Ein unsicheres Passwort oder leichtfertiger Umgang damit gefährdet im schlimmsten Fall die Existenz eines ganzen Unternehmens. Diese eigentlich einfache Erkenntnis und entsprechende Verhaltensanweisungen müssen durch eine stringente Sicherheitspolitik in jedem Unternehmen aber immer wieder verdeutlicht werden. Auch in Bereichen, wo Privatleute mit Passwörtern, PINs und TANs leichtfertig umgehen können, müssen die Passwort-vergebenden Firmen wie zum Beispiel Banken oder Online-Services auf die Sicherheitsproblematik hinweisen und überall dort, wo es möglich ist, Vorgaben zur sicheren Passwortgestaltung machen. So können Systeme den User dazu zwingen, bestimmte Passwort-Kriterien zu erfüllen oder das Wort regelmäßig zu wechseln.
Meistens werden aufwendige "Spionagetechniken" erwartet, wenn von "Passwortklau" die Rede ist. Das ist nach der Erfahrung des TÜV Nord Security keineswegs der Fall. Nicht nur im Privatbereich werden PINs von EC-Karten oder Handys einfach weitergegeben – auch in Firmen sind sie oft zumindest dem Zimmernachbarn bekannt. Und dies spätestens dann, wenn jemand erkrankt und der Kollege unbedingt die neueste Version einer Datei benötigt oder während einer Dienstreise die E-Mails abrufen soll, wird das Passwort weitergegeben.
Ins Kriminelle geht der "beliebte" und oft erfolgreiche Hacker-Trick, eine/n Mitarbeiter/in der Firma abends zu Hause anzurufen, sich als Systemadministrator vorzustellen, und zu behaupten, man müsse einen Systemcrash schnell reparieren und das Nutzerprofil wieder so einrichten, wie es war – wofür leider das Passwort notwendig sei. Hier gelten strikte Regeln, die dem betroffenen Personenkreis verdeutlicht werden müssen:
Kann ein Nutzer sein Passwort selbst bestimmen, wählt er gerne einprägsame Begriffe: Geburtsdaten, Vor- oder Kosenamen von Angehörigen, Orte, Fachwörter aus dem Arbeitsgebiet oder aus dem Hobby, die meist relativ leicht herauszufinden sind.
Ein weiteres Sicherheitsrisiko ist, dass sich Nutzer zugeteilte Passwörter oder PINs oft nicht merken können und sie daher an einem "versteckten" Platz notieren: PINs unter der Tastatur oder unter dem Mauspad, EC-Geheimnummern auf Hüllen der EC-Karte oder in der Brieftasche sind keine Seltenheit.
Wer sich unberechtigten Zugang zu einem System verschaffen will und dazu ein Passwort braucht, wird gezielt nach solchen Notizen suchen.
Neben dem relativ einfachen Social Hacking gibt es ausgefeilte Techniken, die Profis systematisch anwenden. Dazu zählen Sniffer-Programme, die Informationen im Netz abfangen, Tastaturrecorder, die unbemerkt auf einem PC installiert werden und alle Tastaturanschläge speichern oder Passwort-Decodierer, die unverschlüsselte oder schwach verschlüsselte Passworte aus den Systemdateien auslesen. Dies trifft zum Beispiel auf viele Versionen von Office-Programmen zu – aber auch auf Online-Zugänge, Browser und E-Mail-Programme und sogar Datenbanken.
Da der Nutzer diese Angriffe nicht verhindern kann, müssen sie durch ein sicheres Systemkonzept und durch Maßnahmen der Systemverantwortlichen abgeblockt werden.
Je nach krimineller Energie des Angreifers sind auch gut verschlüsselte Passwörter zu knacken. So sind zwar Passwortdateien in Unix so codiert, dass sie mathematisch nicht entschlüsselbar sind. Hacker finden aber Passwörter in solchen Dateien, indem sie mit entsprechenden Programmen vermutete Passwörter verschlüsseln und das Ergebnis mit dem Inhalt der Passwortdatei vergleichen. Sieht der Schlüssel genauso aus, ist das vermutete Passwort richtig. Drei Viertel aller Passworte sind auf diese Weise eruierbar.
----------Anfang Textkasten----------
----------Ende Textkasten----------
Das Vorgehen erfordert Wortlisten, die vom Programm abgearbeitet werden. Diese Listen sind in großen Mengen zu allen nur denkbaren Themen im Internet erhältlich. Allerdings ist die Attacke nur dann erfolgreich, wenn das Passwort in einer solchen Liste vorliegt – ähnlich wie beim Social Hacking wird nach Begriffen aus dem Kontext des Users gesucht.
Die Wortlisten sind oft zudem aus Wörterbüchern generiert, daher gilt:
Ähnlich funktionieren die Angriffe direkt bei der Abfrage des Passwortes für den Netzzugang. Dies setzt voraus, dass nach einem gescheiterten Login ohne große Verzögerung der nächste möglich wird. Nach Fehl-Logins in ein System darf ein erneuter Versuch erst nach einer gewissen Zeit (etwa 5-10 Sekunden) möglich sein – am besten mit der Anzahl der Fehl-Logins steigender Verzögerungszeit. Bei einer Verdoppelung der Wartezeit nach jedem erfolglosen Login wächst die Wartezeit exponentiell. Ein zusätzlicher Sicherheitsfaktor ist das regelmäßige Wechseln der Passwörter, da selbst leistungsstarke Rechner einige Zeit benötigen, um Millionen von Begriffen zu scannen.
Die Sicherheitsstrategie eines Unternehmens muss konkrete Anweisungen für die Passwortfindung geben (s. Kästen), die entweder von Systemadministratoren oder den Usern selbst umzusetzen sind. Um Letzteres sicherzustellen, können in Servern entsprechende Vorgaben gespeichert werden, so dass nur Passwörter akzeptiert werden, die zumindest einen Teil der Anforderungen erfüllen wie Länge, Sonderzeichen, gemischte Schreibweise oder keine reine Zahlenkombination.
Auf den ersten Blick mögen die Bedingungen verwirren, aber wer sagt, dass sich ein User nicht den Begriff "kLykotten* mUmpel" merken kann? Ein anderer Ausweg sind Eselsbrücken, die zum Beispiel zu folgendem Wort führen: "vEbSsUbDdFh,Bb", das aus den Anfangsbuchstaben des Faust'schen "Osterspazierganges" besteht:
Vom Eise befreit sind Strom und Bäche durch des Frühlings holden, belebenden Blick ...
Selbst wenn der Hacker den User als Goethe-Kenner identifiziert hat, dürfte das Herausfinden dieser Buchstabenfolge sehr viel Geduld und Fantasie, lange Rechenzeiten und enorme Rechnerkapazitäten erfordern.
Michael Dembeck ist Business Manager der TÜV Nord Security GmbH; Hamburg
----------Anfang Textkasten----------
Ein Passwort ist wertlos, wenn es
----------Ende Textkasten----------
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 3/2000, Seite 33