Passwort-Sicherheit

Ist das Paßwort jetzt sicher? Keine Spur! Beim Einloggenin ein entferntes System per telnet, ftp, WWW oder rloginwird Ihr Paßwort normalerweise im Klartext übertragen.Jeder, der die Übertragung (durch den Einsatz von "Schnüffel-Software"z. B. auf einem PC im Netz) mitlesen kann, kennt danach Ihr Paßwort.Benutzen Sie das Internet zur Übertragung Ihres Paßwortes,so wissen Sie nicht, welchen Weg Ihr Paßwort bei der Übertragungnimmt, und wer eventuell die Übertragung mitlesen kann.

Um das Problem der Paßwortübertragung über Netzwerkezu lösen, wurden in den letzten Jahren verschiedene Methodenentwickelt. Zwei sehr ähnliche Ansätze sind Secure Shell (ssh),SecureRPC von SUN und Kerberos vom MIT. Die Ansätze vermeidendie Klartextübertragung des Paßwortes durch asymmetischeVerschlüsselung. Der ganze Mechanismus macht jedoch nur Sinn,wenn der Rechner, an dem man sitzt, über diesen Mechanismusverfügt. Muß man sich zuvor mit telnet oderrlogin auf einem anderen Rechner einloggen, so geht dasPaßwort nach wie vor zwischen dem eigenen Arbeitsplatz unddem Rechner im Klartext übers Netz.Eine Public-Domain-Variante ist S/Key. Sie benutzt eineSerie von Einmal-Paßwörtern, die auf beiden Seitenaus dem geheimen Paßwort des Benutzers errechnet werdenkann. Selbst die Neuinitialisierung der Einmal-Keys ist ohne dieGefahr des Abhörens möglich. Der Benutzer bleibt von diesem Mechanismus verschont, er benutzt nach wie vor ein Paßwort für verschiedene Systeme.

Gut für Eindringlinge sind Accounts mit Account-Namen als Passwort, Gast- und Demoaccounts ohne Passwort oder Accounts mit voreingestellten Passwörtern. Es sollte zudem verhindert werden, daß die Passwortdatei von Unbefugten gelesen werden kann.

Für die Auswahl eines Passworts gilt:

• keine Login-Namen
• keine anderen Namen
• keine Wörter oder Abkürzungen, die im Wörterbuch zu finden sind
• keine persönlichen Informationen (Geburtstag, Telefonnummer usw.)
• keine Variante der oben genannten schlechten Passwörter (z.B. rückwärts oder Großbuchstaben usw.)
• nicht nur Ziffern nutzen

Gut sind Passworte mit einer Mischung aus Groß- und Kleinbuchstaben, die mindestens sechs Zeichen lang sind und aus einer zufälligen Auswahl von Ziffern und Buchstaben bestehen.

Notwendig ist eine entsprechende Systemunterstützung für sichere Passwörter, insbesondere auch für ihre beschränkte Gültigkeitsdauer. Wenn möglich, sollten Passwortdateien überprüft werden, ob die Passworte sicher sind und regelmäß geändert werden. Programme dafü sind crack, crahs oder cops. Änderungsfaule Benutzer erwischt man relativ einfach. Es wird eine Kopie von /etc/shadow angelegt und nach einem bestimmten Zeitraum mit der aktuellen Version der Datei verglichen.

Passwort-Cracker sind nichts anderes als Programme, die mittels der Kombination von Wörterbuch-Attaken und der Brute-Force-Methode versuchen, Paßwörter zu erhalten. Auf Basis eines umfangreichen Wörterbuches testen sie in sehr hoher Geschwindigkeit Wort für Wort, Zeichenkette für Zeichenkette auf Passwörter. Basierend auf einer umfangreichen Wörterbuchdatei wird jeder Wörterbucheintrag mit der vom Betriebssystem benutzten Verschlüsselung verschlüsselt und mit einem Zielpasswort verglichen. Wenn es zu einer Übereinstimmung kommt, ist das Passwort geknackt. Gute Passwort-Knacker gehen aber noch weiter, indem sie Regeln verwenden, z. B.:

• jedes Wort auch rückwärts testen
• Groß- und Kleinschreibung kombinieren
• Wörter zusammenhängen (z. B. Wort vorwärts + Wort rückwärts)
• Einfügen von Zahlen am Anfang, Ende oder im Wort

Crack wurde von Alec D. E. Muffet, einem Unix-Software-Ingenieur aus Wales, geschrieben. Crack automatisiert die Methode, einen sinnvollen Bereich des Suchraums zu bearbeiten. Das Programm benutzt eine Reihe von Wörterbüchern als Quelle von möglichen Paßwörtern zusammen mit einer Menge von Regeln, mit denen diese Wörter variiert werden können (z.B. Großschreiben des ersten Buchstaben oder Umdrehen des Wortes). Zusammen mit einer äußerst effizienten Implementierung der crypt()-Funktion und der Rechenleistung heutiger Maschinen läßt sich mit crack eine ziemlich ausführliche und erfolgversprechende Suche in wenigen Tagen oder gar Stunden durchführen.

Mit dem Befehl crack copy_of_password_file wird der Crack-Vorgang gestartet. Da das Cracken von Dateien mit mehreren hundert Einträgen den Rechner nicht unbeträchtlich belastet, bietet Crack ein sehr nützliches Feature: Der Crackversuch läßt sich auf mehrere Rechner aufteilen, so daß die Belastung der Resourcen verteilt werden kann.

John the Ripper vermag sogar mit verschiedenen Verschlüsselungsschemen umzugehen, u.a. mit DES, Blowfish, MD5 und WinNT LM Hashes. Weiter versteht er verschiedene Modi:

• Wortliste: Es wird versucht, das Passwort anhand einer Wortliste und optionaler Regeln zu entschlüsseln. Solche Regeln können Buchstabendreher, Kombinationen aus Groß- und Kleinschreibung, zusammen gesetzte Wörter usw. beinhalten. Die maximal zulässige Passwortlänge kann angegeben werden.
• Einfacher Modus: John überprüft das Passwort gegen das Nutzerkennzeichen, Informationen des GECOS-Feldes und "verbreitete" Passwörter (aus der Datei /var/lib/john/password.lst)
• Inkrementeller Modus: Alle erdenklichen Zeichenkombinationen werden getestet. Die Passwortlänge kann wiederum beschränkt werden. Mit dieser Methode kann jedes Passwort entschlüsselt werden - vorausgesetzt, man bringt die nötige Geduld mit;
• Externer Modus: Hierbei handelt es sich um eine Schnittstelle, die den Einsatz anderer Crackmethoden ermöglicht.

Zurück

Inhaltsverzeichnis

Nächste

Diplomarbeiten zum Runterladen: