Sicherer Umgang mit Kennungen und Passwörtern
Die System- und Netz-Sicherheit erlangt immer größere Bedeutung und wird inzwischen sogar schon in der Tagespresse diskutiert. Leider ist noch immer nicht allgemein bekannt, dass viele Sicherheitsprobleme nicht durch fehlerhafte Software oder durch "geniale" Hacker entstehen, sondern vielmehr durch unsachgemäße Handhabung von einfachen Sicherheits-Maßnahmen durch Benutzer(innen), Administrator(inn)en oder sogar gesamte Institutionen.
Hier deshalb ein paar grundsätzliche Informationen, wie Sie selbst einen wichtigen Beitrag zu Ihrer eigenen Sicherheit leisten können, indem Sie mit Ihren Kennungen und Passwörtern sicher umgehen.
Lassen Sie sich von der Länge dieses Artikels nicht abschrecken !
Zum schnellen Einstieg finden Eilige nach einer kurzen Motivation eine knappe Zusammenfassung der wichtigsten Regeln, die in den folgenden Abschnitten ausführlich behandelt werden. Die abschließenden Kapitel sind als Hintergrund-Information für Interessierte gedacht; ihre Kenntnis ist aber zur Verbesserung Ihrer Sicherheit nicht unbedingt notwendig (außer Sie sind wie wir der Meinung, dass man "Kochrezepte" besser umsetzen kann, wenn man weiß, warum ein Rezept genau so lautet).Dieser Artikel hier basiert auf einem älteren LRZ-Rundschreibenbeitrag. Bei der kompletten Überarbeitung wurden Ideen aus folgenden Quellen übernommen:
- LRZ-Kurs "Einführung in die System- und Internet-Sicherheit".
- Artikel "Warum Passwörter" des regionalen Rechenzentrums für Niedersachsen (RRZN).
Wir danken der Autorin Christine Peter.- Artikel "Hinweise zur Passwort- und Datensicherheit".
Wir danken dem Autor Patrick Seidler.
Motivation
Der Artikel "Warum ist Security wichtig ?" versucht darzustellen, warum man sich auf jeden Fall im eigenen Interesse mit dem Gebiet der System- und Netz-Sicherheit (Security) vertraut machen sollte. Dabei werden folgende Fragen näher behandelt:
- Was auch Ihnen passieren könnte !
- Warum ist System- und Netz-Sicherheit so wichtig ?
- Warum haben Hacker oft besonders leichtes Spiel ?
- Warum ist die Anzahl der Angriffe so angestiegen ?
- Begriffs-Bildung: Was ist der Unterschied zwischen "Sicherheit" und "Security" ?
- Welche Sicherheits-Dienste bietet das LRZ ?
Wir hoffen, dass das Lesen dieses Artikels Sie motiviert, sich ganz persönlich mit Security auseinanderzusetzen und z.B. hier mit der Passwort-Thematik zu beginnen.
Der Zugang zu Ihren persönlichen Daten erfolgt im Prinzip über zwei "Schlüssel":
- Ihre (Benutzer-)Kennung (oft auch
"Benutzername",
"Benutzerkonto" oder
"Login" genannt; z.B.
"
e1234xy
"). - Ihr jeweils dazu passendes Passwort
(oft auch "Password" oder
"Kennwort" genannt; z.B. "
einstein
"), mit dem Sie sich als legitime(r) Benutzer(in) ausweisen.
Auf ein Beispiel aus dem Alltag übertragen, könnte man Ihre Kennung mit Ihrer Wohnung vergleichen und Ihr Passwort mit dem Türschlüssel für Ihre Wohnung.
Wenn im folgenden von "Kennungen" die Rede ist, meinen wir damit immer die Kombination aus Benutzerkennung und Passwort.
Natürlich gibt es immer Systeme, die so wenig durchdacht sind, dass man sie sozusagen "mit einer Büroklammer" knacken kann; und natürlich gibt es ebenso immer wieder Hacker, die so "genial" vorgehen, dass ihnen nicht einmal der Geheimdienst gewachsen ist. Die Erfahrung hat aber gezeigt, dass Benutzer(innen) und leider auch Administrator(inn)en durch Unkenntnis oder zu sorgloses Verhalten viele Sicherheitsprobleme selbst (mit-)verschulden.
Ein wichtiger Baustein bei der Sicherheit Ihrer Daten und Systeme ist deshalb der sichere Umgang mit Kennungen und Passwörtern. Dieser Artikel soll Ihnen dabei helfen, die am häufigsten gemachten Fehler zu vermeiden.
Für Eilige: Knappe Zusammenfassung der wichtigsten Regeln
- Passwörter dürfen nur den legitimen Besitzern bekannt sein bzw. für legitime Zwecke verwendet werden. Ansonsten dürfen Passwörter niemals weitergegeben werden.
- Verlassen Sie bei öffentlich zugänglichen
Rechnern niemals den Arbeitsplatz, ohne die laufende
Sitzung gesperrt oder beendet zu haben !
Seien Sie dabei selbst dann konsequent, wenn Sie "nur eine halbe Minute" den Platz verlassen müssen oder den Rechner "immer im Blickwinkel" haben.
Installieren/konfigurieren Sie als Notanker einen Screen-Saver, der nach 3 bis 7 Minuten Inaktivität eine Sitzung automatisch sperrt !
- Sollten Sie ausnahmsweise ein Passwort doch aufschreiben oder elektronisch speichern müssen, beherzigen Sie zumindest die weiter hinten aufgeführten Ratschläge.
- Eine elektronisch Übertragung von Passwörtern sollte nach Möglichkeit immer nur verschlüsselt stattfinden.
- Wählen Sie für unterschiedliche Kennungen auch verschiedene Passwörter.
- Ändern Sie Passwörter regelmässig:
- Bei normalen Kennungen alle 2 - 6 Monate.
- Bei Systemverwalter-Kennungen alle 1-3 Monate.
- Bei sonstigen "wertvollen" Kennungen (Online-Banking, kostenpflichtige Datenbankabfragen etc.) alle 1-3 Monate.
Wählen Sie dabei jedesmal ein neues Passwort; wechseln Sie z.B. nicht einfach zwischen "Passwort-1" und "Passwort-2" hin und her.
- Ändern Sie ein Passwort so schnell wie
möglich,
- nachdem sie es zusammen mit einer neuen Kennung erhalten haben.
- nachdem sie es eine(r/m) Hotline-Mitarbeiter(in) mitgeteilt haben.
- wenn Sie den Verdacht oder Hinweise haben, dass es in falsche Hände geraten sein könnte. Schon beim leisesten Verdacht !
- Lassen Sie sich beim Eintippen des Passworts nicht über die Schulter schauen und wählen sie für selten verwendete Kennungen besonders "gute" Passwörter.
-
"Gute" (d.h. sichere) Passwörter
- sind mindestens 8 Zeichen lang.
- enthalten Klein- und Großbuchstaben und mindestens jeweils 1 Ziffer und 1 Sonderzeichen, die nach Möglichkeit nicht am Anfang oder Ende stehen sollten.
- stammen nicht aus dem persönlichen Umfeld, damit man sie nicht erraten kann.
- kommen in keinem Wörterbuch etc. vor, damit sie nicht von frei verfügbaren Knack-Programmen gefunden werden können.
- sollten schnell getippt werden können.
- sollte man sich leicht merken können.
Es gibt einige Methoden, wie man derartige Passwörter einfach bilden kann.
Diese Regeln werden in den folgenden Abschnitten ausführlich behandelt.
Sicherer Umgang mit Kennungen
Todsünde: Weitergabe von Kennungen
Mit der "Weitergabe einer Kennung" ist hier folgendes gemeint:
Sie lassen eine unberechtigte Person unbeaufsichtigt
unter einer Kennung arbeiten oder Sie geben sogar das Passwort einer
Kennung an eine unberechtigte Person weiter. In den
allermeisten Fällen wird Ihre Kennung Ihnen persönlich und
individuell zugewiesen und die meisten Benutzungsordnungen
untersagen die Weitergabe von Kennungen sogar
explizit (wie z.B. in "§ 4 Pflichten des Benutzers"
in den Benutzungsrichtlinien des
LRZ).
Abgesehen davon, dass eine Weitergabe nicht erlaubt ist, schaden Sie sich in erster Linie selbst, wenn Sie leichtfertig mit Ihrer Kennung umgehen. Vermutlich würden Sie auch nicht Ihren Wohnungsschlüssel flüchtigen Bekannten oder gar völlig fremden Personen (Klempner, Heizungsableser) "einfach so" überlassen. Sehr wahrscheinlich würden Sie diese Personen nur in Ihrer Anwesenheit in Ihre Wohnung lassen und auch zuschauen, was sie dort tun.
Noch unwahrscheinlicher ist es, dass Sie Ihre Bank- oder Kreditkarte aus den Händen geben, ohne darüber nachzudenken, an wen und unter welchen Bedingungen.
Manchmal ist man sich auch gar nicht bewusst, dass man ein Passwort weitergibt:
Jemand bittet Sie freundlich oder fordert Sie harrsch auf, irgendwelche System-Dateien, URL's etc. herauszugeben, deren Inhalt und Bedeutung Sie nicht kennen.
Folgen Sie niemals derartigen Aufforderungen,
denn in diesen Dateien könnten (mehr oder weniger gut geschützt) die
Passwörter aller Benutzer, Zugangsdaten zum Online-Banking etc. enthalten
sein ! Es handelt sich hierbei wahrscheinlich um einen Social-Engeneering-Angriff. Weiter unten finden Sie noch weitere Tipps, wie man sich in
diesen Fällen verhalten sollte.
Abgesehen von der Passwort-Problematik könnten die gewünschten Dateien
auch dem Urheberschutz unterliegen.
Natürlich gibt es auch Fälle, bei denen die Weitergabe eines Passworts legitim oder sogar unbedingt erforderlich ist:
- Sie erhalten eine neue Kennung und deshalb wird Ihnen ein
dazugehöriges Initial-Passwort mitgeteilt.
Aus Sicherheitsgründen sollten Sie diese Voreinstellung dann aber so bald wie möglich ändern.
