SPOC-Web Icon, semantic Knowledge Management
Connect to Facebook

How to... get Things done

Hacking von Passworten und Phrasen

Natürlich haben Hacker auf den Einsatz von Passphrasen reagiert. Ihre Tools enthalten inzwischen auch fertige Hashes für Phrasen.

Wie gehen Hacker vor?

Hacker haben eine schwierige Aufgabe. Deshalb setzen sie eine Batterie von Techniken ein, um ihre Chancen zu erhöhen. Dies reicht von angewandter Psychologie und Statistik bis zum Einsatz vollständig automatisierter Programme zum systematischen Hack von Konten oder Webservern.

  • Hacker nutzen Statistiken aus, um die Anzahl der Passworte, die sie testen müssen zu verringern. Das reicht von Häufigkeitsverteilungen von Buchstaben in verschiedenen Sprachen bis hin zu Listen von bekannten Passworten und ihren Häufigkeiten. Je mehr ein Benutzer den Modellen des Hackers entspricht, desto leichter hat es dieser.
  • Sie spähen die Gewohnheiten von Administratoren aus und greifen gezielt persönliche Schwächen oder Lücken in Prozessen an
  • Auch wenn Passworte verschlüsselt oder gehashed sind, können sie durch Abgleich mit sogenannten Rainbow-Tabellen weitgehend wiederhergestellt werden.

Zudem gibt es eine große Menge von Toolkits zum Hacking, welche den Einbruch wesentlich erleichtern. 

 

Wie sollten Webseiten Passworte schützen?

Statt sich auf individuelle Benutzer zu konzentrieren, ist es für Hacker lohnenswerter, Webseiten mit Login-Daten anzugreifen.

Wenn es ihnen gelingt, können Sie Dateien oder Datenbanken mit Benutzerdaten erbeuten, wie es regelmäßig geschieht. In den Nachrichten tauchen nur besonders spektakuläre Fälle auf, die unzähligen täglichen Hacks werden gar nicht erwähnt (Laut einer Studie von Sophos wurden 2012 ca. 30000 Webseiten täglich gehacked, diese interaktive Grafik veranschaulicht den zunehmenden Trend). Betroffen sind Web-Dienste aller Art, besonders spektakulär sind aber große Namen wie Yahoo, Facebook, EBay etc.

Auf folgende Kriterien sollte man achten, bevor man ein Konto bei einem Online-Dienst eröffnet:

  • Anzahl der erlaubten Login-Fehlversuche: Dies ist der wichtigste Schutz: Manche Webseiten erlauben beliebig viele Versuche. Das ermöglicht systematisches Ausprobieren ("Brute Force") von Passworten.
  • Wahl des Usernamens: Viele Webseiten verwenden die EMail-Adresse. Das ist problematisch, weil sie über viele Webseiten hinweg wiederverwendet werden kann
    • Zudem taucht die Adresse ggf. auch in Beiträgen auf, so dass sie von Robots abgegriffen und in Listen gesammelt werden kann
    • Andererseits verwenden viele Menschen gern denselben Benutzernamen, so dass der Aufwand besser in gute Passworte gesteckt werden sollte.
  • Verbieten von einfachen oder häufigen Passworten: Das NIST empfielt den Betreibern von Web-Seiten, den Benutzer zur Eingabe von mindestens 6 Zeichen aus allen Zeichenklassen zu zwingen, sowie einfache Worte und besonders häufige Passworte zurückzuweisen.
  • Notfall-Prozeduren: Wird die Website gehacked, sollte es weitere Maßnahmen geben, um die Benutzer-Daten zu schützen:
    • Sofortige Benachrichtigung aller potenziell betroffenen Benutzer über den Bruch der Sicherheit, so dass sie ihre Daten ändern können. Leider findet gerade dies oft nicht statt, so dass ggf. kompromittierte Passworte weiter in Benutzung bleiben.
    • Hashing der Passworte. Unglaublicherweise speichern viele Amateur-Webseiten Passworte immer noch im Klartext. Selbst eine Verschlüsselung ist nicht ausreichend! Ein Hacker hat beliebig viel Zeit, um sie zu entschlüsseln und mit der Häufigkeitsverteilung der Passworte ist es einfach.
    • Salt & Pepper: Selbst einfaches Hashing ist nicht ausreichend, denn auch hier erlaubt die Statistik Rückschlüsse. Jedes Passwort sollte vor dem hashing mit einer individuellen Zufallszahl, dem sogenannten "Salt", sowie einem einmaligen sogenannten 'Pepper' verknüpft werden, um statistische Rückschlüsse auf die Passworte zu unterbinden.

