel dazu konzipiert, in den Browser einzudringen und lokale Passwörter aufzuspüren. Verschlüsselte Passwörter sind die vermutlich sicherste Variante des Passworts. Da Verschlüsselung und Entschlüsselung aber mit großem Aufwand verbunden ist, verwenden nur die wenigsten echte Passwortverschlüsselungen. Stattdessen wird für mehr Sicherheit meist ein kryptologischer Hash verwendet. Der Hash ist eine Prüfsumme für Daten, den eine Hashfunktion automatisch generiert. Diese Prüfsumme wird anstelle eines Klartext-Passworts auf der Plattform oder dem Browser gespeichert. Jeder Hash ist also eine Funktion, die eine bestimmte Zeichenfolge beliebiger Länge auf eine andere Zeichenfolge mit festgelegter Länge projiziert. Mit guten Hashalgorithmen lassen sich eindeutige Werte erzeugen. Jeder Hash hat damit idealerweise eine einzigartige Kombination. Solange der Hash-Wert nicht von vornherein bekannt ist, lässt sich von einem Hash lediglich mit Aufwand auf die benötigten Daten zurück schließen. Obwohl es sich für den Laien so anhört, ist ein gehashtes Passwort aber nicht gleich ein verschlüsseltes Passwort. Es ist der Verschlüsselung in Sachen Sicherheit nämlich weit unterlegen.

  1. Passwortmythos: Gehashte Passwörter sind nicht hackbar

Egal ob gehasht oder nicht: Hacker verfügen über zahlreiche Möglichkeiten, um Zugriff auf Passwörter zu erhalten. Das Wiretapping, Sniffing und Eavesdropping gehören zu den bekanntesten Daten-Abhörstrategien. Auch Hashing schützt davor nicht. Besonders oft werden zum Abhören im Netz Sniffer-Programme genutzt. Diese Programme zeichnen an andere Benutzer adressierte Datenpakete auf, die an die Hacker übertragen werden und so zur Informationsgewinnung benutzt werden. In anfälligen Protokollen lassen sich die Informationen aus einem Sniffer-Programm für Replay-Attacken einsetzen. Solche Sniffer-Attacken sind heutzutage durch Verschlüsselung in der Anwendungsschicht glücklicherweise weitestgehend vermeidbar. Sniffer-Programme sind aber längst nicht die einzige Option, ein Passwort zu hacken. Der natürlichste Hack-Ansatz ist das Durchprobieren aller potenziellen Lösungen. Diese Methode wird auch Brute-Force-Suche genannt. Mit kryptographischen Hashfunktionen ist die direkte Passwortberechnung aus einem Hashwert zwar so gut wie unmöglich. Cracker berechnen durch Brute-Force aber die Hashwerte der Passwörter. Sobald ein Wert mit dem des jeweils hinterlegten Passworts übereinstimmt, ist das Passwort gehackt.

 

 

 

  1. Passwortmythos: Passwortlänge und Zeichenvielfalt machen Brute-Force unmöglich

Professionelle Hacker arbeiten mit vordefinierten Hashlisten der besonders oft verwendeten Passwörter. Diese Listen sind auch als Rainbow-Tables bekannt. Wenn die Gesamtsumme der auszuprobierenden Passwörter bei einem Hackerangriff auf die Wörterbucheinträge oder deren Zusammensetzungen beschränkt ist, liegt ein sogenannter Wörterbuchangriff vor, bei dem Hacker auf Wortlisten zurückgreifen. Diese Listen enthalten im Regelfall zumindest die in Passwörtern üblichen Begriffe und deren Kombinationen. Passwörter außerhalb des Dudens sind daher durchaus sicherer als Kombinationen, die aus dem Duden erschlossen werden können. Je umfangreicher das Passwort, desto höher ist auch die benötigte Rechenleistung für den Hacker. Mit steigender Passwortlänge und einer steigenden Anzahl an Sonderzeichen steigt also der Aufwand für einen Hack via Brute-Force-Methode. Die Methode konzentriert sich in der Regel auf kurze und einfache Passwörter, von denen es trotz des steigenden Sicherheitsbewusstseins auch heute noch genügend gibt. Millionen von Passwörtern können Hacker so pro Sekunde ausprobiert werden. Daher ist diese Form für Hacker in der Regel lukrativer, als sich ewig mit dem Hack eines einzigen und langen Passworts aufzuhalten. Allerdings steigt die Rechenleistung heutzutage permanent an. Daher sind auch längere Passwörter oder Passwörter mit einer Vielzahl von Sonderzeichen kein ausreichender Schutz vor der Brute-Force-Methode mehr. Der gewaltige NSA-Computer knackt 1,000,000,000,000 Keys pro Sekunde. Ein acht Zeichen langes Passwort kann so trotz Zeichenvielfalt in lediglich zwei Stunden per Ausprobieren geknackt werden. Gegenmaßnahmen bieten sich durch die Verwendung von sogenannten Salts oder Key-Stretching. Das Key-Stretching besteht aus einer Iteration des Hashs oder beinhaltet komplexe Vorbereitungsmaßnahmen für die jeweilige Algorithmusausführung. So steigt die Rechenzeit zur Berechnung des endgültigen Hashwerts an. Ein Salt lässt sich außerdem mit Passwörtern konkatenieren, um die Erstellung von Rainbow-Tables zu verhindern und keine Vergrößerung am Urbildbereich zuzulassen. So wird der Schlüssel gestreckt und das Passwort wird komplexer.

