DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Pass­wort­si­cherheit II: Pass­wort­wechsel!

Im ersten Teil der Serie haben Sie gelernt, dass die Sicherheit eines Pass­wortes haupt­sächlich von der Länge des Pass­wortes abhängt und weniger von der Anzahl des Zei­chen­vor­rates. Nun möchte ich Ihnen, liebe Leser, eine typi­sches Bei­spiel aus dem Büro­alltag geben, das viele von Ihnen wohl kennen und sicherlich nicht gerade lieben.

Sie kommen eines Morgens wohl­ge­launt zu Ihrem Arbeits­platz, schalten den Rechner ein und dieser begrüßt Sie mit der Auf­for­derung: “Bitte ändern Sie Ihr Passwort!“ Meist folgt der Auf­for­derung noch die Androhung, dass das alte Passwort in 7 Tagen ver­fällt. Da Sie ein freund­licher Mensch sind, rufen Sie Ihren Admi­nis­trator an und fragen einfach mal nach, wieso sie alle vier Wochen denn über­haupt Ihr Windows Passwort ändern müssen. Die Antwort ist ernüch­ternd: “Das steht so in unser Passwort Policy und die kommt von ganz oben“. So soll sie ja auch kommen, aber mit Ver­stand. Da Sie sich schon lange für IT inter­es­sieren und von der Geschäfts­leitung auf die Risiken eines Daten­dieb­stahls hin­ge­wiesen worden sind, bohren Sie immer tiefer. Aber was Sie und die meisten an dieser Stelle ent­decken, sind halb­wis­sende Admi­nis­tra­toren, die keine begrün­deten und nach­voll­zieh­baren Ant­worten liefern. Also helfen wir mal etwas nach.

 

Wie lässt sich die Lebens­dauer eines Pass­wortes berechnen?

Stellen wir uns erst einmal die Frage, wie lange die Lebens­dauer eines Pass­wortes eigentlich ist und wovon sie abhängt. Das können wir nun ganz einfach beant­worten. Aus der 1. Folge kennen Sie bereits die maximale Anzahl aller mög­lichen Kom­bi­na­tionen von Pass­wörtern, nämlich  C max = nc l.

Nehmen wir wieder unser bekanntes Bei­spiel mit 26 Zeichen und einer Pass­wort­länge von 4 Zeichen an. Damit kommen wir auf C max = nc l= 26 4 = 456.976 Kom­bi­na­tionen. Divi­dieren wir diese Zahl durch die Attacken eines Angreifers pro Sekunde auf das Passwort, so erhalten wir die Lebens­dauer eines Pass­wortes unter der Annahme, dass alle Kom­bi­na­tionen durch­sucht werden müssen. Die ein­fache Formel lautet:

t life = nc l /a tps

t life ist die Lebens­dauer eines Pass­wortes in Sekunden und a tps, die Ver­suche pro Sekunden (attack trials per second), die ein Angreifer durch­führen kann um das Passwort zu knacken. Nehmen wir einmal an, er könnte 456.976 Ver­suche pro Sekunde durch­führen, so hätte das Passwort gerade mal eine Lebens­dauer von 1 Sekunde. Soviel zu den Grund­lagen. Jetzt wird es noch etwas kom­pli­zierter. Denn im Prinzip haben wir ange­nommen, dass alle mög­lichen Kom­bi­na­tionen unter­sucht werden müssen. Die Annahme hat aber mit der Rea­lität nichts zu tun, da das Passwort viel­leicht schon nach der Hälfte der Ver­suche geknackt worden ist. Diese Tat­sache gilt es nun zu berück­sich­tigen, natürlich mit etwas Mathe­matik und einem ein­fachen Trick.

Die Glei­chung wird auf beiden Seiten durch t life geteilt und es ent­steht:

1 = nc l /(a tps * t life )

Auf der linken Seite sehen Sie eine 1 und die ent­spricht nun einmal pro­zentual immer gleich der 100%. Sub­tra­hieren wir nun von der max. Lebens­dauer 100% ein Risiko von z.B. 20%, dann ändert sich der neue Wert auf 0,8 oder 80%. Das Risiko selbst bestimmen wir! Denn nur wir wissen wie wichtig die Daten sind, die wir schützen wollen. Sinn­volle Werte für das Risiko werden in den fol­genden Folgen gegeben.