- Sie arbeiten mit anderen Personen unter einer Gruppen-Kennung und sagen einer Person Ihrer eigenen Arbeitsgruppe das Passwort.
- Sie haben Zugangs-Probleme (zu einem Rechner, ins Internet etc.)
und rufen daraufhin von sich aus eine Hotline an.
Die/der Hotline-Mitarbeiter(in) wird Sie dann möglicherweise
auffordern, Ihr Passwort anzugeben. Dies kann mehrere Gründe haben:
- Durch Ihr Passwort weisen Sie sich aus, dass Sie überhaupt Hotline-Dienste in Anspruch nehmen dürfen.
- Die/der Hotline-Mitarbeiter(in) prüft, ob Ihre Zugangs-Probleme möglicherweise an einem fehlerhaften Passwort liegen (z.B. falsche Groß-/Kleinschreibung oder ein "Zeichen-Dreher").
Zur Sicherheit sollten Sie nach dem Anruf das Passwort möglichst bald ändern.
Gerade beim letzten Fall sollten Sie aber besonders vorsichtig und misstrauisch sein. Hacker verstehen es nämlich manchmal ausgezeichnet, arglose Benutzer zur Weitergabe ihrer Kennung zu verleiten; man nennt diese Vorgehensweise "Social Engeneering".
Sie sind i.a. auf der sicheren Seite, wenn sie in derartigen Fällen immer darauf achten, dass die Initiative bei der Kontaktaufnahme von Ihnen ausgeht. Legitime Systemverwalter, Hotline-Mitarbeiter etc. benötigen nämlich nicht Ihr Passwort, um irgendwelche Probleme zu beheben, und werden Sie deshalb auch nicht darauf hin ansprechen !
Einige Tipps, wie Sie sich in derartigen Fällen verhalten sollten:
- Oberste Regel: Seien Sie misstrauisch !
- Handeln Sie niemals so, wie es im wahrscheinlich vorliegenden Angriff gewünscht oder gefordert wird. Insbesonders verwenden sie niemals ohne Nachprüfung die angegebenen Telefonnummern, E-Mail-Adressen oder URL's und geben auch niemals Dateien heraus, deren Inhalt und Bedeutung Sie nicht hundertprozentig kennen !
- Informieren Sie sich auf der Home-Page derjenigen Organisation, von
der der Kontakt-Versuch angeblich ausging (d.h. bei Ihrem
Rechenzentrum, Internet-Provider etc.). Alternativ können Sie auch die
offizielle Hotline anrufen, deren Nummer Sie zusammen mit der Kennung
früher erhalten haben sollten.
Liegt nämlich der seltene Fall einer legitimen Aktion vor, sollte darüber auf der Home-Page berichtet werden bzw. die Hotline-Mitarbeiter sollten Bescheid wissen.
- Verhalten Sie sich sozial und machen Sie Ihr Rechenzentrum, Ihren Internet-Provider etc. darauf aufmerksam, dass ein Social-Engeneering-Angriff (vermutlich) stattgefunden hat. Sehr wahrscheinlich wurden nämlich auch noch andere Benutzer angegriffen, die durch Ihre Wachsamkeit von der Organisation gewarnt werden können.
- Erfolgte die Kontaktaufnahme auf elektronischem Wege (z.B. per
E-Mail oder in einem Chat), können Sie auch die Organisation/Person(en)
benachrichtigen, die für den Ausgangspunkt des Angriffs verantwortlich
sind.
Auf diese Weise kann der Angreifer möglicherweise ermittelt werden. Zumindest kann aber die Kennung des Angreifers gesperrt werden, damit nicht noch weitere gutgläubige und hilfsbereite Neulinge hereingelegt werden.
Kardinal-Fehler: Unbeaufsichtigte offene Sitzungen
Die besten und geheimsten Passwörter nützen Ihnen überhaupt nichts, wenn Sie an öffentlich zugänglichen Rechnern laufende Sitzungen (z.B. die Bearbeitung eines Dokuments) einfach unterbrechen (z.B. um einen Kaffee trinken zu gehen). Besonders verantwortungslos ist dieses Verhalten natürlich dann, wenn Sie unter einer Administrator-Kennung arbeiten.
Dies entspricht in etwa folgender Situation: Sie stecken Ihre Karte in einen Geldautomaten, tippen Ihre Geheimnummer ein, lassen die Karte stecken und gehen erstmal Zigaretten kaufen (Das Geld können Sie ja danach abheben ...). Der Nachfolger braucht dann nicht einmal Ihre Karte und Ihre Geheimnummer (in unserem Fall Ihre Benutzerkennung und Ihr Passwort) zu entwenden.
Wenn Sie eine Sitzung an einem öffentlichen Rechner unterbrechen (müssen), sperren Sie unbedingt immer Ihre Sitzung oder loggen Sie sich vorher aus (falls eine Sperrung nicht möglich ist). Und seien Sie selbst dann konsequent, wenn Sie "nur eine halbe Minute" den Platz verlassen müssen:
- Für einen versierten und darin geübten Hacker reichen schon 20 Sekunden aus, um Ihre Kennung in seine Gewalt zu bringen !
- Erfahrungsgemäß bleibt man oft länger weg als geplant:
- Beim Kaffee holen trifft man zufälligerweise einen Bekannten, mit dem man sich dann ein paar Minuten unterhält.
- Ein lange dauernder Druck-Auftrag verstopft gerade die Warteschlange.
- Beim Drucker war das Papier ausgegangen und man muss erst noch neues nachlegen.
- Im WC sind gerade alle Kabinen belegt und man muss ein paar Minuten warten.
Konfigurieren Sie zusätzlich einen Screen-Saver, der nach 3 bis 7 Minuten Inaktivität eine Sitzung automatisch sperrt ! Dieser Screen-Saver tritt dann als Notanker in Kraft, wenn Sie das explizite Sperren "ausnahmsweise" doch einmal vergessen haben sollten.
Wichtig:
Der Screen-Saver sollte schon nach relativ kurzer Zeit aktiv werden.
Nehmen Sie dabei zu Ihrer eigenen Sicherheit die Unbequemlichkeit in
Kauf, dass Sie zumindest in der Anfangsphase Ihr Passwort öfters eingeben
müssen: Es wird Ihnen nämlich wahrscheinlich passieren, dass Sie beim
Nachdenken längere Zeit weder die Maus noch eine Taste berühren; der
Screen-Saver interpretiert dies dann als Abwesenheit und sperrt die
Sitzung.
Tipp: Man kann dem Screen-Saver sehr einfach Aktivität vortäuschen, ohne
i.a. eine Eingabe zu erzeugen, indem man man die <Control>- bzw.
<Strg>-Taste oder <Shift>-Taste drückt oder die Maus
bewegt.
Aufschreiben und Speicherung von Passwörtern
Im Idealfall
- kennen Sie Ihre Passwörter alle auswendig.
- haben Sie keines Ihrer Passwörter aufgeschrieben.
- haben Sie keines Ihrer Passwörter in elektronischer Form gespeichert (z.B. in einer Datei oder in einer programmierbaren Taste).
Dadurch wird die Gefahr verringert, dass ein gespeichertes Passwort in falsche Hände gelangt (z.B. indem man einen Zettel verliert). Deshalb sollten Sie sich auch bemühen, diesem Ideal möglichst nahe zu kommen.
Leider gibt es jedoch immer wieder Ausnahmen, in denen das Aufschreiben bzw. eine Speicherung akzeptabel oder sogar zwingend erforderlich ist:
- Gerade im universitären Bereich kommt es öfters vor, dass
Systemverwalter 20 und mehr verschiedene Kennungen besitzen.
Nur ein "Gedächtniskünstler" würde das Risiko eingehen, sich keines der Passwörter zu notieren.
- Manche Spezial-Kennungen werden nur wenige Male im Jahr benötigt.
Auch in diesem Fall ist die Gefahr zu groß, dass man ein so selten verwendetes Passwort vergisst.
- Das Passwort ist so kompliziert, dass man es sich nicht merken kann.
- Bei Administrator-Kennungen müssen die Ersatz-Administratoren im
ungeplanten Vertretungsfall (Krankheit, spontaner Kurz-Urlaub etc.)
Zugriff auf die Passwörter haben.
In diesem Fall hilft nur ein sicher deponierter Zettel.
- Manche Programme benötigen auf der einen Seite ein Passwort (z.B.
zum Start oder für privilegierte Funktionen) und sollen aber auf der
anderen Seite ohne menschliche Eingriffe ablaufen können (z.B. im
Batch-Betrieb oder als Web-Dienst).
Dazu muss das Passwort in einer Datei, auf einem Spezial-Träger (z.B. eine Chip-Karte) etc. in elektronisch lesbarer Form abgelegt sein.
In diesen wenigen Einzelfällen sollten Sie wenigstens folgende Ratschläge beherzigen:
- Bei Merk-Zetteln, die Sie
ausschließlich für sich selbst als
Gedächtnisstütze verwenden, gelten folgende Tipps:
- Ein aufgeschriebenes Passwort sollte
niemals als Passwort erkennbar sein. Außerdem
sollte man vermeiden, Passwort und Kennung gemeinsam
aufzuschreiben.
Selbst ein zusammen mit einem Rechnernamen aufgeschriebenes Kennwort ist schon gefährlich.
Negativ-Beispiel: Meine Kennung "
e1234xy
" an der "sun1.lrz-muenchen.de
" hat das Passwort "einstein
". - "Verfremden" sie das Passwort beim Aufschreiben. Mischen Sie es
z.B. auf eine einfach zu merkende, aber für Uneingeweihte schwer zu
durchschauende Weise mit anderen Zeichen.
Negativ-Beispiel, das aber dieses Prinzip besonders anschaulich macht: "
p1a2s3s4w5o6r7d8
" - Befestigen Sie einen Passwort-Zettel
keinesfalls am Bildschirm, am Schreibtisch,
unter der Tastatur, an einer Pin-Wand oder an einer anderen Stelle
an Ihrem Arbeitsplatz. 80% der aufgeschriebenen Passwörter befinden
sich nämlich am Arbeitsplatz im Umkreis von 2 Metern; und leider
wissen dies auch viele Hacker.
