Passwörter / Passwort-Verfahren - Prof. Dr. Norbert
Pohlmann
Passwörter / Passwort-Verfahren
Inhaltsverzeichnis
Was ist ein Passwort-Verfahren?
Passwörter / Passwort-Verfahren Authentifikation bezeichnet einen Prozess, in dem überprüft wird, ob „jemand“ echt ist. Daher bedeutet Authentifikation die Verifizierung (Überprüfung) der Echtheit beziehungsweise der Identität des Nutzers. Für die Authentifizierung der Nutzer durch IT-Systeme sind prinzipielle unterschiedliche Authentifizierungsverfahren möglich.
Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren.
Hierbei werden ein Nutzername und ein Passwort zwischen dem Nutzer und dem IT-System im Vorfeld abgesprochen. Der Nutzer weist dann beim Zugriff auf das IT-System seine digitale Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet. Das Passwort-Verfahren ist eine Authentifikation mit dem Nachweis der Kenntnis von Wissen – des Passworts. Falls das Passwort falsch war, wird der Zugang abgelehnt. Passt das Passwort zum Nutzernamen, wird der Zugang zum IT-System gewährt.
Das IT-System hat dazu eine Liste von Nutzernamen und Hashwert des mit Zufallszahlen verknüpften Passworts von allen zugreifenden Nutzern zur Verfügung, um den Nachweis des Wissens überprüfen zu können.
Die Stärke dieses Authentifizierungsverfahrens beruht letztlich auf der Geheimhaltung und der Qualität des Passwortes. Eine besondere Schwäche des Passwortverfahrens ist unter anderem, dass gestohlene Zugänge, die durch Dritte missbraucht werden, von einem IT-System nicht direkt als Angriff erkannt werden können. Aus diesem Grund werden die Passwörter auch nur als Hashwerte gespeichert.
Erraten des Passwortes durch Social Engineering oder Ausprobieren (Brute Force-Angriff)
Ein Angreifer kann unterschiedliche Angriffsmethoden durchführen:
Er kann versuchen, das Passwort mithilfe der Kenntnis des persönlichen Umfelds der entsprechenden Person zu erraten (Fußballfan in Gelsenkirchen=Passwort „Schalke04“).
Er kann Passwörter, die oft genutzt werden, ausprobieren (Wörterbuchangriff).
Er kann durch systematisches Durchprobieren aller möglichen Kombinationen (Brute-Force-Angriff) das richtige Passwort ermitteln.
a) Erraten des Passworts durch Social Engineering Der Angreifer kann mithilfe von Social Engineering das Umfeld einer Person ausspionieren. Er stellt über die sozialen Netzwerke fest, welches Auto die Person fährt, ob sie einen Partner hat und wie der Partner mit Vornamen heißt, welchen Verein (Fußballverein, Handballverein, …) sie gut fndet, wie der Hund und die Katze heißen usw. Aus diesen Umfeld-Informationen überlegt der Angreifer sich ein mögliches Passwort und probiert dieses aus. Die Wahrscheinlichkeit des Erratens des Passworts eines bestimmten Nutzers auf der Basis von Social Engineering ist hoch. Aber auch das direkte Fragen des Nutzers nach seinem Passwort, zum Beispiel mit der Begründung, der Administrator zu sein, gehört zum Social Engineering.
b) Erraten des Passworts durch Ausprobieren Bei Erraten des Passworts durch Ausprobieren gibt es zwei Varianten, die unterschieden werden
Wörterbuchangriff Eine Variante des „Erratens des Passworts durch Ausprobieren“ ist der sogenannte Wörterbuchangriff. Bei einem Wörterbuchangriff oder auch „Dictionary Attack“ wird ein unbekanntes Passwort mithilfe einer vorhandenen Passwortliste ermittelt. In der Passwortliste stehen Passwörter (Wörter, Phrasen, Zeichenketten, …), die oft von Personen genutzt werden. Das sind gängige Wörter (Schalke04, Porsche911, Sabine906090, …), aber auch neu kreierte sinnvolle Buchstabenkombinationen. Für einen Angriff werden alle Passwörter in der Passwörterliste nacheinander automatisch ausprobiert.