Nennen wir die neue Wahr­schein­lichkeit mit dem sub­tra­hierten Risiko P risc. Die Formeln lassen sich nun wieder nach t life und l, der Pass­wort­länge einfach umstellen! Da es sich bei der Zeit nicht mehr um die Lebens­dauer bei der Wahr­schein­lichkeit 100%, sondern die um P risc ver­min­derte Wahr­schein­lichkeit handelt, nennen wir die neue Lebens­dauer dann auch t risc um Ver­wech­se­lungen vor­zu­beugen. Und hier haben wir das Ergebnis!

t risc = (nc l * P risc)/ a tps   (I)

und

l = log nc * {(t risc * a tps)/ P risc}  (II)

Bei­spiel: Nehmen wir unser bereits bekannte Bei­spiel und setzen in unsere Formel I ein Risiko von 90% ein, so erhalten wir eine Lebens­dauer t risc von 0,1s oder 100 ms. Das bedeutet: Je höher das Risiko, desto kleiner wird  die Lebens­dauer t risc.

t risc = (nc l * P risc)/ a tps = {(26 4 * (1–0,9)}/ 456976 = 0,1s

Wollen wir nun nach­rechnen, wie viele Zeichen unser Passwort haben muss, um mit den Annahmen 1 Sekunde zu über­leben, müssen wir die Werte nur in die Formel II ein­setzen.

l = log c * {(t risc * a tps)/ P risc} = log c {(0,1s * 456976/s)/0,1 = 5,659…

Das heißt, Sie benö­tigen 6 Zeichen um ein Passwort bei einem Risiko von 90% und 456.967 Angriffen, eine Sekunde lang sicher zu haben. In der Rea­lität sieht die Berechnung genau so aus, nur sind die Zahlen weitaus größer was die Anschauung wesentlich schwie­rigen macht.

So, das war das höchste an Mathe­matik was man zur Berechnung aller Para­meter von Pass­worten benötigt. Und seien wir mal Ehrlich, das ist doch Stoff der 10. Klasse, oder?

 

Mythos 2: Höchst­le­bens­dauer und Länge des Pass­wortes sind bere­chenbar!

Die Höchst­le­bens­dauer und die Länge eines Pass­wortes lassen sich mit ein­facher Mathe­matik berechnen. D.h., wenn ich nur einmal im Jahr mein Passwort ändern möchte, kann ich mit einer Risi­ko­be­trachtung und unter Annahme des Zei­chen­vor­rates die Länge meines Pass­wortes exakt berechnen! Damit ist der Willkür der Änderung von Pass­wörtern durch seltsame Policies oder ahnungs­losen Admi­nis­tra­toren wohl endlich in das Reich der Mythen ver­bannt und ein Ende gesetzt.

Am Schluss dieser Serie stelle ich Ihnen ein ein­faches Excel-Pro­­gramm zur Ver­fügung, mit dem Sie die hier beschrie­benen Dinge einfach errechnen lassen können. In der nächsten Folge, die Ende April erscheint, geht es uns aber erst einmal um eine Betrachtung der Kosten, die sich durch ein stän­diges Pass­wort­wechseln ergeben.

Teil 1 “Fakten, keine Mythen!

Teil 3 “Pass­wort­rechner”

Teil 4 “Logik des Angriffs”

Teil 5 “Pass­wort­ma­nager” lesen Sie im DsiN-Blog ab dem 11. Juni 2012.

6 Kommentare zu Passwortsicherheit II: Passwortwechsel!

  • Katrin Böhme sagt:

    Gal­gen­rätsel
    Schöne Metapher!

