Passwort knacken – so arbeiten die Profis
Dieser Artikel wurde abgelegt in: Singlebörse Vergleich Oktober 2010
Von Passwörtern und anderem Hacken
Wer hat das nicht schon einmal gehört? „Mein Passwort ist sooo sicher, das kann keiner hacken!“ In manchen Fällen mag es zwar stimmen, dass das eigene Passwort so lang und komplex ist, dass es sich nicht mehr in vertretbarer Zeit erraten lässt. Damit ist aber nur ein kleiner Teil der möglichen Angriffe ausgehebelt. Denn Passwörter besitzen eine ihnen eigene Schwäche, die nur mit Mühe zu umgehen ist: Ihre Sicherheit steigt sowohl mit der Länge als auch mit der Anzahl möglicher Zeichen. So ist ein Passwort mit acht Zeichen Länge sicherer als eines mit einer maximalen Länge von vier Zeichen, und ein Passwort für welches die Zeichen A-Z, a-z, 0-9 und eine Handvoll Sonderzeichen verwendet werden ist wesentlich sicherer als eines, das nur aus Ziffern besteht. In beiden Fällen jedoch fällt es den meisten Nutzern schwer, sich dieses Passwort zu merken.
Zugegeben, Passwörter wie „EtyzHalrH0XAt_VmTP11“ sind auch alles andere als einprägsam. Das führt in der Praxis oft zu gleich mehreren Problemen: Aus Bequemlichkeit wählen die Nutzer wieder kurze Passwörter, Passwörter die zwar lang aber doch wieder leicht zu erraten sind, oder benutzen ein kryptisches Passwort für zahlreiche unterschiedliche Dienste. Im schlimmsten Fall werden alle diese „Don’ts“ miteinander kombiniert und beispielsweise überall als Passwort das Geburtsdatum, die Vorwahl oder die ec-Karten-PIN verwendet. Das ist zwar bequem, vergrößert den potentiellen Schaden im Ernstfall aber ganz erheblich.
Passwörter und Alternativen dazu
Die Industrie hat für dieses Problem zahlreiche Lösungen geschaffen, vom Security Token, das man nur noch mit sich führen muss, über den Fingerabdruckscanner bis hin zur hochgezüchteten Chipkarte. Der große Nachteil all dieser Systeme ist jedoch, dass zusätzlicher Aufwand und damit teils erhebliche Zusatzkosten entstehen. Zudem zeigt die Erfahrung, dass Nutzer gerne Chipkarte oder Security Token vergessen oder gar verlieren – dann ist guter Rat teuer. Technisch ist dies zwar kein Problem, aber es entsteht wieder Aufwand und damit Kosten, die die Betreiber solcher Systeme gerne vermeiden.
Diese Nachteile haben dafür gesorgt, dass auch heute noch ein großer Teil aller Identifizierungen mittels Nutzername und Passwort abgewickelt wird. Um diese sensiblen Informationen zu verwalten, gibt es diverse Software auf dem Markt, die teils sogar kostenlos und als Open Source vorliegt. Je nach Ansatz verwaltet so ein Tool nur Passwörter und Login Daten in der Art eines Tresors, oder integriert sich in diverse Anwendungen wie zum Beispiel den Browser und füllt dort Login Formulare automatisch aus. Mit diesen Werkzeugen ausgerüstet braucht der User nicht mehr jedes Passwort auswendig zu lernen, sondern nur noch die Kombination zu seinem Datensafe, wo er die eigentlichen Login Daten nachschauen kann.
Angriffe auf elektronischer und menschlicher Ebene
Fakt ist und bleibt dabei, dass Passwörter vielen Angriffsmöglichkeiten ausgesetzt sind. Die Spannbreite der Angriffe ist dabei enorm, und so manches Mal versetzt die Beschreibung der Methode zum erfolgreichen Ausspähen eines Passwortes selbst erfahrene PC-Nutzer in Erstaunen.
Der einfachste Weg, ein Passwort in Erfahrung zu bringen, ist leider immer noch, den Nutzer schlicht und einfach zu fragen. Viele Menschen geben Passworte bedenkenlos heraus, wenn ihnen nur plausibel gemacht wird, dass man das Passwort zur Erledigung einer Aufgabe benötige. Ein klassisches Szenario aus diesem Bereich: Der Angreifer ruft nach der allgemeinen Bürozeit im Büro an und gibt sich als Mitarbeiter aus, der von daheim noch schnell etwas Wichtiges für die Präsentation am nächsten Morgen vorbereiten will, dummerweise aber sein Passwort vergessen hat. Ob der Kollege wohl eben mal auf dem Aufkleber unter der Tastatur oder am Monitor nachschauen könnte? Diese Methode wird Social Engineering genannt, denn sie basiert darauf, mittels Einfühlungsvermögen ein plausibles Szenario aufzubauen, in dem der Angerufene dem Angreifer helfen möchte, eine aus eigener Erfahrung unangenehme Situation zu meistern.