Am besten tragen Sie einen Passwort-Zettel immer mit sich herum (z.B. in Ihrem Geldbeutel oder in einem Brustbeutel).
- Ein aufgeschriebenes Passwort sollte
niemals als Passwort erkennbar sein. Außerdem
sollte man vermeiden, Passwort und Kennung gemeinsam
aufzuschreiben.
- Bei Passwort-Zetteln für Ihre Vertretung
bieten sich folgende Regeln an:
- Derartige Zettel müssen an einem sicheren Ort
aufbewahrt werden. Dafür bietet sich z.B. ein
verschlossener Umschlag im Safe des Sekretariats an.
Klären Sie aber vor der Wahl des Ortes, ob der Passwort-Zettel auch außerhalb der üblichen Büro-Zeiten zugänglich sein muss.
- Aussen auf dem Umschlag oder zur Not auf einem Begleit-Zettel sollten alle Personen aufgelistet sein, die diesen Umschlag öffnen dürfen. Evtl. kann auch noch verlangt werden, dass protokolliert wird, wann an wen der Umschlag herausgegeben wurde.
- Zusätzlich sollten wie bei den privaten Zetteln die Passwörter selbst nach Möglichkeit "verfremdet" aufgeschrieben werden.
- Natürlich müssen alle potentiell berechtigten Personen darüber verständigt werden, dass und wo sie im Notfall benötigte Passwörter finden können.
- Derartige Zettel müssen an einem sicheren Ort
aufbewahrt werden. Dafür bietet sich z.B. ein
verschlossener Umschlag im Safe des Sekretariats an.
- Bei elektronischer Speicherung zur privaten
Gedächtnisstütze sollten Sie folgende Hinweise
berücksichtigen:
- Speichern Sie niemals Passwörter (zur
eigenen Bequemlichkeit) unverschlüsselt in
Dateien, programmierbaren Tasten etc. Verwenden Sie außerdem einen
sicheren Algorithmus zur Verschlüsselung.
Analoges gilt, wenn Sie ein Programm zur Passwort-Verwaltung verwenden und nicht selbst die Passwörter in eine Datei schreiben.
- Informieren Sie sich regelmäßig, ob das zur Verschlüsselung bzw. Verwaltung verwendete Programm noch sicher ist.
- Sorgen Sie zusätzlich dafür, dass nur Sie selbst Zugriff auf die Datei mit den verschlüsselten Passwörtern haben, indem Sie die Rechte der Datei und/oder des Verzeichnisses geeignet setzen.
- Akzeptieren Sie niemals, dass ein Nutz-Programm (z.B. zum
Online-Banking) ein Passwort, eine PIN, TAN etc. zu Ihrem Komfort
für Sie ablegt, selbst wenn das Nutz-Programm das Passwort vor der
Ablage verschlüsselt.
Zu viele Nutz-Programme, die ja nicht auf die Passwort-Verwaltung spezialisiert sind, verwenden nämlich nur schlechte Verschlüsselungs-Verfahren, die relativ schnell geknackt werden können. Und zusätzlich wissen Hacker/Viren/Würmer natürlich, in welchen Dateien die Standard-Nutz-Programme Ihre Passwörter ablegen.
Nehmen Sie lieber zu ihrer eigenen Sicherheit die Unbequemlichtkeit in Kauf, ein Passwort häufiger eingeben zu müssen.
- Speichern Sie niemals Passwörter (zur
eigenen Bequemlichkeit) unverschlüsselt in
Dateien, programmierbaren Tasten etc. Verwenden Sie außerdem einen
sicheren Algorithmus zur Verschlüsselung.
- Am heikelsten ist der Fall, dass aus technischen Gründen
eine unverschlüsselte Speicherung erforderlich ist, weil ein
Programm ohne menschliche Eingriffe auf das Passwort zugreifen muss:
- Sorgen Sie dafür, dass nur Sie selbst bzw. das betreffende Programm die entsprechende Datei lesen darf, indem Sie die Rechte der Datei und/oder des Verzeichnisses geeignet setzen.
- Machen Sie sich nach Möglichkeit die Mühe und schreiben ein
sogenanntes Wrapper-Programm, das das Passwort erst zur Laufzeit
ausgibt, wenn man den Wrapper geeignet aufruft.
Dies hat den Vorteil, dass das Passwort nicht direkt im Klartext in einer Datei liegt und dass ein Hacker erst herausfinden muss, dass das Passwort von einem Wrapper ausgegeben wird und wie man diesen Wrapper richtig aufruft.
Elektronische Übertragung von Passwörtern
Eine elektronisch Übertragung von Passwörtern sollte nach Möglichkeit immer nur verschlüsselt stattfinden. Typische Beispiele für derartige Situationen:
- Validierung bei nur eingeschränkt zugänglichen Web-Seiten
- Einloggen übers Netz
- Ausführen von Kommandos auf einem anderen Rechner
- Übertragung von (individuellen) Daten übers Netz
- E-Commerce
- Verschicken per E-Mail
Begehen Sie z.B. niemals den Kardinal-Fehler von manchen Systemverwaltern, die (Zugangs-)Passwörter per E-Mail verschicken:
Hallo Klara,
habe wie besprochen auf dem Server "firewall1" Deine normale Benutzerkennung "e1234xy" mit dem Passwort "klara2" eingerichtet.
Das root-Passwort ist dann das übliche "sesam".Ach jah, das habe ich gestern bei der Besprechung noch vergessen: Nach zwei Jahren sollten wir bei Gelegenheit das root-Passwort mal wieder ändern; ich schlage vor, dass wir das zur Sicherheit aber erst nach der Urlaubszeit in 6 Wochen anpeilen.
Servus, Hugo
Allenfalls kann man per unverschlüsselter E-Mail "kryptische" Umschreibungen versenden, die nur Ihr(e) Kommunikationspartner(in) versteht, wie z.B. "die ersten 4 Buchstaben (Kleinbuchstaben) des Namens Deines Haustieres gefolgt von den letzten 4 Ziffern Deiner Matrikelnummer". Zusätzlich sollten Sie dann jedoch immer die Aufforderung mitschicken, das Passwort möglichst bald zu ändern.
Leider gibt es jedoch immer wieder Systeme (z.B. einige Tools zur Administration von E-Mail-Verteilern), bei denen ein im Klartext übertragenes Passwort technisch erforderlich ist. Man sollte sich in diesen Fällen jedoch der Gefahren bewusst sein.
Außerdem könnten Sie sich je nach Bedeutung der durch das Passwort gesicherten Anwendung auch überlegen, ein Alternativ-System zu verwenden, bei dem Passwörter besser geschützt sind:
- Eingeschränkt zugängliche Web-Seiten müssen auch gleichzeitig durch SSL geschützt sein.
- Einloggen übers Netz und Ausführen von Kommandos auf einem anderen
Rechner nur noch per SSH anstelle
der unsicheren Kommandos "
rlogin
", "rsh
" oder "telnet
". - Übertragung von individuellen Daten übers Netz nur noch per
"
scp
" anstelle der unsicheren Kommandos "rcp
" oder "ftp
". - Verschicken per E-Mail nur noch dann, wenn die eigentliche Nachricht per PGP verschlüsselt ist.
Verschiedene Passwörter für unterschiedliche Kennungen
Wählen Sie für unterschiedliche Kennungen auch verschiedene Passwörter. Andernfalls arbeiten Sie mit einem "General-Schlüssel", dessen Verlust dann auch besonders schwerwiegend ist.
Bei der Wahl der Passwörter müssen Sie nicht unbedingt so weit gehen,
sich für "N" verschiedene Kennungen auch "N" verschiedene Passwörter
auszudenken. Sie sollten aber zumindest Ihre Kennungen in verschiedene
Gruppen einteilen, die sich nach dem "Schutz-Bedarf" der Kennung
orientieren. Für diese verschiedenen Gruppen wählen Sie dann jeweils
unterschiedliche Passwörter.
Beispiele für derartige Kennungs-Gruppen:
- Kennungen für Privat <---> für den Beruf
- Normale Benutzerkennungen <---> Administrator-Kennungen
- Kennungen für Online-Banking <---> für Online-Spiele
Andernfalls könnte auch Ihnen der folgende Fall passieren:
Ein sehr Security-bewusster Systemveralter verwendete nur gute Passwörter und kontrollierte dies auch regelmäßig mit einem der Knack-Programme. Nach dem letzten Update dieses Programms wurde aber zu seiner großen Überraschung plötzlich das Passwort zu seiner Benutzerkennung gefunden.
Was war geschehen ?
Der Systemveralter verwendete das nun knackbare Passwort auch bei einem Online-Spiel. Was der Systemveralter leider nicht wusste: Der Betreiber des Online-Spiels stellt regelmäßig die Zugangs-Passwörter zum Spiel für Passwort-Wörterbücher zur Verfügung.
Wenn Sie viele verschiedene Passwörter benötigen, können Sie auch mit " Passwort-Familien" arbeiten und sich dadurch das Leben leichter machen:
Alle Passwörter einer Familie bestehen jeweils aus 2 Hälften:
- Eine Hälfte ist für alle Passwörter der Familie gleich und Sie ändern Sie alle 2 - 3 Monate.
- Die anderen Hälften sind untereinander verschieden (z.B. pro Kennungs-Gruppe eine eigene individuelle Hälfte) und werden von Ihnen nur alle 8 - 12 Monate gewechselt.
Zur Sicherheit sollte es aber kein erkennbares Schema geben, nach dem Sie die Hälften zeitlich und zwischen den Kennungs-Gruppen variieren. Außerdem sollten Sie dabei kreativ sein, wie die Zeichen-Postitionen auf die Hälften aufgeteilt werden.
Das folgende Beispiel für eine Passwort-Familie ist zwar nicht besonders gut (da das Schema zu offensichtlich ist), demonstriert aber anschaulich den Bildungs-Mechanismus:
- Sie können die Linux-Rechner an Ihrem Institut hinsichtlich des Schutz-Bedarfs in 3 verschiedene Gruppen einteilen und verwenden eine Passwort-Familie für die Administrator-Kennungen der Rechner in diesen 3 Gruppen.