Bei dieser Angriffsmethode wird davon ausgegangen, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Dies ist erfahrungsgemäß viel zu oft der Fall. Die Verwendung einer Passwortliste ist erfolgversprechend, da viele Nutzer im Internet dieselben unsicheren Passwörter verwenden und die Anzahl der möglichen Passwortkandidaten im Vergleich zu einem Brute-Force-Angriff deutlich geringer ist. Häufg werden Passwortlisten verwendet, die aus geklauten/geleakten Datensätzen (Zuordnung von Nutzernamen und Passwörtern) von Online-Plattformen extrahiert werden. Eine Möglichkeit, einen erfolgreichen Wörterbuchangriff zu verhindern, ist, keine leicht zu erratenden Passwörter zu verwenden. Es wäre zum Beispiel auch möglich zu überprüfen, ob ein ausgewähltes Passwort eines Nutzers in einem bekannten und verfügbaren Wörterbuch steht, das von Angreifern verwendet wird. Wenn ja, muss ein neues Passwort gesucht werden. Aber auch ein Fehlbedienungszähler bei der Eingabe von Passwörtern hilft, die Wahrscheinlichkeit eines erfolgreichen Angriffs deutlich zu verringern. Der Wörterbuchangriff kann gegen unbekannte Passwörter, aber auch gegen unbekannte Nutzernamen durchgeführt werden.
Brute-Force-Angriff Eine weitere Variante des „Erratens des Passworts durch Ausprobieren“ ist der sogenannte Brute-Force-Angriff. Bei diesem Angriff probiert der Angreifer jede mögliche Kombination eines Passworts einfach aus. Alle Kombinationen von möglichen Passrörtern werden nacheinander automatisch ausprobiert, bis das richtige Passwort gefunden ist. Diese Verfahren führen immer zum Erfolg, wenn nicht die Anzahl der möglichen Kombinationen, die ausprobiert werden müssen, zu groß sind und daher praktisch nicht in einer angemessenen Zeit umgesetzt werden kann. Daher sollte die Anzahl der möglichen Zeichen des verwendeten Alphabets so groß wie möglich sein und das Passwort eine bestimmte Länge haben, damit dieser Angriff nicht erfolgreich umgesetzt werden kann. Auch hier hilft ein Fehlbedienungszähler bei der Eingabe von Passwörtern, den Angriff zu verhindern.
Im Folgenden werden Passwortregeln aufgestellt, die helfen, die Wahrscheinlichkeit von erfolgreichen Angriffen zu reduzieren:
Das Passwort nirgends notieren und niemandem mitteilen (Verhinderung eines Social-Engineering-Angriffs)
Das Passwort darf nur dem Nutzer bekannt sein (Verhinderung, dass jemand anders mit dem Passwort zugreifen kann)
Mindestlänge: zehn Stellen, besser zwölf Stellen (Verhinderung des Brute-Force-Angriffs – mehr Kombinationen – rechnerische Sicherheit)
Es sollen Klein- und Großbuchstaben in Kombination mit Zahlen und Sonderzeichen verwendet werden (Verhinderung des Brute-Force-Angriffs – mehr Kombinationen – rechnerische Sicherheit)
Die verwendeten Zeichen sollen auf den ersten Blick eine sinnlose Zusammensetzung sein (Verhinderung des Wörterbuchangriffs)
Ein Passwort nur für einen Dienst verwenden (Verhinderung, dass der Diebstahl eines Passworts die Sicherheit aller IT-Dienste betrifft)
In angemessenen Zeitabständen ändern – ein sehr gutes Passwort ist besser als häufiges ändern (Verhinderung des Brute-Force-Angriffs/Social-Engineering-Angriffs)
Sicherheitsmechanismus: Fehlbedienungszähler Gegen Brute-Force-Attacken hilft eine Limitierung bei der Eingabe der Passwörter. Echte Nutzer geben ihr Passwort in der Regel spätestens im dritten Versuch richtig ein. Nach einem dritten Fehlversuch sollten IT-Systeme eine Pause vor der nächsten Eingabe erzwingen. Diese kann zunächst wenige Sekunden betragen, sollte aber immer länger werden. Nach einer unrealistischen Zahl von falsch eingegebenen Passwörtern sollte der Zugang gesperrt werden.