Gut geraten ist halb ermittelt
Ist das gesuchte Passwort auf diesem Weg nicht in Erfahrung zu bringen, gibt es weitere Möglichkeiten, es herauszufinden. Je nachdem, wofür das Passwort benutzt wird, kann dabei auch eine simple Brute-Force-Attacke zum Ziel führen. Hierbei werden, wie der Name schon andeutet, mit „brachialer Gewalt“ einfach alle Kombinationen der erlaubten Zeichen durchprobiert. Da je nach Passwortlänge und der Anzahl der erlaubten Zeichen die Menge möglicher Kombinationen astronomische Größenordnungen erreicht, ist dieser Weg jedoch nur selten von Erfolg gekrönt. Ausgenommen es handelt sich um Passworte wie „1234“ oder ähnliche leicht zuerratende Kombinationen. Ein weiterer wirksamer Mechanismus zur Unterbindung solcher Angriffe ist die Begrenzung der möglichen Login-Versuche, entweder in Kombination mit einer dauerhaften Sperre nach einigen Fehlversuchen (wie zum Beispiel bei der ec-Karte und der zugehörigen PIN) oder bei weniger kritischen Systemen einer IP-basierten Sperre mit Timeout, die nur wenige Login Versuche innerhalb eines bestimmten Zeitraumes erlaubt.
Ist die Brute-Force-Attacke nicht erfolgreich oder nicht durchführbar, so kann auch ein Wörterbuch-Angriff zum Erfolg führen. Dabei wird mittels eines umfangreichen Wörterbuches eine Vielzahl von möglichen Passworten generiert. Der Gedanke dahinter ist, dass Nutzer oftmals Passworte wählen, die aus natürlichen Begriffen und etwas Beiwerk bestehen. Oftmals werden dazu Namen und Zahlen genutzt, beispielsweise der Vorname der Tochter und der Geburtstag oder ähnlich leicht zu merkende Kombinationen. Diese Art Passwort erlaubt einen weiteren, noch ausgefeilteren Angriff: „custom-crafted passwords“.
Bei diesem Angriff werden zunächst möglichst viele Informationen über den Passwortnutzer gesammelt, beispielsweise von der eigenen Website, von Vereinen in denen er sich engagiert, aus sozialen Netzwerken und dergleichen mehr. Je nachdem, wie gut der Passwortnutzer bekannt ist, kann auch beispielsweise der Hausmüll und das eigene Auto (z. B. das Kennzeichen) als weitere Datenquelle genutzt werden. Aus all diesen Informationen wird nun ein sehr spezifisches Wörterbuch erstellt, das wiederum die Basis für einen oben bereits beschriebenen Wörterbuchangriff darstellt. Schon hier ergibt sich eine erhebliche Trefferquote.
Die Angreifer sind meist kreativer als die Verteidiger
Ist das anzugreifende System jedoch auch gegen diesen Angriff gefeit, so kommen stärkere Geschütze zum Einsatz. Je nachdem, wie Zielsystem und Passworteingabe beschaffen sind, kann beispielsweise durch Observierung die Eingabe des Passwortes beobachtet und es so ermittelt werden. Auch andere nicht-elektronische Eingriffe sind möglich, in schweren Fällen von Industriespionage wird beispielsweise auch nicht vor Erpressung Halt gemacht. Auch die Einschleusung von Vertrauenspersonen und das Aushorchen des Passwortbesitzers sind durchaus denkbar und schon vorgekommen. Über die Einschleusung von Personen kann auch das zur Passworteingabe benutzte System kompromittiert werden, beispielsweise indem ein Tastaturlogger montiert wird. Entweder im PC-Gehäuse oder als unauffälliger kleiner Zwischenstecker zwischen Tastatur und PC angebracht, zeichnet er alle Tastatureingaben auf.
Auch auf Softwarebasis kann der PC ausspioniert werden. Die Verfahren reichen hier von der Suche nach gespeicherten Passwörtern in Standardsoftware wie z. B. häufig verwendeten Datentresoren, Browsern und anderen weitverbreiteten Programmen bis hin zur Übertragung von Bildschirminhalten an den Angreifer. Das Spionageprogramm kann dabei auf zahlreichen Wegen auf den PC gelangen, entweder durch direkte Installation, wenn der PC unbeaufsichtigt zugänglich ist, bis zur Installation über Sicherheitslücken in Browsern, E-Mailprogrammen und anderer Software, unbemerkt bei der täglichen Arbeit. Gerade in diesem Bereich herrscht ein ständiges Kopf-an-Kopf-Rennen zwischen den Herstellen von Antivirenprogrammen und weiterer Sicherheitssoftware auf der einen und kriminellen Elementen auf der anderen Seite. Kaum ein Tag vergeht ohne die Meldung diverser neuer Sicherheitslücken. Dabei zeigt die Art und Weise, wie Sicherheitslücken ausgenutzt werden können, ein enormes Maß an Kreativität. Es ist daher nicht zu erwarten, dass sich die Problematik in absehbarer Zeit entschärft, eher ist eine weitere Zunahme der Angriffe auf IT-Systeme zu erwarten.
Fazit
Bisher beweist sich stets aufs Neue: Es gibt keinen Königsweg für die IT-Sicherheit, es muss immer ein in sich stimmiges, abgerundetes Maßnahmenpaket zum Einsatz kommen, das möglichst viele Angriffsvektoren abdeckt und auch für den Fall neuer, bisher unbekannter Angriffe Maßnahmen vorsieht, um den entstehenden Schaden möglichst weit zu begrenzen. Auch mit einem großen Budget ist keine hundertprozentige Sicherheit zu schaffen, alle Beteiligten sind gefordert, sowohl beschlossene Maßnahmen umzusetzen, als auch den eigenen Kopf zu benutzen. Häufig stellt sich nämlich der Mensch als der schwächste Glied der Sicherheitskette heraus, wenn trotz Virenscanner, Mailfilter und Arbeitsanweisung doch ein ausführbarer E-Mailanhang zum Zuge kommt und das Firmennetzwerk infiziert.
