Pentest Blog

01. Februar 2017 – Know-how

SySSGeheim2017!

Ein Fachbeitrag von IT-Security-Consultant Roman Stühler zum "Ändere Dein Passwort"-Tag

Passwörter sind seit vielen Jahren fester Bestandteil unseres täglichen Lebens. Sie werden für die Arbeit benötigt, sichern Zugänge zu verschiedenen Applikationen oder dienen zum Schutz privater Daten. In unserer schnelllebigen Zeit ändern sich allerdings auch zunehmend die Anforderungen an diese Kennwörter. So signalisieren Applikationen mittlerweile recht häufig, ob es sich beim gewählten Passwort um ein sicheres beziehungsweise starkes Passwort handelt. Doch was genau macht ein starkes Kennwort aus?

Auf die Kombinationen kommt es an

Im Grunde definiert die Passwortstärke den Aufwand, den ein Angreifer betreiben muss, um das entsprechende Passwort zu erraten. Basiert das Kennwort auf einer Verwendung von unterschiedlichen Zeichenklassen, so ergibt sich eine Vielzahl von möglichen Kombinationen, die es zu erraten gilt.

Unternehmen und Applikationen schreiben oftmals eine Komplexität mit den folgenden Parametern vor:

  • Mindestlänge von 8 Zeichen
  • Verwendung von Kleinbuchstaben
  • Verwendung von Großbuchstaben
  • Verwendung von Zahlen
  • Verwendung von Sonderzeichen

Um ein Beispiel zu nehmen: Für ein Passwort – bei Festlegung von 10 Sonderzeichen sowie dem allgemeinen alphanumerischen Zeichensatz – stünde folgender möglicher Zeichenraum zur Verfügung:

Zeichenraum = 26 (Großbuchstaben) + 26 (Kleinbuchstaben) + 10 (Zahlen) + 10 (Sonderzeichen)

Bei einer Länge von 8 Zeichen ergäbe dies die folgende Anzahl möglicher Kombinationen:

728 = 722.204.136.308.736

Ein Angreifer müsste also – im sogenannten Worst-Case –, alle 722.204.136.308.736 Kombinationen durchprobieren, um ein Passwort wie "5x?7:Wpj" zu erraten. Mathematisch gesehen ergibt sich allerdings bereits ab der Hälfte dieser Kombinationen eine erhöhte Wahrscheinlichkeit, das entsprechende Passwort zu erraten. Trotzdem verbleiben aber noch 361.102.068.154.368 Rateversuche.

Muster reduzieren Komplexität

Kennwörter, die nach dem genannten System gebildet werden, sind – trotz der genannten erhöhten Wahrscheinlichkeit ab der Hälfte der Kombinationen – in der Regel ausreichend lang und komplex. Werden darüber hinaus geeignete Speicherverfahren verwendet, können diese Passwörter als sicher gelten. Die Nachteile sind allerdings, dass entsprechende Kennwörter relativ schwer zu merken sind und daher oftmals aufgeschrieben werden. Außerdem erfolgt die Eingabe solcher Passwörter häufig verhältnismäßig langsam, wodurch potenziellen Angreifern mit Blickkontakt zur Tastatur die Möglichkeit eröffnet wird, diese mitzulesen.

Darüber hinaus führen typische Passwortmuster dazu, dass sich die Komplexität dieser Passwörter schnell reduziert. Bei der Vergabe eines Kennworts wählen Benutzer des Öfteren bekannte Muster wie Großbuchstaben gefolgt von vier Kleinbuchstaben – Jahres-/ Geburtszahlen – Sonderzeichen. Entsprechende Sonderzeichen werden oftmals auch gerne zu Beginn, direkt als erstes Zeichen platziert. Passwörter welche nach diesem Muster aufgebaut sind, besitzen im Vergleich zu den zufällig generierten Kennwörtern (siehe oben) in etwa nur noch folgende Menge an Kombinationsmöglichkeiten:

26 * 264 * 410 * 10 = 124.585.257.205.760

Ein Satz als Alternative

Eine bessere Alternative zu zufällig generierten Kennwörtern stellt die Verwendung eines einprägsamen Satzes dar. Der Mensch kann sich Bilder und "Sprachbilder" bekanntlich besser merken als aus dem Kontext gerissene Wörter und Buchstaben. Und im Falle von Passwörtern schlägt die Länge des Kennworts die Komplexität. Nachfolgend wird die zuvor beschriebene Analyse an einem simplen Satz demonstriert.