  • Matthias sagt:

    Unnötig
    Es ist gut wenn Men­schen Sach­ver­halte gut und ver­ständlich erklären können. Danke dafür!Doch abfällige Äus­se­rungen zu einer Berufs­gruppe (dabei ist es mir egal welche) halte ich auch in diesem Zusam­menhang für nicht ange­bracht.
    Ihre For­mu­lierung zeigt wieder das Men­schen ein tiefes Ver­ständnis immer nur einer Teil­menge eines Fach­ge­bietes haben. In diesem Fall ver­mutlich von Mathe­matik und/oder (vie­leicht) Infor­matik. Beide Gebiete sind aber so viel­schichtig dass es kaum möglich ist ein wirklich umfas­sendes Wissen zu haben.
    Der defi­nierte Wech­sel­zyklus von Pass­wörtern liegt nicht an ver­blö­deten Admi­nis­tra­toren, sondern vielmehr an der schlechten Qua­lität der in der Praxis genutzen Pass­wörter durch den Anwender. (Trotz Password Policy)
    In wie fern dies auf die eigenen Pass­wörter zutrifft, mögen die geneigten Autoren ganz im Stillen und für sich selbst bestimmen.
    Aus ca 15 Jahren Berufs­er­fahrung im Umfeld der IT-Sicherheit, bin ich mir sicher das eher weniger Men­schen mit Pass­wörtern arbeiten, die nach einer Methode ent­standen sind die Sie beschrieben haben und kom­plexe Pass­wörter ergeben.

    • Wintergast sagt:

      Weitaus Unnö­tiger
      Ich kann leider keine unbe­rech­tigte abfällige Bemerkung über eine gewisse Berufs­gruppe erkennen!
      Ihre Wut nährt sich sicher stärker aus eigener Erfahrung und eigenem Schuld­be­wusstsein als aus den Zeilen des obrigen Artikels. Ich stimme insoweit mit Ihnen überein, dass man Sicherheit nicht aus­schließlich auf die Länge des Pass­wortes redu­zieren sollte, dennoch muss ich sagen, dass ich Ihre Ansicht nicht gänzlich teile!
      Pass­wort­länge ist zwar nicht der einzige Faktor, der die Sicherheit der Daten bestimmt, aber das Passwort ist die einzige Variable, die der Nutzer zu bestimmen vermag! Der Nutzer hat sich an die ver­ge­benen Pass­wort­richt­linien zu halten! Admi­nis­tra­toren sollten dies sicher­stellen und wenn not­wendig zufällig gene­rierte Pass­wörter ver­geben!
      Diese sind mathe­ma­tisch beweisbar sicherer!
      Wenn ein Admi­nis­trator nicht dazu in der Lage ist seinen Pflichten nach­zu­kommen, dann ist er mit Verlaub tat­sächlich ver­blödet! Ich kann nicht beur­teilen wie ernst Sie Ihre Pflicht nehmen aber wenn Sie die Tat­sache, dass viele Admi­nis­tra­toren in dieser Hin­sicht ver­sagen, nicht wahr­haben wollen und sich anstelle dessen ange­griffen fühlen, dann lässt das weitaus mehr Schlüsse zu, als nur Ihren Beruf zu erraten! Letzt­endlich müssen Sie selbst ent­scheiden, wie Sie Ihre Daten sichern wollen, aber als Ver­ant­wor­tungs­träger die Ver­ant­wortung auf die Nutzer abzu­wälzen, scheint mir wenig sinnvoll und unter­trifft den Nutzen der viel­zi­tierten Pass­wort­richt­linien um Welten.
      Auch wenn sie viele Jahre Erfahrung damit haben, die Vor­aus­set­zungen einer sicheren Pass­wort­vergabe zu miss­achten, bedeutet dies noch lange nicht, dass man eine solche Praxis in Zukunft fort­setzen sollte!
      Ich weiß auch selbst aus meiner prak­ti­schen Erfahrung, wie viele Admi­nis­tra­toren unsi­chere Pass­wörter nutzen, aber Sie sollten kei­nes­falls kor­rekte Rat­schläge mit der Begründung aus dem Wind schlagen, niemand würde in der Praxis so vor­gehen. Ich kann in Ihrer Kritik nichts weiter als eine gehörige Portion Neid erkennen, da Sie auf die genannten Rat­schläge wahr­scheinlich selbst nie gekommen wären. Anstatt zu per­sön­lichen Angriffen über­zu­gehen, hätten Sie even­tuell an sich selbst arbeiten sollen um Ihre eigenen Pro­bleme bezüglich Ihrer Arbeits­weise zu bewäl­tigen. Per­sonen wie Sie nennt man oft bera­tungs­re­sistent, ich hoffe Ihre Mit­ar­beiter zeigen genug Eigen­in­itiative, dann könnte Ihre Inkom­petenz even­tuell teil­weise kom­pen­siert werden, unab­hänig vom gewählten Passwort 😉

