Bundesheer Bundesheer Hoheitszeichen

Bundesheer auf Twitter

Passwörter, die vernachlässigten Schlüssel

Passwörter sind digitale Schlüssel. Wie jeder normale Schlüssel, soll auch ein Passwort den nichtberechtigten Zutritt bzw. Zugriff zu den geschützten Werten verhindern.

In der physischen Welt werden häufig teure Sicherheitsschlüssel und -schlösser eingesetzt. In der digitalen Welt hingegen werden aber auch trotz möglicher negativer Folgen (Zugriff zu persönlichen Daten durch Unberechtigte) nach wie vor einfachste Passwörter verwendet, die ohne viel Aufwand geknackt werden können. Dazu kommt, dass ein "Einbrecher" über das Internet von jedem Platz der Welt aus seine Angriffe starten kann.

Tägliche Routine

In unserer heutigen Dienstleistungsgesellschaft beginnt für sehr viele der Arbeitstag mit der Eingabe eines oder mehrerer Passwörter. Zuerst muss der Computer gestartet werden, danach diverse Applikationen, die eventuell zusätzliche Zugangsdaten erfordern. Wenn das Mobiltelefon abgeschaltet war und richtigerweise mit einer Personal Identification Number (PIN) gesichert ist, dann ist hier eine weitere Eingabe erforderlich. Besitzer eines Personal Digital Assistent (PDA) sollten ihr Gerät ebenfalls mit einem Passwort sichern. Auch beim Abrufen Ihrer E-Mails ist eine Passworteingabe erforderlich, die allerdings meistens aus Bequemlichkeit nach der erstmaligen Eingabe durch den E-Mail-Client übernommen wird.

Im Privatleben erwarten uns ebenfalls zahlreiche Passwortabfragen, beginnend vom eigenen Computer, über die Bankomatkarte, Interneteinwahl, Online-Bank- ing, Einkauf oder Verkauf in einem Web-Auktionshaus, Online-Einkauf, Forumsmitgliedschaft, E-Government mit Bürgerkarte, Bücherei-Onlinezugang und viele andere mehr. In der Regel haben wir mehr Passwörtern in Verwendung als herkömmliche Schlüssel am Schlüsselbund.

Bei der Ausführung und Verwahrung des z. B. Wohnungs-, Auto-, Bürotür- oder Tresorschlüssels wird kaum jemand die Qualität bzw. den sorgfältigen Umgang in Frage stellen. Wohl jedem sind die möglichen Folgen eines Verlustes oder der einfachen Nachsperrbarkeit klar, weil damit in der Regel der Verlust von materiellen Werten verbunden ist. Diese Erkenntnis ist bei der Verwendung von Passwörtern nicht immer vorhanden. Oft sind die Folgen nicht abschätzbar oder werden bis zum Eintritt eines Schadens ignoriert.

Die Problematik rund um Passwörter und Passwortgestaltung findet in letzter Zeit immer öfter seinen Niederschlag in den Medien. Schlagzeilen wie "Umfrage: Passwort-Sicherheit noch immer schlecht", "Der Haustiername ist kein sicheres Passwort", "Die 500 schlechtesten Passwörter aller Zeiten", "Gefälschte Facebook-Mails fischen nach Passwörtern", "Kriminelles Schweizer Taschenmesser - Kein Passwort ist vor ihm sicher", "Passwort gegen Schokolade", sind nur eine kleine Auswahl.

Wie kommt es zu dieser Problematik?

Zum einen verwenden wir viel mehr Passwörter als physische Schlüssel. Einen physischen Schlüssel kann man angreifen, Passwörter nicht. Zum anderen sind die damit geschützten Werte nicht immer direkt erfassbar. Erschwerend kommt hinzu, dass die Kombination Passwort und Internet dazu führt, dass, zumindest theoretisch, jeder andere Internetnutzer die Möglichkeit hat, mehrere bzw. unzählige Nachsperrversuche zu starten.

Kompromittierung von Passwörtern

Schlecht gewählte oder falsch verwahrte Passwörter können leicht ermittelt und der damit beabsichtigte Zugangsschutz überwunden werden. Dies kann entweder mit oder ohne technische Hilfsmittel erfolgen. Ohne technische Hilfsmittel funktioniert dies in der Regel mit Social Engineering (siehe TD 2/2007 bzw. Informationsblatt "Schutz vor Social Engineering"). Die technische Ermittlung ist etwas aufwändiger, aber keine wirkliche Hürde. Über das Internet kann diverse Hard- und Software zur Errechnung von Passwörtern bezogen werden, wie z. B.

  • "Hardwarekeylogger",
  • "Softwarekeylogger",
  • Netzwerkanalyse-Software,
  • Passwort-Decoder,
  • Brute Force-Angriff und
  • Rainbow Table-Angriff.