- Am 1.1.03 (Administratoren sind immer im Dienst
:-)))
) setzen Sie folgende Passwörter: "03Q1.lX1
", "03Q1.lX2
" und "03Q1.lX3
". - Am 1.4.03 gibt es folgende Passwörter: "
03Q2.lX1
", "03Q2.lX2
" und "03Q2.lX3
". - Am 1.7.03 gibt es folgende Passwörter: "
03Q3.lX1
", "03Q3.lX2
" und "03Q3.lX3
". - Am 1.10.03 gibt es folgende Passwörter: "
03Q4.lX1
", "03Q4.lX2
" und "03Q4.lX3
". - Am 1.1.04 (Ihr Berufs-Ethos ist immer noch vorbildlich
:-)
) setzen Sie folgende Passwörter: "Lx1:04q1
", "Lx2:04q1
" und "Lx3:04q1
". - ...
- Am 2.1.05 setzen Sie folgende Passwörter: "
lx05/1P1
", "lx05/1P2
" und "lx05/1P3
". - ...
Berücksichtigen Sie aber, dass ein Hacker einen signifikanten Vorteil
erlangt, wenn er die gleich bleibende Hälfte herausfindet und erkennt,
dass Sie mit Passwort-Familien arbeiten. Der Hacker kann dann nämlich mit
diesem Wissen einen Brute-Force-Angriff
extrem optimieren, da er dann nur noch für die 2.
Hälfte alle theoretisch möglichen Kombinationen ausprobieren muss.
Sonstige Verhaltensregeln
Zum Schluss noch einige weitere Hinweise, wie man mit Kennungen und/oder Passwörtern sicher umgehen sollte:
- Das Passwort sollte in angemessenen Abständen
regelmässig geändert werden. Was in diesem Zusammenhang
"angemessen" heißt, hängt dabei von den jeweiligen
individuellen Sicherheitsanforderungen ab:
- Bei normalen Kennungen alle 2 - 6 Monate.
- Bei Systemverwalter-Kennungen alle 1-3 Monate.
- Bei sonstigen "wertvollen" Kennungen (Online-Banking, kostenpflichtige Datenbankabfragen etc.) alle 1-3 Monate.
Mit einer Änderung will man folgendes erreichen:
- Man gewinnt (wieder) einen Überblick, wer Zugang zu der Kennung
hat.
Dies ist besonders im Zusammenhang mit Gruppen-Kennungen ein Problem. - Sollte eine unberechtigte Person Zugang besitzen, kann man hoffen, diese Person durch den Passwort-Wechsel "auszusperren".
Die hier vorgeschlagenen Änderungs-Intervalle sind ein akzeptabler Kompromiss zwischen Sicherheit (d.h. möglichst kurze Intervalle) und Bequemlichkeit (d.h. möglichst lange Intervalle, damit man sich nicht zu oft neue Passwörter merken muss).
- Seien Sie bei der Passwort-Änderung "kreativ" und wählen jedesmal ein neues Passwort, selbst wenn dies mehr Mühe beim Auswendiglernen macht. Wechseln Sie also z.B. nicht einfach aus Bequemlichkeit nur zwischen "Passwort-1" und "Passwort-2" hin und her. Wird in diesem Fall nämlich z.B. "Passwort-1" geknackt, ist die Kennung bei allen "ungeraden Runden offen".
- Ändern Sie ein Passwort so schnell wie möglich,
- nachdem sie es zusammen mit einer neuen Kennung erhalten
haben:
Keine voreingestellten Passwörter beibehalten ! - nachdem sie es eine(r/m) Hotline-Mitarbeiter(in) mitgeteilt haben.
- wenn Sie den Verdacht oder Hinweise haben, dass es in falsche Hände geraten sein könnte. Schon beim leisesten Verdacht !
- wenn Sie aus Versehen das Passwort anstelle der Kennung eingegeben bzw. direkt an die Kennung angehängt haben. In diesem Fall kann es nämlich vorkommen, dass das Passwort im Klartext in einer Log-Datei landet, weil der Login-Vorgang fehlerhaft war.
- nachdem sie es zusammen mit einer neuen Kennung erhalten
haben:
- Lassen Sie sich beim Eintippen des Passworts nicht über die
Schulter schauen !
Zur Sicherheit (man weiß ja nie...) sollte das Passwort trotzdem schnell und sicher eingetippt werden können. Üben Sie deshalb auch häufiger benötigte Passwörter nach der Änderung gleich ein paar mal. Dies hat zudem den positiven Nebeneffekt, dass Sie das Passwort schneller auswendig lernen.
Lassen Sie sich auch nicht helfen, wenn es Probleme mit ihrem Passwort gibt, bzw. nennen Sie keine genauen (Zugangs-)Daten.
Gewöhnen Sie sich auch bei Bedarf die Unart ab, Passwörter bei der Einagbe laut vorzulesen bzw. zu buchstabieren.
Umgekehrt gehört es zum guten Benehmen, wenn man selbst unaufgefordert und demonstrativ wegschaut, wenn andere ein Passwort eingeben. Dies ist dann auch gleich ein möglicher Anknüpfungspunkt zur Schaffung von Sicherheits-Bewusstsein, wenn Sie auf Ihr Verhalten hin angesprochen werden.
- Je seltener eine Kennung verwendet wird, desto sicherer sollte das dazugehörige Passwort sein.
Wird nämlich eine nur selten verwendete Kennung geknackt, fällt einem evtl. erst sehr spät auf, dass die Kennung von einem Hacker missbraucht wird bzw. wurde.
- Sorgen Sie für die Sicherheit Ihres Rechners: Einige Viren, Würmer, Trojaner und Hacker-Tools protokollieren eingegebene Passwörter mit und verschicken sie dann. Manche dieser Angriffs-Tools verschicken auch Dateien, in denen weiter verbreitete Anwendungen oft Passwörter ablegen (z.B. zum Online-Banking).
- Machen Sie sich auch mit Benutzungsordnungen, allgemeinen Geschäftsbedingungen ets. vertraut, damit Sie zumindest rechtlich abgesichert sind, wenn Ihre Kennung missbraucht wird.
- Als Systemverwalter(in) stehen Ihnen möglicherweise zusätzliche
Optionen offen:
- Sie können ein sogenanntes "Password-Aging" einführen, mit dem man die Benutzer zu einem regelmäßigen Ändern ihrer Passwörter zwingt.
- Mit frei verfügbaren Knack-Tools können Sie regelmäßig kontrollieren, ob Ihre Benutzer auch nur gute Passwörter verwenden. Benutzer mit knackbaren Passwörtern können dann gezielt angesprochen und z.B. auf diesen Artikel verwiesen werden.
- Mit modifizierten Programmen zum Ändern von Passwörtern können Sie verhindern, dass Benutzer überhaupt schlechte Passwörter verwenden.
Achtung:
Es handelt sich dabei um teilweise sehr einschneidende Maßnahmen. Zu Ihrer eigenen Absicherung sollten sie deshalb derartige Aktionen
- vorher mit Ihrem Vorgesetzten und evtl. auch mit der Personal-Vertretung absprechen.
- vorher bei den Benutzern ankündigen.
Wie kommt man zu "guten" Passwörtern ?
Wenn man zum ersten mal die Anforderungen an ein "gutes" (d.h. sicheres) Passwort liest, denkt man sich möglicherweise folgendes:
Die Anforderungen klingen alle vernünftig.
Aber wie soll man denn überhaupt ein Passwort finden, das alle gewünschten Eigenschaften besitzt ?
Das ist doch praktisch unmöglich !
Bei der Suche nach guten Passwörtern besteht das Hauptproblem darin, ein Passwort zu finden, das nicht in gängigen Wörterbüchern vorkommt. Zum Glück gibt es aber gleich mehrere Verfahren, mit denen man auf einfache Weise gute Passwörter erzeugen kann und die überwiegend auf folgendem Prinzip beruhen:
- Man nimmt mindestens 2 Wörter, die auch ohne weiteres in Wörterbüchern vorkommen dürfen.
- Man entnimmt diesen Wörtern Zeichen und setzt daraus ein Passwort zusammen (bzw. eine "Vorstufe" dazu).
- Enthält das im vorhergehenden Schritt entstandene Kunstwort
- noch keine Ziffern
- oder noch keine Sonderzeichen
- oder noch keine Großbuchstaben
- oder noch keine Kleinbuchstaben
Wichtig dabei ist folgende Regel:
In erster Linie merkt man sich nicht das Passwort selbst, sondern die Ausgangsprodukte und das Kochrezept.
Wir wollen Sie explizit dazu ermutigen, sich eigene Bildungsregeln auszudenken. Individuelle Rezepte haben nämlich folgende Vorteile:
- Man kann sie sich i.a. leichter und besser merken.
- Neue Generationen von Knack-Programmen werden möglicherweise Standard-Rezepte beherrschen. Mit privaten Rezepten verhindert man dann hoffentlich, dass die eigenen Passwörter geknackt werden können.
Zur Anregung der eigenen Kreativität können Sie als Ausgangspunkt eine der folgenden Standard-Methoden verwenden:
-
Patchwork-Methode:
- Man nimmt mindestens 3 Wörter/Begriffe.
- Man entnimmt diesen Wörtern Zeichen.
- Man setzt diese Zeichen zusammen.
- Bei Bedarf ergänzt man das Ergebnis mit Ziffern und/oder Sonderzeichen.
- Bei Bedarf sorgt man noch dafür, dass das Endergebnis sowohl Groß- als auch Kleinbuchstaben enthält.
Beispiel: "
SLa&0lHa
" ("Stan Laurel & Oliver Hardy", wobei das Groß-O durch die Ziffer "0" ersetzt wird). -
Akronym-Methode:
Die Akronym-Methode ist eine Spezial-Variante der Patchwork-Methode.
Man wählt dabei einen Satz (z.B. aus einem Gedicht, Lied oder Spruch) und verwendet dann als Passwort die Anfangs- oder Endbuchstaben der einzelnen Wörter, wobei bei Bedarf noch zwei Ziffern oder Sonderzeichen dazwischen eingefügt werden.