    • offener Schnürsenkel sagt:

      Also ich bin selbst IT’ler
      Also ich bin selbst IT’ler und weiß über die Not­wen­digkeit sicherer Pass­worte. Wenn jedoch über­eifrige Admi­nis­tra­toren oder Whoever die Nutzer zu eingabe eines kom­plexen PW’s gängeln führt dies schnell dazu, dass die Hälfte der Mit­ar­beiter ihr PW unter der Tas­tatur kleben haben. Außerdem, wer bru­teforced heute (auch 2012) schon noch PW’s direkt. Dann eher mittels PWdump den Hash kriegen wenn möglich und mittels Rain­bow­table zurück­rechnen? Ich hab keine Ahnung. Da würde ich lieber eine Account­sperre nach 42 miss­glückten Ver­suchen ein­bauen und dann sperren…

  • Frank B aus H an der S sagt:

    Milch­mäd­chen­rechnung
    Der Rechenweg ist zwar wahr­scheinlich richtig, unter­streicht aber nur die Not­wen­digkeit, ein Passwort aus­rei­chender Kom­ple­xität zu ver­wenden. Die Wahr­schein­lichkeit, dass ein Angreifer mein Passwort errät, ist für jeden Versuch von ihm gleich — egal ob er mein altes oder mein neues Passwort angreift. Damit kann ich meine Situation nur unwe­sentlich ver­bessern, wenn ich mein zu ein­faches Passwort ständig wechsle — schließlich ist mir ja nichts über die Such­stra­tegie des Angreifers bekannt (z.B. von A bis Z oder von Z bis A oder zufällig). Sobald das System einem Angreifer erlaubt, so viele Ver­suche durch­zu­führen, dass ein wesent­licher Teil aller mög­lichen Pass­wörter durch­pro­biert wird, ist man geliefert. Falls also das System die Anzahl der Ver­suche nicht begrenzt, ver­bleibt als einzige Mög­lichkeit ein ent­spre­chend kom­plexes Passwort. Irgendwo um 128 Bit (zufällige Kom­bi­nation von ca. 22 Zeichen aus Groß- und Klein­buch­staben, Ziffern, Son­der­zeichen) ist die Schwie­rigkeit für den Angreifer so hoch, dass er es wahr­scheinlich nicht zu meinen Leb­zeiten knacken kann. Noch einige Bit mehr und er wird es nicht schaffen, bevor unsere Sonne zur Nova wird, selbst wenn er alle Energie des Pla­neten darauf ver­wenden würde. Mit ent­spre­chender Risi­ko­ab­schätzung dürften aber auch kürzere Pass­wörter gut ver­tretbar sein.

  • Udo Kalinna sagt:

    Genau so ist es!
    Genau so ist es!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prof. Udo H. Kalinna, Hoch­schule Emden/Leer

Prof. (Verw.) Dipl.-Ing. Dipl.-Ing Udo H. Kalinna hält zurzeit an der Hoch­schule Emden/Leer die Ver­wal­tungs­pro­fessur für Infor­matik und IT-Sicherheit und arbeitet gleich­zeitig als Unter­neh­mens­be­rater mit dem Schwer­punkt Appli­ka­tions- und Cloud-Sicherheit. Bevor er 2010 zur Hoch­schule wech­selte, war er über 14 Jahre als Manager bei Hewlett-Packard und Compaq Com­puter tätig, bevor er als Unter­nehmer und CEO 2001 erfolg­reich sein eigenes Software-Security Unter­nehmen gründete, welches nach kurzer Zeit zur Akti­en­ge­sell­schaft fir­mierte. Mit seiner Software traf das Unter­nehmen eine Markt­lücke und wurde vom Magazin „IT-Security“ 2008 mit dem Preis „Inno­vation des Jahres“ aus­ge­zeichnet.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare