Sichere Passwörter - kleines Tutorial - Druckversion +- net-board.net Archiv (https://net-board.net) +-- Forum: Pause vom Designen und Coden (https://net-board.net/forumdisplay.php?fid=10) +--- Forum: Webseiten: Verwalten und Betreuen (https://net-board.net/forumdisplay.php?fid=16) +--- Thema: Sichere Passwörter - kleines Tutorial (/showthread.php?tid=2188) |
Sichere Passwörter - kleines Tutorial - cHAp - 25.07.2003 Immer wieder höre ich, dass User-Accounts "gehackt" wurden. Sei es im Chat, oder bei E-Mail Postfächern. Aus diesem Anlass will ich hier nun einmal die Angriffsmöglichkeiten aufzählen. Denn wenn ich meinen Feind (ich nenne ihn ab nun Cracker - böswilliger Hacker) kenne, kann ich mich besser vor ihm schützen. Lokale Attacke Dies ist die simpelste Version ein Passwort zu knacken. Der Cracker ist ein Bekannter des Angegriffenen. Er besucht ihn und sieht, was auf den Zettelchen, die am oder um den PC sind, draufsteht. Oder der Cracker schaut dem Angegriffenen beim Login über die Schulter (dies kann auch in einem Internet-Café geschehen). Man mag es kaum glauben und diese Form der Attacke als hirnrissig ansehen, aber die meisten Hacks auf Firmennetze geschehen intern, ergo auf diese Weise! Server-Attacke Der Cracker nutzt eine Sicherheitslücke des Webservers, um sich Zugang zu dessen administrativen Bereichen zu beschaffen. Dies wird "exploiten" (engl. ausnutzen) genannt. Zu bedenken wäre hierbei, dass, wenn ein Cracker den Webserver (Chatserver, Mailserver, ...) knackt, er bestimmt besseres zu tun hat, als einen pisseligen Account zu hacken. Damit ist diese Form mehr als unwahrscheinlich und kann getrost ad acta geführt werden. Trojaner-Attacke Der Cracker versendet an den Angegriffenen eine Mail die einen Trojaner beinhaltet. Sollte dieser nun den Mailanhang blauäugig starten, nistet sich der Trojaner auf dessen System ein. Der Cracker hat nun Zugriff auf das System des Angegriffenen, sobald dieser ins Internet geht. Trojaner beinhalten meist auch so genannte Keylogger, ein kleines Unterprogramm, das Tastendrücke speichert (in denen findet sich ja dann auch das Passwort). Social Engineering-Attacke Menschen sind von Natur aus faul. Auch bei der Wahl Ihrer Passwörter sind sie nicht sehr kreativ, sondern wählen meist Sachen, die ihnen nahe sind. Sei es der Name des Dackels, der Freundin, oder das geliebte Auto. Der Cracker verwickelt den Angegriffenen in einen Gespräch, in dem er sich sehr interessiert zeigt (besonders wirksam, wenn man sich als das andere Geschlecht ausgibt). Natürlich freut sich der Angegriffene über soviel Interesse und taut immer weiter auf. Es geht immer mehr ins Detail. Da wird von Hund gesprochen und plötzlich kommt die Frage "Oh, das ist ja toll. Ich liebe Hunde. Wie heißt der denn?". Die gegebenen Antworten werden aufgeschrieben, oder sogar ein ganzer Mitschnitt vom Gespräch gemacht. Die Antworten werden dann später als Passwörter ausprobiert. Fazit: Man sollte niemals Sachen, Personen, oder was auch immer aus seiner näheren Umgebung als Passwort wählen. Oder jedenfalls nicht in der reinen Form (dazu später). Bei Gesprächen sollte man immer auf der Hut sein und nicht zu schnell zu viel erzählen von sich. Fakemail-Attacke Der Cracker sendet eine E-Mail mit einem gefälschten Header (Mailkopf). Dies bedeutet, die Absenderadresse der Mail ist nicht die echte. Als Beispiel bekommt der Angegriffene eine Mail von [EMAIL]???