Aber Achtung: Die Akronym-Methode wird relativ oft verwendet, da man sich die damit erzeugten Passwörter recht gut merken kann. Aus diesem Grunde darf der Ausgangs-Satz nicht sehr bekannt sein, weil andernfalls das entstehende Akronym möglicherweise schon in einem Wörterbuch gelandet ist.
Beispiel: "
DA=1SdP.
" (Akronym für den Anfang des ersten Satzes) -
Doppelwort-Methode:
- Man nimmt 2 Wörter/Begriffe.
- Man entnimmt diesen beiden Wörtern jeweils 3 - 4 Zeichen.
- Man setzt die erhaltenen 2 Zeichen-Gruppen geeignet und evtl. auch verschachtelt zusammen.
- Bei Bedarf ergänzt man das Ergebnis mit Ziffern und/oder Sonderzeichen.
- Bei Bedarf sorgt man noch dafür, dass das Endergebnis sowohl Groß- als auch Kleinbuchstaben enthält.
Da das Bildungsschema relativ kompliziert sein kann, werden hauptsächlich 2 Spezial-Varianten verwendet:
-
Reißverschluss-Methode:
Bei dieser Varianten verschränkt man die 2 Zeichen-Gruppen wie bei einem Reißverschluss. Außerdem entnimmt man den 2 Ausgangs-Wörtern i.a. Teilwörter.
Beispiel: "
mEci^n2s
" ("E = m * c^2
" + "Einstein
" ---> "mc^2
" + "Eins
"). -
Collage-Methode:
Man wählt ein Wort aus einer natürlichen Sprache und übersetzt dieses Wort in eine andere natürliche Sprache. Danach entnimmt man beiden Wörtern 3 aufeinanderfolgende Buchstaben (z.B. Wortanfang und/oder -ende) und verbindet sie mit 2 Ziffern oder Sonderzeichen, die man sich gut merken kann.
Beispiel: "
Hau+7usE
" ("Haus
" bzw. "housE
"; Ihre Hausnummer ist "7
").
-
Methode "Zufall":
Bei dieser Methode wählt man (vollkommen) zufällig 8 Zeichen, wobei jeder Zeichentyp (d.h. Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) mindestens einmal vorkommt.
Auf diese Weise entstehen sehr sichere Passwörter, die aber leider meist folgende Nachteile besitzen:
- Man kann sie sich nur schwer merken.
- Man kann sie nur relativ langsam eintippen.
- Beim Blind-Eintippen vertippt man sich relativ oft.
Aus diesem Grund kommen Zufalls-Passwörter i.a. nur in folgenden Fällen zum Einsatz:
- Es handelt sich um Initial-Passwörter bei neuen Kennungen. Diese Passwörter sollte man aber sowieso möglichst bald ändern.
- Passwörter von Kennungen, die nur sehr selten verwendet werden. Derartige Passwörter schreibt man sich aber i.a. auf.
Bei diesen Beispielen für Bildungs-Methoden sind wir davon
ausgegangen, dass Passwörter maximal 8 Zeichen lang sein können. Sind
auch längere Passwörter möglich, sollten Sie die Kochrezpete entsprechend
anpassen.
Hintergrund: Wie sehen "schlechte" bzw. "gute" Passwörter aus ?
"Gute" (d.h. sichere) Passwörter erkennt man daran, dass sie alle folgenden Eigenschaften besitzen:
- Das Passwort ist nicht so trivial, dass man es auf einfache Weise "erraten" kann.
- Das Passwort kommt nicht in Hacker-Listen vor, die von entsprechenden Knack-Programmen automatisiert abgearbeitet werden.
- Das Passwort ist lang genug, dass es nicht durch Ausprobieren aller theoretisch möglichen Zeichen-Kombinationen "tot-gerechnet" werden kann.
Diese relativ abstrakten Eigenschaften werden im folgenden näher
erläutert.
Die schlimmsten Fälle
"Schlechte" (d.h. unsichere) Passwörter kann man hinsichtlich ihrer Gefährlichkeit in 2 Gruppen einteilen. Die schlimmsten Fälle sind deswegen so extrem unsicher, weil man sie sehr leicht erraten kann. Bei diesen Passwörtern trifft einer der folgenden Fälle zu (abnehmende Gefährlichkeit):
- Es gibt überhaupt kein Passwort bzw. das Passwort ist leer.
Eigentlich dürfte dieser Fall heutzutage überhaupt nicht mehr eintreten; und dennoch kommt es immer wieder vor:
- Der Hersteller liefert ein System mit einem oder mehreren leeren Passwörtern aus.
- Systemverwalter legen neue Kennungen ohne Passwörter an, damit die Benutzer weniger Probleme beim Setzen eines individuellen Passworts haben.
- Systemverwalter verwenden bei allen neuen
Kennungen das gleiche Initial-Passwort (z.B.
"
LMU/Info
") bzw. die Bildungs-Regel für Voreinstellungen ist (allgemein) bekannt (z.B. "FH-WiS
xx").Wenn derartige Voreinstellungen nicht geändert werden, entspricht dies de facto einem nicht vorhandenen Passwort !
Erfahrungsgemäß ändern erschreckend viele Benutzer die Passwort-Voreinstellung überhaupt niemals oder lassen sich viel zu viel Zeit damit (d.h. erst nach Stunden, Tagen, Wochen oder sogar Monaten).
Manche Benutzer wissen nicht einmal, dass man das eigene Passwort ändern kann bzw. wie man dies genau macht.
Oder Benutzer haben Angst, dass beim Ändern etwas schief läuft oder dass nach der Änderung irgend etwas nicht mehr wie gewohnt funktioniert (z.B. der Internet-Zugang oder das Lesen bzw. Versenden von E-Mail).Ein Spezialfall der bekannten Voreinstellungen sind Wörter, die häufig für Gastkennungen (mit meist eingeschränkten Rechten) als Passwörter vergeben werden (z.B. "
guest
", "gast
", "public
" oder "common
"). - Das Passwort ist mit der Kennung identisch (z.B.
"
e1234xy
"). - Das Passwort ist der Nachname oder der Vorname des Benutzers (z.B.
"
ruehmann
" oder "heinz
") oder eine andere Information, die vom System zusammen mit der Kennung gespeichert wird (z.B. die Telefonnummer des eigenen Arbeitsplatzes). - Der Benutzer verwendet für sein individuelles Passwort ein sehr
"geistreiches" Wort (z.B. "
pass
", "passwort
", "parole
" oder "geheim
"). - Der Benutzer verwendet einen Begriff aus seinem unmittelbaren
persönlichen Umfeld, der ihm erfahrungsgemäß viel bedeutet wie z.B. ein
Geburtsdatum (z.B. "
29.02.64
"), den Vornamen oder Nachnamen des Freundes / der Freundin (z.B. "hertha
" oder "feiler
") oder den Namen eines Kindes (z.B. "peter
") oder Haustieres (z.B. "struppi
" oder "ambrosia
").Derartige Informationen kann man mit mehr oder weniger großem Aufwand in Erfahrung bringen. Im Zeitalter der Suchmaschinen ist die Beschaffung dieser Informationen sogar i.a. relativ einfach geworden.
Sonstige "schlechte" Passwörter
Die schlechten Passwörter aus der zweiten Gruppe können zwar normalerweise nicht mehr per Hand geknackt werden, werden aber von frei verfügbaren Knack-Programmen früher oder später gefunden. Diese unsicheren Passwörter sind entweder zu kurz oder kommen in Hacker-Listen vor:
- Die Zeichenfolge ist kürzer als 7 Zeichen.
Dabei ist es vollkommen gleichgültig, wie die Zeichenfolge selbst lautet; sie ist alleine durch ihre Kürze (einfach) knackbar.
- Ein i.a. emotional neutraler Begriff aus dem persönlichen Umfeld
wie z.B. eine Adresse (z.B. "
altstr12
"), der Arbeitsplatz (z.B. "bio_lmu
") oder die Autonummer (z.B. "m-ab-123
"). - Wörter aus natürlichen Sprachen (im deutschsprachigen Raum v.a. Deutsch, Englisch, Italienisch, Spanisch, Französisch etc.).
- Beliebige (Eigen-)Namen: Namen von Personen, Vornamen, geographische Namen etc.
- Bekannte "Kult-Wörter" (z.B. "
wizard
", "gandalf
", "merlin
", "spock
" oder "guru
") - Vermeintlich unsinnige Zeichenfolgen, die aber leicht zu merkende
oder leicht zu tippende Tastenkombinationen darstellen (z.B.
"
12345678
", "xxxxxxxx
", "qwertz
", "qwerty
", "asdf7890
" oder "jhuikmn
"). - Zeichenfolgen im unmittelbaren Sichtbereich am Arbeitsplatz wie z.B. Inventar-Nummern oder Firmen-Logos am Monitor oder am PC.
- Bekannte Eselsbrücken wie z.B.
MVEMJSUN
= Planeten (Mein Vater erklärte mir jeden Sonntag unsere neun Planeten.
--> Merkur, Venus, Erde, Mars, Jupiter, Saturn, Uranus, Neptun, Pluto)KMDEgkKH
= Handwurzelknochen (Es fuhr ein Kahn im Mondenschein im Dreieck um das Erbsenbein, Vieleck gross - Vieleck klein, der Kopf der muss ein Hacken sein.
--> Kahnbein, Mondbein, Dreiecksbein, Erbsenbein, grosses Vieleck, kleines Vieleck, Kopfbein, Hackenbein)GDaEhFis
= G-Dur-Tonleiter (Geh Du alter Esel hole Fische)
- Anfangsbuchstaben von bekannten Sprichwörtern, Liedern, etc. wie
z.B.
AmEsadS
= Alle meine Entchen schwimmen auf dem See ...WrssdNuW
= Wer reitet so spät durch Nacht und Wind ?DW,uW,ws
= Der Weltraum, unendliche Weiten, wir schreiben das Jahr 2200 ...
Verfremdungen helfen nicht immer
Ein schlechtes Passwort wird nicht dadurch besser, dass man es "leicht" verfremdet. Folgende einfache Modifikationen (d.h. Ableitungs-Regeln) eines schlechten Begriffs bringen z.B. praktisch keinen Sicherheitsgewinn:
- Der Begriff selbst, wobei nur Groß- oder nur Kleinbuchstaben verwendet werden.
