TechNet Blog Deutschland

News für IT-Pros & Neues aus dem TechNet-Team

Das ewige Problem mit dem Passwort „password“

Das ewige Problem mit dem Passwort „password“

  • Comments 1
  • Likes

Im Dezember 2010 wurde die Passwort-Datenbank des Gossip-Blogs Gawker gehackt. Das klingt zunächst noch nicht tragisch, wird aber umso ernster, wenn man sich die Reichweite des Blogs ansieht: Zu Gawker Media gehören insgesamt zehn verschiedene Webseiten, darunter so bekannte Blogs wie Gizmodo, Kotaku oder Lifehacker. All diese Seiten teilen sich eine gemeinsame Nutzer-Datenbank, schließlich soll der User dank Single-Sign-On auf jeder Seite des Zusammenschlusses ohne Probleme Kommentare hinterlassen kann. Die Passwort-Diebe, eine Gruppe namens Gnosis, konnten sich 1,25 Millionen Logindaten verschaffen. Gawker reagiert prompt und transparent: Unter anderem meldete jede Website im Verbund mehrfach den Angriff und riet Nutzern dazu, neue Passwörter zu wählen.

Das eigentliche Ausmaß wurde allerdings erst sichtbar, als die Daten kurze Zeit später im Bittorrent-Netzwerk auftauchten. Zwar waren die meisten Passwörter verschlüsselt, der Großteil war aber so einfach, dass simple Brute-Force-Attacken genügten. Das Blog des Wall Street Journal hat die 50 häufigsten Passwörter zusammengetragen und IT-Sicherheitsexperten werden die Hände über dem Kopf zusammenschlagen: Auf Platz 1 liegt „123456“, Platz zwei nimmt „password“ ein gefolgt von „12345678“. Weiter finden sich in der Datenbank so wenig exotische Kennwörter wie „internet“, „sunshine“, „starwars“ oder „letmein“. Der Fairness halber muss dazu gesagt werden, dass die in der Top 50 gesammelten Kennwörter sich aufgrund ihrer Einfachheit besonders leicht knacken ließen. Es darf aber getrost davon ausgegangen werden, dass komplexe Passwörter in der Gawker-Datenbank deutlich in der Unterzahl sind.

Der Hack zeigt eindringlich, wie wenig sich Nutzer noch immer um starke Kennwörter kümmern – egal welche Hürden man auferlegt, es scheint als würden die User immer den Weg des geringsten Wiederstandes wählen. Zugegebenermaßen, nicht jeder kann sich ein fünfzehnstelliges Kennwort mit Groß/Kleinschreibung, Zahlen und Sonderzeichen merken, aber ein wenig mehr als „abc123“ sollte schon möglich sein.

Richtig problematisch wird es, wenn man daran denkt, dass die Anwender die gleiche Kombination aus E-Mail und Passwort wahrscheinlich bei mehreren Diensten oder gar im Unternehmensumfeld verwenden. Hat man einmal einen Dienst geknackt, muss ein Skript die Kombinationen nur noch in den anderen Angeboten überprüfen.

Dabei bieten nahezu alle modernen Browser die Möglichkeit, das vergebene Passwort sicher abzuspeichern – und bei Bedarf auch wieder anzuzeigen. Ebenso gibt es zahlreiche Passwort-Safe-Tools, die sich teilweise sogar mit mobilen Geräten abgleichen können. Vor allem Unternehmen sollten sich klar machen, wie wichtig der Schutz der Zugangsdaten ist – schließlich nützen die stärksten Sicherheitsvorkehrungen nichts, wenn ein Angreifer sich mit einem legalem Account und einem schwachen Kennwort Zugang verschaffen kann.

Die Technik spielt den dabei den Angreifern in die Hände. War die Rechenleistung vor einigen Jahren noch weit davon entfernt, längere Passwörter per Brute Force schnell zu knacken, erledigen aktuelle Tools und Systeme diese Aufgaben deutlich schneller. Das liegt zum einen an leistungsfähigen CPUs mit mehreren Rechenkernen, aber auch an moderneren Knack-Anwendungen. Aktuelle Programme nutzen neben der CPU auch die Rechenkraft der Grafikkarte. Laut einem Report des Georgia Tech Research Institutes eignen sich die GPUs ideal für die parallelen Rechenaufgaben, mit denen sich Passwörter knacken lassen. Deutlich schneller gehen Dictionary-basierte Attacken von statten, sprich, wenn das eigene Passwort in einem Wörterbuch auftaucht. Dieser Trend wird sich nicht umkehren, nicht zuletzt aufgrund der Möglichkeiten von Cloud-Computing. Bereits Ende 2009 hat ein Forscher erfolgreich demonstriert, wie man Amazons Cloud-Dienst EC2 nutzen kann, um ein Passwort zu knacken. Zieht man die dazu in Betracht, welche Rechenleistung hinter Botnets wie Conficker, Mariposa oder BredoLab steckt, wird klar, wozu sich diese Systeme neben dem Spam-Versand noch einsetzen lassen.

Es liegt also an den Nutzern, es den Angreifern möglichst schwer zu machen. Grundsätzlich sollte man natürlich möglichst lange Kennwörter verwenden, unser eigenes Security-Center rät zu 14 Zeichen oder mehr. Die Kollegen liefern dazu einen Ratgeber, wie man aus einer Passphrase sinnvoll ein möglichst langes, einfach zu merkendes Passwort erstellen kann.

Eine andere Möglichkeit sind Programme zur Passwortverwaltung. Kostenlos ist beispielsweise KeePass, eine Open-Source-Lösung. Diese lässt sich zudem über Plugins erweitern, etwa um ein On-Screen-Keyboard oder einen Passwort-Generator nachzurüsten. Die Software unterstützt auch eineportable Installation, etwa auf einem USB-Stick, um die eigenen Passwörterimmer verfügbar zu haben. Alternativ kann man die Datenbank auch an einen Dienst wie Dropbox oder Live-Mesh auf verschiedenen Systemen verfügbar machen.

Eine andere Alternative für Nutzer mit verschiedenen Systemen ist LastPass, oder vielmehr die kostenpflichtige Premium-Version davon. LastPass kann die gespeicherten Kennwörter zwischen verschiedenen Rechnern synchronisieren. Das klappt nicht nur mit Windows oder Mac OS; sondern auch mit mobilen Betriebssystemen wie Windows Phone, Android oder iOS.

Ideal für Unternehmen ist der in einem älteren Blog-Beitrag beschriebene Weg von Psylock. Deren Verfahren ersetzt das Passwort durch die Eingabe eines ganzen Satzes, wobei nicht die eingegebenen Zeichen überprüft werden, sondern das Tippverhalten.

Übrigens: Wer überprüfen will, ob seine eigene E-Mail in der veröffentlichten Gawker-Datenbank war, kann dies über ein Widget des Blogs Slate abfragen.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments
  • Sehr guter Teil im Blog zum Thema Schwachstellen in Passwords, mit exzellenten Hilfestellungen.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment