Autorisierung: Alpha Alpha 3 – 0 – 5

… reicht in dem Film Star Trek Nemesis (1) (2) als Passwort für die Initiierung der Selbstzerstörung.

Im Alltag brauchen wir Passwörter glücklicherweise für deutlich profanere Dinge. Egal ob wir online einkaufen, uns mit Freunden vernetzen oder Überweisungen tätigen, überall müssen wir uns mit einem Benutzerkonto registrieren. Dessen Anmeldedaten bestehen dann für gewöhnlich aus

    – einem Loginnamen (oft die Email-Adresse oder ein persönlicher Nickname) und

    – einem frei wählbaren Passwort.

In einem der letzten Artikel haben wir besprochen, dass der Missbrauch unserer Daten zu den größten Gefahren im Netz gehört. Das heißt dann meist, dass die Anmeldedaten in die Hände von Verbrechern gelangen und diese damit Schindluder betreiben. Ob jetzt auf unsere Kosten eingekauft oder nur zum Spaß unser Facebookprofil mit pikanten Bildern angereichert wird, der Schaden kann groß sein, auch ohne Selbstzerstörung.

Umso wichtiger ist es, unsere Benutzerkonten ordentlich abzusichern. Und das einfachste aber auch effektivste Mittel dafür ist die Wahl eines guten Passworts. Wobei “gut” sich dann immer auf die Länge des Passworts, die Nichtvorhersagbarkeit bzw. Zufälligkeit und die einmalige Verwendung bezieht.

Schauen wir uns an, wie Verbrecher die Schwachstellen unserer Passwörter ausnutzen und wie wir uns dagegen schützen können. Grundsätzlich geht es Kriminellen darum, an die Anmeldedaten unseres Benutzerkontos bei einem Dienst zu gelangen. Der erste Teil, der Loginname, ist meist recht einfach zu erlangen. Da oft die Email-Adresse verwendet wird und die Wenigsten daraus ein Geheimnis machen, tauchen gültige Emailadressen in vielen Datenbanken z.B. von Werbefirmen auf. Also steht und fällt die Verteidigung mit dem Passwort. Jetzt klaut man uns das aber ja nicht einfach. Wir müssen unsere Passwörter aber leider auch anderen anvertrauen, spätestens wenn wir ein Benutzerkonto anlegen werden unsere Daten und damit auch das Passwort gespeichert.

Der Tatort

Wie werden unsere Passwörter denn nun gestohlen? Schließen wir den Fall “Post-It am Monitor” und bösartige Kollegen in der Firma mal aus. Dann ist der gebräuchlichste Weg an unser Passwort zu kommen das Erraten. Klingt komisch, ist aber so.

“Erraten” klingt erstmal nach jemanden der, alle Hackerklischees erfüllend, mit Kapuzenpulli im dunklen Zimmer vor seinem Computer sitzt und bei Facebook Passwörter eintippt. Und in der Tat gibt es die Fälle, wo auf Basis von Hintergrundwissen über die Person Anmeldedaten ausprobiert werden. Das Geburtsdatum des Partners als Passwort ist also dann evtl. keine gute Wahl, wenn das für einen interessierten Kriminellen eine Facebookseite entfernt zu finden ist. Und nicht zu unterschätzen ist auch die Anzahl der Personen, die immer noch Passwörter wie 123456 verwenden (3).

Sind wir jetzt geschützt, wenn wir solche Schwachstellen nicht haben? Leider nein, denn die größte Quelle gestohlener Anmeldedaten ist der

Diebstahl von Zugangsdaten bei Online-Anbietern.

Damit wir uns bei einem Dienst anmelden können, muss ein Anbieter seine Benutzer identifizieren. Dazu sind alle Benutzernamen und Passwörter in einer Datenbank gespeichert. So eine Sammlung ist aus zweierlei Gründen ein guter Fang. Zum einen erlangt der Dieb damit Zugang zu allen Benutzerkonten auf dem gehackten System. Und dann sind viele Passwort/Email-Kombinationen auch bei anderen Diensten gültig. Denn aus Bequemlich- und Sorglosigkeit werden oft dieselben Anmeldedaten für verschiedene Benutzerkonten verwendet. 

Bei so einem reizvollen Ziel wird entsprechend oft versucht in Computersysteme einzubrechen und diese Datenbanken zu klauen. Wenn die Systeme dann nicht richtig gesichert sind, kann das klappen. So hat YAHOO es zum Beispiel geschafft, sich die drei Milliarden (ja, richtig gelesen) Anmeldedaten aller seiner Benutzer stehlen zu lassen (4). Wir Anwender können dann zwar nichts dafür, sind aber diejenigen die den Schaden ausbaden dürfen wenn Unternehmen nicht vernünftig auf unsere Daten aufpassen. Und von außen ist meist nicht zu erkennen, ob der Anbieter seinen Job richtig macht.