- Der Begriff rückwärts geschrieben.
- Der Begriff selbst, wobei an irgendeiner Position eine Ziffer oder
ein Sonderzeichen zusätzlich eingefügt ist.
Dabei werden angehängte oder vorangestellte Ziffern (z.B. "
Hugo2
" oder "8Klara
") von Benutzern besonders häufig verwendet, was Hackern natürlich bekannt ist. - Häufig vorgenommene Ersetzungen wie z.B. "l bzw. i <--> 1" (d.h. der Buchstabe Klein-L bzw. Klein-I wird durch die Ziffer "1" ersetzt und umgekehrt) oder "O <--> 0" (d.h. der Buchstabe Klein- oder Groß-O wird durch die Ziffer "0" ersetzt und umgekehrt).
- Eine Kombination von 2 der obigen Varianten.
"Gute" Passwörter
"Gute" (d.h. sichere) Passwörter müssen alle folgenden Eigenschaften erfüllen:
- Die Zeichenfolge darf kein schlechtes Passwort sein.
- Das Passwort sollte 8 Zeichen lang oder besser noch länger sein
(sofern dies möglich ist).
Berücksichtigen Sie dabei, dass manche Systeme (z.B. die meisten UNIX-Varianten) bei langen Zeichenfolgen nur den Anfang auswerten (meist die ersten 8 Zeichen); bei Solaris sind z.B. deshalb die Passwörter "
einstein
", "einstein/
" und "einstein/1
" gleichwertig. - Das Passwort enthält Groß- und Kleinbuchstaben.
- Die Zeichenfolge enthält mindestens 2 Ziffern und/oder
Sonderzeichen.
Diese Ziffern bzw. Sonderzeichen sollten nach Möglichkeit nicht nur am Anfang und/oder Ende des Passworts stehen, da andernfalls die Verfremdung für "intelligentere" Knack-Programme nicht ausreicht.
Die folgenden zusätzlichen Anforderungen erschweren zwar nicht die Arbeit von Knack-Programmen; bei Passwörtern mit diesen Eigenschaften wird aber die Handhabung erleichtert und dadurch die Akzeptanz und indirekt auch die Sicherheit verbessert:
- Man sollte sich das Passwort leicht merken können.
Dadurch ist die Versuchung geringer, das Passwort aufzuschreiben oder in einer Datei abzulegen.
- Man sollte das Passwort schnell und sicher tippen können.
Dadurch wird die Gefahr verringert, dass man bei der Eingabe beobachtet wird ("über die Schulter schauen"). Außerdem erschwert man einem unbemerkten Beobachter das Erkennen und Merken des Passworts.
Hintergrund: Warum werden Passwörter manchmal nicht akzeptiert ?
Es kann passieren, dass Sie plötzlich und unerwartet mit Ihrem Passwort zu Ihrem Rechner oder Dienst (scheinbar) keinen Zugang mehr erhalten. Dies kann vielfältige Gründe haben (absteigende Wahrscheinlichkeit):
- Tippfehler:
- Haben Sie evtl. versehentlich die Shift-Taste gedrückt oder sogar fest eingestellt (<Caps Lock>) ?
- Haben Sie evtl. an einer Stelle die Ziffer "0" mit dem Buchstaben Groß-O oder die Ziffer "1" mit dem Buchstaben Klein-L bzw. Klein-I verwechselt bzw. umgekehrt ?
- Haben Sie evtl. irgendwo versehentlich "White Spaces" (d.h.
Leertaste oder Tabulator) eingegeben ?
Diese Zeichen können Sie vermutlich in Ihrem Passwort-Eingabefenster nicht sehen. Sie werden aber unter Umständen trotzdem vom Betriebssystem als gültige Zeichen interpretiert. Das kommt daher, dass technisch gesehen auch Passwörter wie z.B. "<STRG>...<Leertaste><TAB><ALT-GR>...<STRG>..." möglich sind. Derartige Passwörter sind wegen ihrer Fehleranfälligkeit in der Verwendung natürlich nicht empfehlenswert.
- Benutzen Sie im Moment eine US-/deutsche Tastatur, obwohl Sie
normaler Weise eine deutsche/US-Tastatur verwenden ?
In diesem Fall sind z.B. die Buchstaben "Y" und "Z" vertauscht und Sonderzeichen (z.B. "*") völlig anders angeordnet. Besonders ärgerlich ist dieses Problem, wenn Sie z.B. auf Ihrem Windowsrechner einen Passwortschutz im BIOS mit US-Tastatur aktiviert haben ("QWERTY") und dann das Passwort mit deutscher Tastatur abrufen wollen. In diesem Fall müssten Sie "QWERTZ" eintippen, damit der Rechner glaubt, es sei "QWERTY".
Dies muss man aber wissen !
Denken Sie auch daran, dass ein Tippfehler im Namen der Kennung stecken könnte: Nur wenn sowohl Kennung als auch dazugehöriges Passwort richtig sind, kann der Zugang funktionieren.
- Passwort-Sperre/-Aging:
- Viele Systeme erlauben nur wenige Fehlversuche beim Eintippen
von Passwörtern.
Beispiele:
- Gibt man 5-mal hintereinander ein falsches Passwort ein,
wird die Kennung gesperrt. Danach kann nur ein(e)
Systembetreuer(in) die Kennung wieder
(manuell) freischalten.
Diese Methode ist jedoch problematisch, da man sie sehr leicht dazu missbrauchen kann, in einem Denial-of-Service-Angriff die Sperrung einer Kennung herbeizuführen.
- Gibt man bei einem anderen System 3-mal hintereinander ein falsches Passwort ein, ist die Kennung für die nächsten 5 Minuten gesperrt. Bei jedem weiteren Fehlversuch wird die Wartezeit bis zur automatischen Freigabe jeweils um 5 Minuten verlängert.
Mit diesen Mechanismen will man verhindern, dass Hacker(-Programme) Passwörter ausprobieren. Für die legitimen Benutzer stellen sie aber i.a. keine Behinderung dar, da erfahrungsgemäß die Passwort-Eingabe meist beim 2. oder 3. Versuch klappt.
- Gibt man 5-mal hintereinander ein falsches Passwort ein,
wird die Kennung gesperrt. Danach kann nur ein(e)
Systembetreuer(in) die Kennung wieder
(manuell) freischalten.
- Manche Systeme erzwingen eine regelmäßige Änderung der
Passwörter ("Password-Aging").
Dies bedeutet konkret, dass ein "höfliches" System Sie darauf hin weist ("Ihr Passwort verfällt am ... Bitte ändern Sie ..."). Es kann aber auch passieren, dass eine derartige Vorwarnung nicht erfolgt.
Sie sollten Password-Aging nicht als lästige Einschränkung, sondern als Security-Service Ihres Systemverwalters/Providers betrachten.
- Viele Systeme erlauben nur wenige Fehlversuche beim Eintippen
von Passwörtern.
- Überschrittene Kontingente:
Möglicherweise haben Sie den Ihnen zugeteilten Speicherplatz oder die beantragte CPU-Zeit überschritten oder zu viele Daten übertragen. Bei Gebühren-pflichtigen Diensten (z.B. Datenbanken) könnte natürlich auch Ihr Guthaben aufgebraucht sein.
- Netz- oder System-Probleme:
In komplexeren Umgebungen wird die Überprüfung eines Passworts oft von einem verteilten Dienst vorgenommen (z.B. durch RADIUS: Remote Authentification Dial in User Service). Ein derartiger Dienst kann natürlich auch selbst gestört sein. Versuchen Sie es einfach nach einer Pause wieder.
- Verzögerte Wirksamkeit:
Besonders in größeren Umgebungen mit vielen Rechnern und/oder Benutzern kann es passieren, dass ein Passwort erst Minuten oder sogar Stunden nach der Änderung wirksam wird.
- Fehlende Zugangsberechtigung:
Es gibt natürlich auch Rechner, die (aus welchen Gründen auch immer) von einer allgemeinen Zugangsberechtigung ausgeschlossen werden (müssen). Es sollte z.B. aus Sicherheits-Gründen die Regel sein, dass man als normale(r) Benutzer(in) nicht interaktiv auf einem Server-Rechner arbeiten darf. Die spezifischen Dienste des Servers (z.B. E-Mail) kann man aber natürlich nutzen.
- "Falsches" Betriebssystem / "falscher" Rechner:
Arbeiten Sie gerade an einem anderen Rechner oder unter einem anderen Betriebssystem als gewohnt ? Verwenden Sie z.B. im Moment Linux/Windows, obwohl Sie normalerweise Windows/Linux benutzen ?
In eher seltenen Fällen kann es geschehen, dass Ihre Eingabe vom System anders umgesetzt wird (z.B. weil die Eingabe von Umlauten nicht möglich ist). Ihre Passwörter könnten dann verschieden interpretiert werden.
Es ist meist in Ihrem eigenen Interesse, wenn Sie diese häufig
auftretenden Fehlerquellen selbst ausschließen,
bevor Sie sich an einen Systemverwalter oder an eine
Hotline wenden: Sie können sich dadurch Zeit und/oder Geld sparen.
Hintergrund: Wie kommen Hacker zu Ihrem Passwort ?
Hacker können auf verschiedene Wege an Ihr Passwort gelangen. Um
einige dieser Methoden zu verstehen, muss man jedoch wissen, wie das
Betriebssystem intern mit Passwörtern umgeht.
Wie geht das Betriebssystem intern mit Passwörtern um ?
Bei den meisten Betriebssystemen werden die Passwörter der Benutzer nicht im Klartext abgelegt, sondern zur Sicherheit mehr oder weniger gut verschlüsselt. Andernfalls könnte ein eingedrungener Hacker die Passwörter völlig problemlos lesen.
Bei den meisten UNIX-Varianten (z.B. auch bei Linux) werden die Passwörter sogar mit einem "Einwegverfahren" verschlüsselt, dessen Algorithmus allgemein bekannt ist. Dies bedeutet, es gibt prinzipiell keine Methode, diese Verschlüsselung rückgängig zu machen.