Persönlicher Umgang mit Passworten

Einer der größten Fehler auf Seiten der Benutzer ist es, dasselbe Passwort auf anderen Sites zu verwenden. Wird eine Webseite gehacked, kann der Hacker unbemerkt(!) auf Allen anderen Seiten seine Identität annehmen. Daraus folgt quasi zwangsläufig der Einsatz von Passwort-Managern, denn eine große Anzahl von sicheren Passworten kann man nicht sicher handhaben.

Kategorien von Passworten

Naiv betrachtet sind alle Passworte unbekannt und damit gleich sicher, aber wenn man sich professionell mit diesem Thema beschäftigt (und Hacker tun das), dann ergeben sich aus psychologischen Gründen folgende Kategorien von Passworten (mit aufsteigender Entropie/Sicherheit):

  • Häufige Passworte: Wie dieser Report zeigt, lassen sich schon mit "123456" oder "password" mehr als 1% aller Konten hacken. Mit weiteren 1000 Passworten erreicht man über 13% aller Accounts. Die dazu gehörigen EMail-Adressen lassen sich kaufen. Webseiten sollten die häufigsten verwendeten Passworte aktiv verbieten.
  • Einfache Worte: ca. 300 bis zu 10.000 der häufigsten Worte genügen, um ein Konto in wenigen Minuten zu knacken, sofern man beliebig viele Versuche oder den Hash hat
  • Worte mit Zahlen oder Sonderzeichen: Bei kurzen passworten erhöht dies die notwendige Zeit nur um eine Größenordnung. Bei langen Pass-Phrasen ist es aber sehr effizient.
  • Selbstgewählte Buchstaben-Zahlen-Kombinationen: Diese sind leider nicht zufällig genug. Gerade die manuelle Auswahl einen möglichst zufällig aussehenden Wertes verringert die Zufälligkeit, weil auffällige, aber mögliche Kombinationen aktiv vermieden werden. Probieren Sie es einmal aus und lassen Sie jemanden eine zufällige Reihe von Münzwurf-Ergebnissen aus Kopf (K) oder Zahl (Z) aufschreiben. Sie werden wenige KKK oder ZZZZ finden, obwohl diese nicht so selten sind (1/8 bzw. 1/16).
  • Passworte generiert aus kryptographischen Zufallszahlen: Nur diese sind ausreichend zufällig, um sicher eingesetzt werden können. Dazu reichen aber z.B. die in vielen Programmiersprachen eingebauten Generatoren meist nicht aus, da sie einerseits zu kleine Zahlen erzeugen und andererseits die Ziffern dieser Zahlen nicht völlig unabhängig voneinander sind. Auch hängen mehrere direkt hintereinander erzeugte Zahlen oft enger zusammen, so dass die Zufälligkeit wieder eingeschränkt ist.

Ein Strauss von Techniken

Entsprechend den verschiedenen Passwort-Typen setzen Hacker sehr unterschiedliche Programme und Techniken ein, um sie zu entschlüsseln. Scripte und ganze Programm-Pakete werden zusammengestellt, um z.B. Viren zu bauen oder den Prozess des Cracking zu automatisieren, während die Hacker sich zurücklehen und nur noch steuern müssen. Sind die Passworte einmal entschlüsselt, werden sie oft zunächst gar nicht verwendet, sondern ggf. an den Höchstbietenden weiterverkauft. Erst wenn sich eine Gelegenheit ergibt, werden sie eingesetzt.

Dieses Vorgehen ist vergleichbar mit dem Horten von Hintertüren durch die CIA und andere Geheimdienste. Viele bekannte Fehler in Anwendungen und Betriebssystemen wurden NICHT an die Hersteller der Software zurückgemeldet, so dass sie gefixed werden können. Stattdessen werden sie für den möglichen Anwendungsfall aufbewahrt. Ein großes Paket von Dateien und Programmen von der CIA wurde selbst von Hackern entdeckt und an den Meistbietenden verkauft. Über diesen Umweg ist es auch zu WikiLeaks gelangt, wo es aufgrund seines Umfangs bis heute ausgewertet wird.