Sicherheitsmechanismus: Passwörter überprüfen Immer dann, wenn ein Passwort erstellt wird, werden als erstes die Passwortregeln überprüft. Danach wird zusätzlich noch ein Wörterbuchangriff durchgeführt, da auch Passwörter, die alle Regeln erfüllen, trotzdem in einem Wörterbuch gespeichert sein können und daher ein erfolgreicher Angriff durchgeführt werden kann.
Abfangen von Nutzername / Passwort während der Eingabe / Übertragung
Bei diesem Angriff versucht der Angreifer, das Passwort während der Übertragung im Klartext mitzulesen. Dies ist prinzipiell immer dann möglich, wenn das Passwort von dem IT-System des Zugreifenden zu einem IT-System, auf dem der Zugriff stattfnden soll, über ein Kommunikationsnetz übertragen werden muss.
Aus diesem Grund darf ein Passwort nie im Klartext übertragen werden, weil sonst der Angreifer dieses mitlesen und missbräuchlich verwenden kann. Der Angreifer kann das Mitlesen im Klartext an Übertragungsleitungen und Routern im Gebäude oder im Internet umsetzen. Eine weitere Möglichkeit ist ein sogenannter Man-in-the-Middle-Angriff. Der Angreifer steht dabei physisch oder logisch zwischen den beiden Kommunikationspartnern und hat die vollständige Kontrolle über den Datenverkehr und kann die Passwörter mitlesen. Auch dieser Angriff muss erkannt und verhindert werden.
Sicherheitsmechanismus: Verschlüsselung Um das Mitlesen der Passwörter zu verhindern, wird die Kommunikation zwischen dem IT-System des zugreifenden Nutzers und des IT-Systems, auf dem der Zugriff stattfnden soll, SSL/TLS verschlüsselt. Die SSL/TLS-Verschlüsselung sorgt zum einen für die Verifzierung der richtigen Domäne, das heißt, der Nutzer kann mithilfe des Domänen-Zertifkats einer Webseite sicher überprüfen, auf welche Webseite er zugreift „Transport Layer Security (TLS) / Secure Socket Layer (SSL)“. Durch die dynamische Verschlüsselung kann verhindert werden, dass das Passwort im Klartext gelesen werden kann. Eine weitere Möglichkeit für den Schutz eines Remote-Zugriffs ist die Nutzung von Secure Shell (SSH).
Entwenden der Liste von Nutzernamen und Passwörtern auf dem IT-System
Bei diesem Angriff hat der Angreifer die Möglichkeit, auf die Liste von Nutzernamen und Passwörtern auf dem IT-System zuzugreifen. Danach kann er sich mit jedem Nutzernamen und dem entsprechenden Passwort erfolgreich anmelden. Wenn der Angreifer die Liste kennt, kann er sofort die entsprechenden Nutzerzugriffe erlangen. Wenn zum Beispiel Amazon die Passwörter in einer derartigen Liste speichern würde und Angreifer Zugriff darauf erlangen würden, wäre der mögliche Schaden sehr hoch. Aus diesem Grund werden die Passwörter nie im Klartext auf dem IT-System gespeichert
Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung
Das einfachste und prinzipiell unsicherste, aber meist verwendete Authentifizierungsverfahren ist das Passwort-Verfahren. Der Nutzer weist beim Zugriff auf das IT-System die Echtheit seiner Identität (Nutzername) nach, indem er das abgesprochene Passwort sendet.
Author
Prof. Norbert Pohlmann
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Passwörter / Passwort-Verfahren Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten
