Neue Trends beim Passwort knacken

Rainbow Tables errät kurze Kennworte mit links

20.12.2007 | Autor / Redakteur: Lothar Lochmaier / Peter Schmitz

Die Vielzahl an personalisierten Zugangskennungen ins Unternehmen erzeugt vor allem eines: Eine hohe Frustration beim Anwender. Zudem werden die Angriffsmethoden der Passwortcracker immer professioneller. Sicherheitsverantwortliche sollten sich darauf einstellen – und vor allem den Basisschutz konsequent umsetzen.

Der Fall könnte als Musterbeispiel für eine bereits vorgefertigte Einladung zum Missbrauch von Passwörtern gelten. Im Computernetz einiger Behörden in Schleswig-Holstein und Hamburg hat es über Jahre hinweg offenbar eklatante Sicherheitslücken gegeben, berichtete kürzlich der Schleswig-Holsteiner Zeitungsverlag.

Davon betroffen waren offenbar nicht nur sensible Konto-Daten oder die vertrauliche Behördenpost, sondern gleich der gesamte E-Mailverkehr. Inzwischen sind die wesentlichen Mängel zwar beseitigt. Dennoch zeigt der Fall, wo die Schwachstellen liegen. So wurden bei den PCs in den Behörden die vorinstallierten Passwörter nie geändert. Zudem sei es mit Hilfe von Passwort-Crackern möglich gewesen, das Verwaltungsnetz von innen heraus auszuspähen, berichtet IT-Dienstleister Dataport.

Derartige Extrembeispiele zeigen auch, dass sich das Schutzniveau bereits erheblich vergrößert, sofern die Spezialisten einige Basisprinzipien richtig und konsequent anwenden. Einer Studie des Sicherheitsspezialisten RSA Security vom vergangenen Jahr ist indes bereits zu entnehmen, dass die Endanwender von der Vielzahl der Passwörter mehr als verunsichert sind, die sie für den Zugriff auf Applikationsprogramme, Websites und Portale eingeben sollen.

Als Konsequenz hieraus neigen die Benutzer zu riskantem Verhalten. Die Experten von RSA Security beklagen auch ein Missverhältnis zwischen benötigten und gerade noch einprägsamen Passwörtern. Immerhin 18 Prozent der Befragten müssen mit mehr als 15 Passwörtern umgehen, doch nur fünf Prozent können sich überhaupt derart viele Passwörter problemlos merken. Mehr als ein Drittel der befragten Anwender hat es sogar mit sechs bis 15 Passwörtern zu tun.

Passwort-Hashes ein Sicherheitsrisiko

Die Passwortflut generiert somit ein permanentes Managementproblem. Ganz nebenbei sorgt dies für ein erhebliches Arbeitsaufkommen bei den IT-Helpdesks. Das eigentlich gravierende Problem stellt jedoch nicht der erhöhte Arbeitsstress dar, sondern das latente Risiko, früher oder später zum Opfer von kriminell ausgespähten Passwortcrackern zu werden. Selbst Suchmaschinen wie Google liefern relativ bequeme Anleitungen, wie sich mit Hilfe von MD-5-Hashes bzw. den dafür bereit gestellten Crackern die Rechner ausspionieren lassen.

Oftmals kann dazu aber auch bereits die eine oder andere systembedingte Schwachstelle ausreichen. So demonstrierte etwa Sicherheitsspezialist Marcus Murray kürzlich eine Hash-Injection-Attacke auf einen Windows-Netzwerkdienst. Der Eindringling konnte sich aufgrund der Systemschwachstelle immerhin ganz bequem direkt und ohne Passwort mit dem Netzwerk verbinden.

„Bei dem Angriff handelt es sich offenbar um eine schlichte Replay-Attacke“, kommentiert Sicherheitsexperte Sebastian Schreiber, Geschäftsführer des Sicherheitsspezialisten Syss GmbH. Offensichtlich seien bei der Erstellung der Protokolle alte Paradigmen verletzt worden. Der Penetrationstester im Auftrag von Unternehmen sieht derartige Vorfälle durchaus als ernst zu nehmendes Problem an. Schreiber geht jedoch davon aus, dass diese sich nach Entdeckung rasch durch einen der üblichen Patches von Microsoft beheben lassen.

Rainbow-Tables ist ein sehr mächtiges Angriffstool für kurze Passwörter

Dennoch stärken derartige Szenarien nicht gerade das Vertrauen in den sicheren Zugang via Passwortschutz. Hinzu kommt, dass Cracking Tools wie Rainbow Tables mittlerweile so ausgefeilt sind, um kurze Passworte geradezu spielerisch leicht in Sekunden zu enttarnen. Nach offizieller Lesart sind derartige Tools zwar meist nur für professionelle und legal operierende Penetrationstester verfügbar. Der graue Markt ist indes ein weites Feld. Die Grenzlinien zwischen ethischem Hacking und kriminellen Missbrauch sind fließend.

„Rainbow Tables sind sehr mächtig, aber eben nur für kurze Passworte“, bekräftigt Sebastian Schreiber. Wie die Nutzer sich generell unter Windows und Linux dagegen schützen können, bringt der Penetrationstester auf eine einfache Formel. Wenn Unternehmen auf Passworte mit mehr als 15 Zeichen setzten, habe zumindest ein Angriff auf Basis von Rainbow Tables keinerlei Chance mehr, empfiehlt Schreiber.

Jedoch ist die Arbeit damit noch nicht getan. Das praxisnahe Handling für die Security-Spezialisten sollte auch flankierende organisatorische Maßnahmen berücksichtigen. Hierzu gehöre etwa die Ausbildung des Personals, die Vermeidung von Komplexität sowie eine gesunde Skepsis gegenüber den Versprechungen der Hersteller und Verkäufer, gibt der Sicherheitsexperte zu bedenken. Gefragt sei zudem ein konsequent betriebenes internes Qualitätsmanagement sowie die Inanspruchnahme möglichst neutraler Beratung beim Aufsetzen neuer Lösungskonzepte, aber auch bei der regelmäßigen Überprüfung des Status Quo.

Nicht jedes kleinere Unternehmen kann sich indes teure High Tech-Sicherheitssysteme wie Smartcards, Tokens oder eine aufwändige biometrische Authentifizierung leisten. Bedenkt man zudem die nicht unerheblichen Einstiegshürden in ausgefeilte Identity Management Systeme, gilt es auch Alternativen und flankierende organisatorische Maßnahmen sorgfältig abzuwägen, wie die unternehmensweite Datenverschlüsselung einschließlich aller Endgeräte sowie das Auslagern des sichereren Passwort-Managements an einem kompetenten Dienstleister.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009830 / Benutzer und Identitäten)