Wie kann dies aber überhaupt funktionieren ?
- Beim Ändern eines Passworts wird das von
der/vom Benutzer(in) eingegebene Klartext-Passwort (z.B.
"
einstein
") mit dem Einwegverfahren verschlüsselt und nur das Ergebnis (z.B. "Hos2r.ZzZ/I4U
") abgespeichert. - Beim Überprüfen eines Passworts wird das
eingegebene Klartext-Passwort ebenfalls verschlüsselt und danach das
Ergebnis mit der gespeicherten Version verglichen.
Dabei geht man von folgender Annahme aus: Wenn die verschlüsselten Ergebnisse übereinstimmen, müssen vorher auch die Klartext-Passwörter gleich gewesen sein.
Bei Systemen mit Einweg-Verschlüsselung kennen i.a. nicht einmal die
Administratoren die Klartext-Passwörter (und damit z.B. auch nicht die
Hotline-Mitarbeiter). Dies ist normalerweise auch gar nicht
erforderlich.
Sniffer, Trojaner, Software-, Konfigurationsfehler etc.
Folgende nicht legitime Methoden, an fremde Passwörter zu gelangen, sind i.a. sehr effektiv und dementsprechend bei Hackern beliebt:
- Mit Sniffern hört man den Daten-Verkehr zwischen Rechnern ab und erhält auf diese Weise alle Passwörter, die unverschlüsselt übertragen werden.
- Wenn ein(e) Benutzer(in) unbeabsichtigt einen Trojaner auf ihrem/seinem Rechner einschleppt, kann ein derartiges Programm neben seiner Schein-Funktion (z.B. ein schöner Screen-Saver) auch die gesamte Tastatur-Eingabe nach Passwörtern filtern und die Treffer dann "irgendwohin" schicken.
- Einige Anwendungen (sogar Programme für das Online-Banking!) gehen
sehr fahrlässig mit ihren eigenen Passwörtern um, indem sie sie nur
schlecht verschlüsselt oder sogar im Klartext abspeichern.
Ein eingdrungener Virus, Wurm oder Hacker kann sich dann ganz einfach bedienen.
- Es werden immer wieder Fälle bekannt, bei denen Zugangs-Passwörter (und natürlich auch andere sensitive Informationen) durch Software- oder Konfigurationsfehler von außen zugreifbar sind (z.B. übers Web).
Social Engeneering
Einige Hacker verstehen es ausgezeichnet, sich Kennungen direkt von "arglosen" legitimen Besitzern zu erschleichen. Diese Vorgehensweise wird als "Social Engeneering" bezeichnet und läuft fast immer nach einem der folgenden Schemas ab:
- Der Hacker H nimmt mit dem Benutzer B Kontakt auf und verleitet B, die Kennung von B an H weiterzugeben.
- Der Hacker H schickt B eine geeignete Information. Draufhin meldet sich B bei H und kann dann von H dazu überredet werden, die Kennung von B an H weiterzugeben.
Die Gemeinsamkeit dieser Schemas ist, dass der 1. Schritt immer vom Hacker ausgeht.
Die Erfolgsrate bei einem Social-Engeneering-Angriff hängt davon ab,
- wie gutgläubig und/oder uninformiert die/der Benutzer(in) ist.
- wie gut es der Hacker versteht, durch Vorspiegelung falscher Tatsachen einen offiziellen Anschein zu erwecken.
- wie gut der Hacker psychologische Grundkenntnisse anwenden kann.
Der berühmt-berüchtigte Hacker Kevin D. Mitnick bringt mit seinem Buch "The Art of Deception" allen Security-Interessierten die Technik des Social-Engeneerings näher und versucht Hilfestellung dabei zu leisten, sich gegen derartige Angriffe zu schützen. Buchbesprechungen bzw. Berichte findet man u.a. bei den Online-Magazinen Slashdot und Wired.
Einige Beispiele für typische Social-Engeneering-Angriffe:
- Sie erhalten einen Telefonanruf:
Guten Tag.
Ich bin ein Mitarbeiter bei Ihrem Internet-Provider Net4U. Wir haben leider gerade einige Zugangs-Probleme in Ihrem Gebiet. Damit Sie von diesen Problemen nicht betroffen werden, müssen wir bei Ihrer Kennung eine kleine Konfigurations-Änderung vornehmen; dazu benötigen wir jedoch Ihre Kennung und Ihr Passwort. ... - Sie erhalten eine E-Mail mit folgendem Inhalt:
Liebe Net4U-Kundin,
Lieber Net4U-Kunde,im Rahmen der Neu-Kunden-Werbewochen verlosen wir gerade 10 BMW-Kabrios unter unseren treuen Kunden. Wenn Sie an dieser Verlosung teilnehmen wollen, schicken Sie bitte Ihre Net4U-Zugangskennung und Ihr Passwort an folgende Adresse: ...
- Auf Ihrem Bildschirm taucht plötzlich ein Popup mit folgendem
Inhalt auf:
Netz-Probleme im Zusammenhang mit Ihrem Zugang. Bitte beenden Sie Ihre aktuell laufende Sitzung und rufen Sie dann die Fehler-Behebungsstelle unter folgender Telefonnummer an: ...
- Sie erhalten eine offiziell wirkende E-Mail mit folgendem Inhalt:
Liebe Kundin,
Lieber Kunde,zu unserem großen Bedauern müssen wir Ihnen mitteilen, dass bei unserer letzten Wartung ein Konfigurations-Fehler gemacht wurde. Dadurch konnten während eines kurzen Zeitraums möglicherweise fremde Personen an Ihr Zugangs-Passwort gelangen.
Den Fehler haben wir inzwischen schon längst wieder behoben. Zu Ihrer eigenen Sicherheit bitten wir Sie dennoch, dass Sie Ihr Passwort mit folgendem Web-Formular so schnell wie möglich ändern. ...
Trashing
Der Begriff kommt aus dem Englischen und stammt von folgendem Szenario:
"Trash" = u.a. Abfall, Papierkorb;
"Trash can" = u.a. Abfalleimer, Mülleimer.Kreditkarten-Betrüger druchstöbern z.B. bei (größeren) Tankstellen Abfalleimer auf der Suche nach Kreditkarten-Belegen, die sorglose Kunden nach dem Tanken einfach weggeworfen haben.
Da auf den Belegen aber auch die Kreditkarten-Nummern stehen, sind diese Belege für Betrüger bares Geld wert.
Analog dazu sind folgende Methoden zum Erschleichen von Kennungen und Passwörtern leider oft sehr ergiebig:
- Man durchsucht die Altpapier-Container von größeren Büro-Gebäuden oder Rechenzentren. Erfahrungsgemäß werfen nämlich viele Menschen Notiz-Zettel selbst dann einfach weg, wenn auf ihnen sensitive Informationen notiert sind.
- Man heuert bei einer Putz-Kolonne an, die in Büro-Gebäuden sauber macht. Dann kann man in aller Ruhe und ohne sich verdächtig zu machen, nachschauen, was so alles an Bildschirmen, unter Tastaturen oder an schwarzen Brettern an interessanten Informationen befestigt ist.
- Man kauft alte Festplatten auf (z.B. bei eBay oder einem Second-Hand-PC-Händler) oder holt sie aus Mülltonnen und kann damit rechnen, dass sich auf den Platten in vielen Fällen noch (interessante) Informationen befinden bzw. mit relativ geringem Aufwand restaurieren lassen.
Erraten
Das simple "Durchprobieren" der sehr schlechten Passwörter ist durch ein Zusammentreffen verschiedener Faktoren überraschend wirksam:
- Erschreckend viele Benutzer verwenden aus Unwissenheit sehr
schlechte Passwörter, da man sich diese Passwörter ausgezeichnet merken
kann.
==> Die Erfolgs-Chancen für einen Hacker sind relativ hoch.
- Die geringe Zahl derartiger Passwörter ermöglicht Angriffs-Arten,
die bei den weniger schlechten Passwörtern nicht
funktionieren:
- Man kann die wenigen Varianten zur Not per Hand ausprobieren.
- Man ist nicht darauf angwiesen, einen direkten Zugriff auf die verschlüsselten Passwörter zu besitzen. Man kann einfach versuchen, sich einzuloggen.
Anekdote:
Die Kombination aus Einfachheit und Wirksamkeit war möglicherweise der
Grund, dass diese Methode zum Knacken von Passwörtern im klassischen
Science-Fiction-Film "WarGames" (1983) gezeigt wurde.
In diesem Film ist das Passwort "joshua
" der
Vorname des verstorbenen Sohnes eines Wissenschaftlers.
Wörterbuch-Angriff
Der Wörterbuch-Angriff (Dictionary Attack) macht sich den Umstand zu Nutze, dass die meisten Benutzer leider nur schlechte Passwörter verwenden. Im Gegensatz zur Methode des Erratens muss der Hacker aber in den Besitz der verschlüsselten Passwörter gelangen. Leider ist letzteres aber oft keine besonders große Hürde. Der Wörterbuch-Angriff läuft dann vom Prinzip her folgendermaßen ab:
- Man erstellt eine große Liste (Wörterbuch) von denkbaren / erfolgversprechenden Passwort-Kandidaten.
- Man verschlüsselt die Wörter der Kandidaten-Liste mit dem selben Verfahren, das das Betriebssystem zur Verschlüsselung von Passwörtern verwendet.
- Man vergleicht die verschlüsselten Kandidaten mit den verschlüsselten echten Passwörtern, die man knacken möchte.
- Findet man dabei eine Übereinstimmung, so hat man ein weiteres Klartext-Passwort ermittelt.
Diese Methode ist wegen der Größe der Kandidaten-Liste natürlich nur dann praktikabel, wenn man das Verfahren mit einem Tool automatisiert. Leider sind mehrere Tools dieser Art im Internet frei verfügbar. Außerdem kann man viele "Wörterbücher" zu den verschiedensten Themen ohne Probleme finden:
- Wörter vieler natürlicher Sprachen
- Vornamen aus verschiedenen Sprachfamilien
- Nachnamen (berühmter) Persönlichkeiten
- Geographische Namen
- Kult-Wörter
- ...
