DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Sichere Pass­wörter

Den „Pro­filer“ kennt man aus dem Fern­sehen. In der Krimi-Serie erstellt er aus den Infor­ma­tionen vom Tatort ein Profil des Täters. Das funk­tio­niert aber nicht nur bei Tat­ort­spuren und Tätern, sondern auch bei Men­schen und Passwörtern.

 

 

 

Aus den Blog-Bei­­trägen von Prof. Udo H. Kalinna wissen wir nun, wie ein sicheres Passwort aus­sehen sollte. Leider wird dies nicht immer ange­wandt. In einer von der Firma Imperva durch­ge­führten Studie an 32 Mil­lionen gestoh­lenen und im Internet ver­öf­fent­lichen Pass­wörtern wurden für Experten nicht über­ra­schende Erkennt­nisse gewonnen: Zu viele Anwender ver­wenden zu ein­fache Pass­wörter zum Bei­spiel den Namen von Ehefrau, Freundin, Kinder oder Haustier. Dazu wird das gleiche Passwort dann auch noch für ver­schiedene Accounts (Facebook, Goog­leMail, Twitter, etc.) verwendet.

Zitat des Autors:

„… Nearly 50% of users used names, slang words, dic­tionary words or trivial pass­words (con­se­cutive digits, adjacent key­board keys, and so on) …”.

Die Studie ist vom Januar 2010, aller­dings wird sich bis heute nicht viel geändert haben. In den letzten 20 Jahren hat sich schließlich auch kaum etwas getan. Eine Analyse von Unix-Pas­s­­wörtern aus dem Jahre 1990 und eine Analyse von gehackten Hotmail-Accounts vor 10 Jahren brachten ähn­liche Ergebnisse.

Einfach
Wie kommt nun ein Hacker dazu den Namen von Ehefrau, Hund, Kinder oder Lieb­lings­schau­spieler zu erraten? Er benutzt ähn­liche Methoden wie der Pro­filer von der Polizei.

In dem Film „War­Games“ aus dem Jahr 1983 musste der jugend­liche Hacker das Passwort durch Infor­ma­tionen zum Opfer noch aus Büchern besorgen. Im Zeit­alter der umfas­senden elek­tro­ni­schen Daten­ver­ar­beitung gibt es dafür Werk­zeuge und das Internet. Das frei erhält­liche Werkzeug Common User Password Pro­filer (CUPP) zum Bei­spiel erstellt aus wenigen per­sön­lichen Infor­ma­tionen eine Pass­wort­liste mit meh­reren tausend Pass­wörtern. Diese indi­vi­duelle Pass­wort­liste wird dann wieder mit einem Tool mittels Brute-Force-Angriff bei einem Account des Anwenders durch­pro­biert. Das geht erheblich schneller als alle C max = nc l    Mög­lich­keiten eines wirklich zufäl­ligen Pass­worts zu probieren.

Noch ein­facher
Und es geht noch ein­facher. Wer sich nicht die Mühe machen will nach Namen von Ehefrau, Kinder oder Haus­tieren des Opfers zu suchen ver­wendet Werk­zeuge, die sich diese Infor­ma­tionen aus dem Internet selbst beschaffen. Diese Tools durch­forsten zum Bei­spiel auto­ma­tisch die Web­seiten, Facebook- oder Twitter-Accounts des Opfers und erstellen die Pass­wort­listen aus den gefun­denen Informationen.

Unsicher!
Und wie bereits in den Bei­trägen von Prof. Udo H. Kalinna ange­sprochen: Bitte nicht den Namen des Haus­tiers durch Anhängen von Ziffern oder Son­der­zeichen „sicherer“ machen. Das funk­tio­niert nicht! Die Werk­zeuge kennen auch diese Mög­lich­keiten und erzeugen einfach ein paar tausend zusätz­liche Varia­tionen in den Passwortlisten.

Auch unsicher!
Wer den Film „War­Games“ gesehen hat (oder in Wiki­pedia danach gesucht hat) wird viel­leicht das Passwort kennen mit dem der Hacker in den Rechner ein­ge­drungen ist: Der Pro­gram­mierer hat den Namen seines ver­stor­benen Sohnes ver­wendet: „Joshua“. Dar­aufhin war „Joshua“ ein beliebtes Kennwort in der damals aktiven Mailbox-Scene. Deshalb sollten als Pass­wörter auch keine bekannten Namen aus öffent­lichen Medien ver­wendet werden. Weder Mor­pheus oder Trinity (aus dem Film Matrix) noch Gandalf oder Frodo (aus der „Herr der Ringe“-Trilogie) sind gute Passwörter.

Sicher?
Wer jetzt moti­viert wurde seine Pass­wörter zu ändern, sollte das am besten gleich tun. Auch wenn die nächste Analyse zur Pass­wort­si­cherheit erst in zehn Jahren durch­ge­führt wird. Die Ergeb­nisse dieses Berichtes werden dann ver­mutlich zeigen, dass noch immer Trivial-Pas­s­­wörter ver­wendet werden, aber Ihre elek­tro­ni­schen Türen sind dann bestimmt mit den nötigen 15 bis 20 Zeichen langen Kenn­wörtern abge­si­chert. Oder mit Ihrem Fin­ger­ab­druck. Oder mit Ihrem Augen­hin­ter­grund. Oder mit Ihrem Gedankenmuster.

Bild:  © Sieg­fried Fries / pixelio.de

4 Kommentare zu Sichere Passwörter

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Roland Wagner, DATEV eG

Dipl. Inf. (Univ); OSSTMM Pro­fes­sional Security Tester (OPST zer­ti­fi­ziert seit 2011). Roland Wagner ist seit 1999 bei der Datev im Umfeld Inter­net­dienste und IT-Security tätig. Hier beschäftigt er sich haupt­sächlich mit Sicher­heits­un­ter­su­chungen und IT-Forensik.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.