  1. Passwortmythos: Zufällig generierte Passwörter lassen sich nicht hacken

Eine Vorbeugungsmaßnahme gegen Brute Force soll sich mit zufällig generierten Passwörtern bieten, die in einer Kennwortverwaltung abgelegt werden. So bleibt als Schwachstelle lediglich das Hauptkennwort der Verwaltung übrig. Unmöglich ist Brute Force aber auch damit nicht. Außerdem stehen Hackern viele weitere Angriffsmöglichkeiten zur Verfügung. Sogenannte Man-in-the-middle-Attacken nehmen Angreifer vor, indem sie sich zwischen zwei oder mehrere Kommunikationspartner setzen und den Datenverkehr belauschen. Da sie meist durch ARP-Spoofing eingeleitet werden, können statische ARP-Einträge das Risiko für Man-in-the-Middle-Attacken allerdings verringern. Schon Server- und Clientauthentifizierung reduzieren die Wahrscheinlichkeit für solche Angriffe. Um außerdem das Risiko für DNS-Anfragen durch DNS-Spoofing-Angriffe zu minimieren, bieten sich Lösungen wie DNSSEC und IPSec an. Bei Replay-Attacken zeichnen Angreifer wiederum den Datenverkehr zwischen zwei Parteien auf. Das geschieht in der Regel in Form von Sniffing. Session token und Timestamps sichern gegen Replay-Attacken zumindest bedingt ab.

 

  1. Passwortmythos: Wer gehackt wird, ist selber Schuld

Heutzutage gibt es zum Schutz vor Hackern Verwaltungssysteme wie Firefox Masterpasswort. Zusätzlich gibt es Verschlüsselungsoptionen, die den Datenverkehr sicherer machen. Passwörter müssen zum Beispiel nicht mehr manuell eingegeben werden, sondern können als Schlüssel in Schlüsseldateien abgelegt sein. Anwendungen wie SSH lassen neben der Authentifizierung durch Passwörter außerdem die Nutzung von Public-Key-Verfahren zu, damit die Gegenstelle den privaten Authentifizierungsschlüssel nicht zu sehen bekommt. Der Datei-Schlüssel ist so gegen Auslesen durch ein weiteres Passwort gesichert. Vervollständigt wird der Schutz durch biometrische Zugangskontrollen. Auch der Besitznachweis einmaliger Objekte, sogenannter Security-Token, ist in der Zweifaktor-Verifizierung heutzutage möglich. VPN-Dienste können zusätzlich die gesamte Verbindung in offenen Netzwerken verschlüsseln und unsichere Plattformen damit sicherer machen. Bei diesen umfangreichen Möglichkeiten sind die Opfer von Hackangriffen selber Schuld, so hört man manchmal. Die Wahrheit ist das nicht, denn sogenannte Konfigurationsfehler können zum Beispiel auch noch so umsichtige Menschen zum Opfer eines Hackerangriffs werden lassen. Solche Fehler werden meist vom Administrator verursacht. Ein Konfigurationsfehler kann so zum Beispiel auch durch eine falsch konfigurierte Debugging-Umgebung entstehen. Trotzdem oder gerade deshalb ist es heutzutage ratsam, die zahlreichen Möglichkeiten für höhere Passwortsicherheit zu nutzen und so das Risiko für Datenraub zumindest so weit wie möglich zu reduzieren.

Alle Bilder: Lizenz CC0 Public Domain / Pixabay.com

Der Beitrag wurde uns freundlicherweise bereitgestellt durch

Jan Unger
Redaktion

talk+ GmbH
www.mobildiscounter.de