Manche Tools begnügen sich aber nicht damit, die Kandidaten aus den Wörterbüchern zu testen. "Intelligentere" Tools probieren zu jedem Wort zusätzlich noch einfache Verfremdungen aus; teilweise kann man dies sogar konfigurieren.
Zum Glück kann man die Passwort-Knack-Tools auch
positiv einsetzen. Systemverwalter können nämlich
damit testen, ob die Benutzer evtl. schlechte Passwörter verwenden und
dann Benutzer gezielt darauf hinweisen.
Brute-Force-Angriff
Beim Brute-Force-Angriff geht man im Vergleich zum Wörterbuch-Angriff noch einen Schritt weiter: Man beschränkt sich bei den Passwort-Kandidaten nicht auf erfolgversprechende Wörter, sondern probiert alle theoretisch möglichen Zeichen-Kombinationen methodisch der Reihe nach durch.
Im ersten Moment klingt dies wenig aussichtsreich. Diese Methode findet zwar garantiert jedes Passwort, ist aber sehr Zeit-intensiv. Würden die Benutzer nur lange Passwörter verwenden und dabei den maximal möglichen Zeichen-Vorrat ausschöpfen, würde ein Brute-Force-Angriff in der Praxis zu lange dauern bzw. man könnte damit nur Zufallstreffer erzielen. Leider tendieren viele Benutzer zu möglichst kurzen Passwörtern und verwenden nur eine kleine Teilmenge der möglichen Zeichen.
Die folgenden Tabellen sollen ein Gefühl dafür vermitteln, wieviel Zeit man maximal mit der Brute-Force-Methode zum Knacken benötigt. Bei der Knack-Dauer legen wir eine Intel Pentium 4 CPU mit 2.53 GHz zugrunde, die mit einem hoch-optimiertem Knack-Programm 109.500 Passwort-Tests pro Sekunde schafft.
- Alle 255 Zeichen (unrealistisch!)
Länge Zahl der Varianten Max. Knack-Dauer des PW y d hh:mm:ss 8: 255^8 = 17.878.103.347.812.890.625 5.177.268 307 9:52:16 7: 255^7 = 70.110.209.207.109.375 20.303 5 11:59:29 6: 255^6 = 274.941.996.890.625 79 226 4:16:56 5: 255^5 = 1.078.203.909.375 113 23:10:11 4: 255^4 = 4.228.250.625 10:43:34 3: 255^3 = 16.581.375 2:31 - Alle 95 druckbaren Zeichen (empfohlen, aber leider nur selten
verwendet)
Länge Zahl der Varianten Max. Knack-Dauer des PW y d hh:mm:ss 8: 95^8 = 6.634.204.312.890.625 1.921 65 19:05:56 7: 95^7 = 69.833.729.609.375 20 81 9:02:35 6: 95^6 = 735.091.890.625 77 16:46:07 5: 95^5 = 7.737.809.375 19:37:44 4: 95^4 = 81.450.625 12:23 3: 95^3 = 857.375 7 - Groß- und Kleinbuchstaben + Ziffern (62 Zeichen; häufig verwendet)
Länge Zahl der Varianten Max. Knack-Dauer des PW y d hh:mm:ss 8: 62^8 = 218.340.105.584.896 63 83 9:32:46 7: 62^7 = 3.521.614.606.208 1 7 5:34:23 6: 62^6 = 56.800.235.584 6 5:23 5: 62^5 = 916.132.832 2:19:26 4: 62^4 = 14.776.336 2:14 - Groß- und Kleinbuchstaben (52 Zeiche; sehr häufig verwendet)
Länge Zahl der Varianten Max. Knack-Dauer des PW y d hh:mm:ss 8: 52^8 = 53.459.728.531.456 15 175 15:44:58 7: 52^7 = 1.028.071.702.528 108 15:59:42 6: 52^6 = 19.770.609.664 2 2:09:13 5: 52^5 = 380.204.032 57:52 4: 52^4 = 7.311.616 1:06 - Kleinbuchstaben + 1 Ziffer/Sonderzeichen (häufig verwendet)
Länge Zahl der Varianten Max. Knack-Dauer des PW d hh:mm:ss 8: 8 * 43 * 26^7 = 2.762.942.700.544 292 59:13 7: 7 * 43 * 26^6 = 92.983.648.576 9 19:52:45 6: 6 * 43 * 26^5 = 3.065.395.008 7:46:34 5: 5 * 43 * 26^4 = 98.249.840 14:57 - Kleinbuchstaben + 1 Ziffer (sehr häufig verwendet)
Länge Zahl der Varianten Max. Knack-Dauer des PW d hh:mm:ss 8: 8 * 10 * 26^7 = 642.544.814.080 67 21:59:49 7: 7 * 10 * 26^6 = 21.624.104.320 2 6:51:20 6: 6 * 10 * 26^5 = 712.882.560 1:48:30 5: 5 * 10 * 26^4 = 22.848.800 3:28 - Groß- oder Kleinbuchstaben (viel zu häufig verwendet!)
Länge Zahl der Varianten Max. Knack-Dauer des PW d hh:mm:ss 8: 26^8 = 208.827.064.576 22 1:44:56 7: 26^7 = 8.031.810.176 20:22:29 6: 26^6 = 308.915.776 47:01 5: 26^5 = 11.881.376 1:48 - Ziffern (völlig indiskutabel, wird aber verwendet!)
Länge Zahl der Varianten Max. Knack-Dauer des PW hh:mm:ss 8: 10^8 = 100.000.000 15:13 7: 10^7 = 10.000.000 1:31
Bei der Knack-Dauer sollten sie zu Ihrer eigenen Sicherheit folgendes
berücksichtigen: Die Brute-Force-Methode kann sehr gut parallelisiert
werden und einige Knack-Programme beherrschen dies auch schon seit
längerer Zeit. Aus diesem Grunde ist eine maximale Dauer von weniger als
1 Jahr für Hacker problemlos bewältigbar.
Mit welchen Erfolgsraten können Hacker rechnen ?
Die Erfolgsrate bei Angriffen auf verschlüsselte Passwörter (Erraten, Wörterbuch und Brute-Force) hängt sehr stark vom Security-Bewusstsein der Benutzer und/oder der "Security-Kultur" der Organisation ab:
Erfolgsrate | Bemerkung |
---|---|
> 60 % |
Es gibt keine Restriktionen; es herrscht "Wildwuchs".
In diesem Fall besitzen erfahrungsgemäß sogar bis zu 5 % der Benutzer sehr schlechte Passwörter ! |
30 - 60 % | Security-Informationen werden sporadisch und/oder ohne größeren Nachdruck veröffentlicht bzw. Security-Aktionen durchgeführt. |
5 - 30 % | Es gibt publizierte Regeln und die Administratoren und Benutzer sind sensibilisiert bzw. die Leitung der Organisation verlangt explizit die Einhaltung der Regeln. |
< 5 % |
Es gibt klare Regeln, deren Durchsetzung außerdem von geeigneten
Tools erzwungen wird.
In diesem Fall ist i.a. das Programm zum Ändern von Passwörtern dahingehend erweitert, dass es nur die Eingabe von guten Passwörtern gestattet. |
Hintergrund: Probleme mit Gruppen-Kennungen
Wenn mehrere Personen zusammenarbeiten müssen, liegt der Gedanke nahe, eine einzige Benutzerkennung (mit einem einzigen, allen (!) bekannten Passwort) einzurichten, die von allen benutzt wird (dies bietet sich z.B. für ein Team von Administratoren an). Hiervon ist jedoch dringend abzuraten (außer in seltenen Ausnahmefällen, in denen es nicht anders geht).
In diesem Zusammenhang können nämlich folgende Probleme auftreten:
- Es ist nahezu unvermeidlich, dass früher oder später ein Team-Mitglied einen Fehler macht (z.B. ein neuer Mitarbeiter, der sich noch nicht so gut auskennt). Dieser Fehler wirkt sich aber nicht nur auf den Datenbestand des gesamten Teams aus; vielmehr ist es im nachhinein auch nahezu unmöglich, den Verursacher zu identifizieren (sofern er nicht "freiwillig beichtet"). Dasselbe gilt natürlich auch für einen Saboteur.
- Mit der Anzahl der Team-Mitglieder steigt auch die Gefahr, dass
Passwörter unkontrolliert weitergegeben werden,
wie folgende Beispiele zeigen:
- "Im Nachhinein bin ich mir jetzt nicht mehr so sicher, ob dieser Typ von vorhin auch wirklich das Praktikum macht. Aber egal; die Praktikums-Kennung ist ja sowieso nur ein Semester lang gültig."
- "Das Passwort kennen jetzt schon so viele Personen; da macht es doch eigentlich nichts, wenn ich es auch noch meinem Kollegen gebe."
Das hat dann mittel- bis langfristig folgende Konsequenzen:
- Unberechtigte Personen können die Kennung verwenden.
- Eher früher als später blickt keiner mehr durch, wer das betreffende Passwort kennt und wer nicht.
An dieser Stelle fragen Sie sich möglicherweise folgendes:
Diese Informationen über Gruppen-Kennungen sind zwar ganz interessant, aber was soll ich als normale(r) Benutzer(in) überhaupt damit anfangen ?
Ich habe doch gar keinen Einfluss darauf, ob mir nun eine individuelle oder eine Gruppen-Kennung zugeteilt wird.
Sie können jedoch mehr tun, als Sie vielleicht im ersten Moment denken:
- Sie können die Systemverwalter auf die Problematik hin ansprechen
und anregen, mehrere Individual- anstelle einer
Gruppen-Kennung zu vergeben.
Möglicherweise waren den Systemverwaltern die Probleme im Zusammenhang mit Gruppen-Kennungen vorher noch gar nicht bewusst.
- Sie können innerhalb der Gruppe dahingehend Bewusstsein schaffen, dass zum eigenen Schutz das Passwort nicht an Personen außerhalb der Gruppe weitergegeben wird.
- Sie können innerhalb der Gruppe anregen, dass das Passwort häufiger geändert wird. Dadurch wird dann zumindest wieder ein sauberer Schnitt erzwungen.