So sollten zum Schutz gegen Diebstahl die Passwörter nicht im Klartext in der Datenbank stehen. Das heisst, der Anbieter speichert nicht das Passwort ab, sondern berechnet aus dem Passwort eine Prüfsumme und nur diese wird gespeichert. Meldet sich der Benutzer nun an seinem Benutzerkonto an,  wird aus seinem eingegebenen Passwort wieder die Prüfsumme berechnet und mit der in der Datenbank gespeicherten verglichen. Klaut nun jemand die Datenbank, hat er nur die Prüfsummen und kann aus diesen nicht die Passwörter berechnen. 

Im Falle YAHOOs verwendeten sie das MD5-Verfahren (5) (6) für die Berechnung der Prüfsumme, das schlicht keinen Schutz mehr darstellt. Und damit kann der Dieb der Datenbank die gefundenen Prüfsummen im Internet nachschlagen und kriegt die passenden Passwörter zurückgeliefert (7). Oder er probiert zuhause mit einem Programm zum Passwortknacken (8) selber, zu den Datenbankeinträgen passende Passwörter zu erraten. Mit handelsüblichen Grafikkarten schafft man dabei z.T. Milliarden von Versuchen pro Sekunde. Zu einfache Passwörter, d.h. zu kurze oder nicht zufällige, sind damit entsprechend schnell geknackt und landen im Internet (7), wodurch andere sich dann die Arbeit des Knackens sparen können und nur die Prüfsumme nachschlagen müssen. Bei wirklich guten Passwörtern, d.h. lang und zufällig, müssten die Computer aber trotzdem länger probieren, d.h. gefährdet sind primär Benutzer mit schlechten Passwörtern.

Und die größte Gefahr ist die, dass mit einem gefundenen Passwort gleich mehrere Benutzerkonten zu öffnen sind. Also dass der Dieb mit einem Satz Anmeldedaten bei Amazon einkaufen, bei Facebook posten, die Email lesen und via Paypal bezahlen kann. Ein Benutzerkonto zu verlieren ist schlimm, aber wenn die gesamte digitale Identität den Bach runtergeht, ist damit auch im realen Leben Halligalli angesagt. Wenn auf Euren Namen Drogen bestellt und bezahlt werden, könnte das Gesprächsbedarf beim Freund-und-Helfer auslösen.

Was tun, sprach Zeus

Gegen das Erraten von Passwörtern hilft nur eins: gute Passwörter. Und zwar “gut” im Sinne von lang und zufällig, so dass sie unmöglich zu raten sind. Wir reden dann von mindestens 24 Zeichen Länge, vielen verschiedenen Zeichen und damit Passwörtern wie

}F[*6/uHrL3v/(t=W+Fz|7A6&”.

“SchatzisPasswort2” für das Amazonkonto ist daher eher keine gute Wahl.

Und jeder Benutzer muss verhindern, dass mit einem geklauten Passwort der Schutz aller seiner Benutzerkonten zusammenbricht wie ein Kartenhaus. Für jedes Benutzerkonto brauchen wir ein eigenes, komplett zufälliges Passwort. “SchatzisPasswort3” bei Paypal erfüllt die Anforderungen dann gleich doppelt nicht.

Schauen wir uns also im nächsten Artikel an, wie wir sichere Passwörter erzeugen. Und mit einem langen, zufälligen Passwort pro Benutzerkonto steigt natürlich auch der Verwaltungsaufwand. Also werfen wir auch einen Blick darauf, wie wir die guten Passwörter mit Hilfe eines Passwortsafes sicher speichern und bequem verwenden können.

m

(1) http://memory-alpha.wikia.com/wiki/Auto-destruct 

(2) https://de.wikiquote.org/wiki/Star_Trek:_Nemesis  Der Captain Jean Luc Picard aus obigem Star Trek Film hat sein Passwort übrigens durch eine Stimmidentifikation und die notwendige Bestätigung eines weiteren Offiziers abgesichert. Und ursprünglich wohl auch einem Scan der Handflächen.

(3) http://www.maclife.de/news/diese-passwoerter-sollten-keinen-fall-verwenden-10086942.html Artikel über die häufigsten Passwörter

(4) https://www.heise.de/security/meldung/Rekordhack-bei-Yahoo-war-drei-Mal-so-gross-3849303.html Datendiebstahl bei YAHOO

(5) https://de.wikipedia.org/wiki/Message-Digest_Algorithm_5 ein gebräuchliches, aber nicht mehr sicheres Hash-Verfahren

(6) MD5 online berechnen https://de.toolpage.org/tool/md5 

(7) Datenbank von MD5 Hashes https://crackstation.net/ Ihr könnt Euch unter (7) z.B. den MD5-Hash des Wortes “geheim” berechnen lassen (e8636ea013e682faf61f56ce1cb1ab5c) und hier bei (8) überprüfen, ob es dafür bereits einen Eintrag gibt.

(8) Passwort Hacking Tools, z.B. http://www.openwall.com/john/ 

2 Antworten auf „Autorisierung: Alpha Alpha 3 – 0 – 5“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.