@???.de[/EMAIL] in der steht "Hallo XYZ, aufgrund einer böswilligen Hackerattacke gestern Nacht gegen unseren Server kam unsere Datenbank durcheinander. Um Deinen Account komplett wiederherzustellen benötigen wir Dein Passwort. Ich bitte Dich hiermit, diesen uns zu melden. Viel Spaß noch auf unserem Board. BlaXioN" (Mein Beispiel ist nicht sehr ausgefeilt, aber ich hoffe, Ihr versteht, was ich meine). Worauf viele nicht achten, man kann bei einer Mail eine andere "Replyadresse" einstellen. Also die Antwortadresse zu einer Mail kann eine andere sein, als die Absenderadresse. Der Cracker registriert sich zum Beispiel vorher die Mailadresse [EMAIL]???@???.de[/EMAIL] und stellt diese als Replyadresse ein. Der Angegriffene bekommt die Mail, sieht den Absender der echt erscheint und klickt auf "Antworten". Er übersieht dann meist, dass die Antwort nun an eine andere Adresse geht und sendet sein Passwort als Mail zurück. Fazit: Kein Chat, kein echter Anbieter jeglicher Art, würde jemals Passwörter per Mail erfragen. Niemals kann ein Datensatz durch den Versand eines Passworts gerettet werden. Wenn auf Antworten geklickt wird, genau auf die Adresse achten, an die geantwortet wird. Ist sie eine andere, solltet Ihr hellhörig werden. Außerdem würde ein echter Crash auch bestimmt auf den Pages des Anbieters groß gemeldet werden (muss aber nicht immer sein). Dictionary-Attacke Wie oben schon erwähnt, wählen Menschen meist Passwörter, die sie sich leicht merken können. Im Netz sind so genannte Dictionaries (Wörterbücher) zu finden, in denen ein Großteil der häufigsten Passwörter einer Sprache drinsteht. Es gibt sogar Dictionaries für Arabisch oder Suaheli (kein Scherz). Diese Dateien sind reine Textdateien, in denen die Wörter einfach untereinander stehen und sind meist mehrere Megabyte groß. Ihr könnt Euch demnach ausrechnen, wieviele tausend Wörter oder Kombinationen sie beinhalten. Der Cracker nimmt ein kleines Programm, was die Wörter in dem ausgewählten Dictionary einzeln ausliest und als Passwort probiert. Das Programm arbeitet selbstständig alle Möglichkeiten in der Datei durch und meldet beim erfolgreichen Login das Passwort. Fazit: Keine Wörter benutzen, die in Wörterbüchern vorkommen oder zu simple Kombinationen (1234, abc123, sweetheart, angel, ...). Bruteforce-Attacke Sollte die Dictionary-Attacke zu keinem Erfolg geführt haben, kann der Cracker auch zu einer so genannten Bruteforce-Attacke (engl. rohe Gewalt) greifen. Bei dieser Angriffsform testet ein Programm einfach alle Buchstaben-Zahlen-Kombinationen aus, die möglich sind. Es fängt bei einer Stelle an und "zählt" einfach hoch. Damit dies schneller vonstatten geht, versuchen solche Programme (wie auch meist der Dictionary-Attacker) gleich 10-50 Mal auf einmal einzuloggen. Das beschleunigt den Ablauf. Wenn eine Kombination dann die richtige ist, wird sie gemeldet. Fazit: Die Anzahl der Möglichkeiten ist leicht zu errechnen. Wir gehen davon aus, dass der Beispielsserver a-z, A-Z und 0-9 als Eingabe beim Passwort akzeptiert. Das würden 62 verschiedene Möglichkeiten für ein einstelliges Passwort ergeben. Bei zwei Stellen wäre es 62², bei drei Stellen schon 62³ usw. Es wird meist vorgeschlagen, dass das Passwort nicht weniger als 8 Stellen haben sollte. Je länger, desto sicherer! Sicherheitsabfrage Einige Anbieter geben Ihren Kunden die Möglichkeit, beim Vergessen Ihres Passworts, mittels beantworten einer Sicherheitsfrage einzuloggen. Hier sind viele Leute unachtsam und wählen eine sehr einfach erratbare Sicherheitsfrage ("Was ist meine Lieblingsfarbe?" "Wie heißt meine Mutter?" "Welche Automarke fahre ich?"). Der Cracker geht demnach zur Sicherheitsfrage und