DerElefantsuchtseineazurblauenSchuhe

Da ein Angreifer in diesem Fall ein Wörterbuch zur Hilfe nehmen wird, müssen nicht alle Zeichen, sondern lediglich alle Wörter erraten werden. Bezogen auf das in vorigen zwei Abschnitten erläuterte Beispiel ergibt sich so eine Passwortlänge/ bzw. -komplexität von gerade einmal 6 (Zeichen, Wörtern). Der Zeichenraum dieser Wörter umfasst nun aber den eines Wörterbuchs. Der Duden stellt etwa 5,3 Millionen Wörter bereit, die allerdings im üblichen Sprachgebrauch nicht allesamt verwendet werden. Gehen wir also der Einfachheit halber von einer Verwendung der Top-1.000-Wörter aus, so ergeben sich folgende mögliche Kombinationen:

1.0006 = 1.000.000.000.000.000.000

Das vermeintlich schwächere Kennwort "DerElefantsuchtseineazurblauenSchuhe" stellt sich bei näherem Hinsehen als sicherer heraus als das zufällig generierte "5x?7:Wpj" mit einem komplexen Zeichensatz. Die Passwortkomplexität lässt sich noch erhöhen, wenn der Satz grammatikalisch falsch beziehungsweise eine Sonderschreibweise (Zkue anstelle von Schuhe) von Wörtern gewählt wurde.

Ein weiterer Vorteil: Ein Satz als Passwort ist leichter zu merken und wesentlich einfacher einzutippen, was die Gefahr des Mitlesens deutlich vermindert.

Doch bei aller Bedeutung der Komplexität eines Passworts sollte man eines nicht vergessen: Die Mehrfachverwendung von Passwörtern sollte in jedem Fall vermieden werden, um eine Kompromittierung zahlreicher Accounts nicht zu erleichtern. Da die Anzahl von Applikationen und die für diese benötigten Passwörter schnell überhandnehmen, ist der Einsatz eines Passwortsafes zu empfehlen. Hierfür muss nur ein starkes Kennwort gemerkt werden, welches dann alle anderen Kennwörter absichert.

Welches Benutzerkonto sollte besonders geschützt werden?

Auf diese Frage nennen Teilnehmer von Schulungen oder Live-Hacks der SySS GmbH in der Regel ihren Online-Banking-Account. Dass dieser eines besonderen Schutzes bedarf, ist sicher absolut zutreffend. Dennoch soll an dieser Stelle ein anderes Konto besonders hervorgehoben werden, nämlich das private E-Mail-Konto. Wird dieses von einem Angreifer kompromittiert, so ist automatisch ein Zugriff auf zahlreiche weitere Applikationen möglich. Denn ein Großteil der "Passwort-Vergessen"-Funktionen basieren lediglich auf der Eingabe einer E-Mail-Adresse, an welche entweder ein Link oder ein neues Kennwort für eine Rücksetzung des Accounts versandt wird. Über Benachrichtigungsmails oder Newsletter erhält ein Angreifer zusätzlich Informationen darüber, an welchen Webseiten Sie diese E-Mail-Adresse möglicherweise registriert haben: Ein weiterer Grund, dieses Benutzerkonto besonders zu sichern.

Unsere Empfehlungen

  • Verwendung eines Passwortsafes
  • Schützen Sie ihr E-Mail-Konto
  • Verwenden Sie eine Zwei-Faktor-Authentifizierung (falls möglich)
  • Die Länge eines Kennworts schlägt in der Regel die Komplexität
  • Geben Sie Ihr Kennwort nicht in vermeintliche Webseiten ein, welche Ihr Passwort "überprüfen"
  • Achten Sie besonders an Motto-Tagen wie heute verstärkt auf Phishing-Mails

 

 

Termine

01.03.2017 - 02.03.2017
SySS-Schulung – Hack4: Angriffe gegen VoIP-Infrastrukturen
06.03.2017
Live-Hack mit Sebastian Schreiber, Quedlinburg
07.03.2017 - 08.03.2017
SySS-Schulung – Hack7: Sicherheit und Einfallstore bei Webapplikationen
09.03.2017
Live-Hack, DIGITALE TRANSFORMATION, Ravensburg