versucht diese zu erraten. Fazit: Das beste Passwort ist wertlos, wenn die Sicherheitsfrage binnen einiger Versuche herausgefunden werden kann. 1 Passwort für alles Dies ist keine richtige Attacke, sondern beruht eher auf der Gemütlichkeit vieler Menschen. Wer will sich schon zich verschiedene Passwörter merken? Also wird sich ein Passwort ausgedacht und dieses überall, wo man sich anmeldet, verwendet. Eines solltet Ihr immer bedenken, der Admin einer Site kann Eure Passwörter einsehen (ist ja auch klar, denn es ist seine Datenbank). Bei großen Websites von Gesellschaften ergeben sich dadurch wohl kaum Probleme. Aber was geschieht, wenn derjenige sich nun bei einem kleinen Forum eines Users anmeldet, oder einem kleinen privaten Chat und dort auch dasselbe Passwort benutzt? Der Admin dort ist kein Angestellter einer großen Gesellschaft, sondern einfach nur ein Freak. Doch Admin ist Admin. Er kann die Passwörter der User seiner Site natürlich einsehen. Fazit: Ich bin dazu übergegangen, ein Passwort für Websites zu nutzen, wo mir Sicherheit nicht so wichtig ist und andere Passwörter für Sites, bei denen Sicherheit an erster Stelle steht (zum Beispiel E-Mail). Resümee: Wenn Ihr nun das obige durchgegangen seid und versteht, erkennt Ihr auch, den Weg, den man einschlagen muss, um eine Sicherheit für seinen Account bekommen. Ich will noch einmal die Punkte hier aufzählen: 1.Keine Zettelchen mit Passwörtern an oder um den PC herumliegen lassen. 2.Bei Eingabe des Passwortes darauf achten, dass niemand zusieht. 3.Mailanhänge nicht blauäugig starten. Lieber immer erst mit Virenscanner prüfen! 4.Keine Passwörter nutzen von Sachen oder Personen des näheren Umkreises. 5.Bei Gesprächen nicht zuviel des guten erzählen. *g* 6.Mails auf Echtheit prüfen und niemals Passwörter per Mail senden. 7.Keine Passwörter wählen, die in Wörterbüchern drinstehen können. 8.Keine kurzen Passwörter wählen. 9.Die Sicherheitsfrage nicht simpel gestalten. 10.Nicht bloß ein Passwort für alles haben, sondern differenzieren. Zu guter letzt gebe ich Euch noch einige Tipps, wie ich sichere Passwörter genieren würde. Wir nehmen dazu einen langen Satz "Schneewittchen geht zu den 7 Zwergen auf den 7 Bergen." Nun picken wir einfach nur die Anfangsbuchstaben der einzelnen Wörter heraus (Zahlen bleiben Zahlen). Dies ergibt dann "Sgzd7Zad7B". Für Menschen, die unsere Eselsbrücke nicht kennen, ist unser Passwort nun ein Buchstaben-/Zahlen-Wirrwarr. Für uns jedoch leicht zu merken. Netterweise sind hier nun auch Zahlen im Passwort enthalten und auch Großbuchstaben (viele schreiben Ihr Passwort einfach nur in Kleinbuchstaben). Ein anderer Weg zum Beispiel wäre es, in einem Satz (oder Wort) die Vokale (oder Konsonanten) durch Zahlen zu ersetzen. Beispiel: Aus "IchliebemeinAuto" wird "1chl23b4m56n78t9" (Ob wir nun nur eine Ziffer nehmen, oder hochzählen/herunterzählen, bleibt uns selber überlassen). Auch wäre es denkbar, einfach Wörter umzudrehen. Aus "Automobile" wird "elibomotuA". Dies kann auch in einem Satz geschehen. Mit solch einfachen Tricks erzeugen wir ein schwer knackbares Passwort, das wir uns aber recht simpel merken können. Gar nicht so schwer, wenn man den Weg kennt, oder? - Zerogiven - 25.07.2003 Cooles Tut, hab mir gerade alles durchgelesen Echt super erklärt. Danke mfg Zerogiven - cHAp - 25.07.2003 kein problem Helfe ja auch gern weiter. hatte das mal bekommen aber total schwierig erklärt habe dies dann halt mal umgeändert so das es auch jeder versteht Werde mal weitere solche tut´s schreiben aber zur zeit keine zeit |