"Hardwarekeylogger" werden zwischen Tastatur und Computer angeschlossen und zeichnen alle Tastaturanschläge auf. Dabei beginnt die Aufzeichnung unmittelbar nach dem Einschalten des Computers. Es werden daher ebenfalls BIOS/Boot- oder Festplattenverschlüsselungspasswörter aufgezeichnet. Nach der Entfernung bleiben keine Spuren am Computer. Für die Installation, die mit wenigen Handgriffen durchgeführt werden kann, ist ein direkter Zugang zum Computer erforderlich.

"Softwarekeylogger" werden bei entsprechenden Voraussetzungen (z. B. Administrationsrechte) unbemerkt auf einem Computer installiert und damit alle Tastaturanschläge lokal gespeichert oder über das Netzwerk an den Angreifer versandt.

Netzwerkanalyse-Software kann den Datenverkehr eines Netzwerks aufzeichnen und analysieren. Im Privatbereich sind besonders Wireless Local Area Networks (WLAN) gefährdet, wenn nicht entsprechende Schutzmaßnahmen (Verschlüsselung der Luftschnittstelle mit WPA/WPA2) getroffen werden. Besonders gefährdet sind öffentliche, ungeschützte drahtlose Internetzugriffspunkte, sogenannte "Hot Spots" z. B. in Internetcafés oder Fastfood-Restaurants.

Passwort-Decoder lesen unverschlüsselt gespeicherte Passwörter aus. Ist der Algorithmus bekannt, können damit auch verschlüsselte Passwörter ausgelesen und geknackt werden.

Brute Force-Angriff ist ein systematisches Ausprobieren von allen möglichen Zeichenkombinationen bis zu einer festgelegten Länge oder dem Ausprobieren anhand einer Liste mit Zeichenkombinationen (Wörterbuch-Angriff). Passwort-Decoder und der Brute Force-Angriff lassen sich auch kombinieren. Die Zeit, die bei einem Brute Force-Angriff zum Herausfinden eines Passwortes benötigt wird, hängt wesentlich von der Dauer einer einzelnen Passwortprüfung, der Länge des Passwortes und der Zeichenzusammensetzung des Passwortes (z. B. Buchstaben/Zahlen) ab. Entsprechende Wörterbücher, auch fremdsprachige oder fachspezifische, für z. B. Automarken, Namenslisten oder Tastaturmuster stehen im Internet zur Verfügung.

Rainbow Table-Angriff ist ein erweiterter Brute Force-Angriff. Passwörter werden häufig nicht im Klartext, sondern als Hashwert gespeichert. Ein Hashwert ist eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge. Er wird auch als Fingerprint bezeichnet, da er wie ein Fingerabdruck eines Menschen, eine eindeutige Identifizierung ermöglicht. Die Berechnung des Passwortes aus dem Hashwert sollte bei Wahl eines geeigneten Algorithmus nicht möglich sein, da es sich bei Hashwertfunktionen um eine kryptographische Einwegfunktion handelt. Die Passworteingabe wird daher in einen Hashwert umgewandelt und dann mit dem gespeicherten Hashwert des Originalpasswortes verglichen. Damit wird die Vertraulichkeit des Passwortes gewährleistet und ein Auslesen verhindert. Bei einem Rainbow Table-Angriff werden in einem aufwendigen Verfahren Hashwerte von möglichen Zeichenkombinationen vorab berechnet und dann mit dem vorliegenden Hashwert des angegriffenen Passwortes verglichen. Der Zeitaufwand für die Passwortkompromittierung sinkt damit erheblich.

Jede dieser Angriffsmöglichkeiten erfordert einen gewissen Aufwand. Durch Gegenmaßnahmen, wie z. B. einen physischen Zugriffschutz, die Verwendung von eingeschränkten Benutzerkonten, den Einsatz von Anti-Virensoftware oder durch entsprechende Passwortgestaltung, kann dieser Aufwand erheblich erhöht und damit der Schutz der vertraulichen Daten deutlich verbessert werden.

Die Mehrfachverwendung von Benutzernamen und Passwort sollte grundsätzlich vermieden werden. Insbesondere dann, wenn damit unterschiedliche Werte geschützt werden sollen, wie z. B. der Zugriff auf Foren und der Zugriff auf eine Auktionsseite. Auch sollte sich daraus keine generelle Passwortgestaltung ableiten lassen.

Passwortgestaltung und Passwortqualität

Um die Kompromittierung eines Passwortes zu verhindern bzw. erheblich zu erschweren, sollte es bestimmte Qualitätsanforderungen erfüllen.

Ein Passwort soll

  • eine Mindestlänge von acht Zeichen aufweisen,
  • zumindest Groß- und Kleinbuchstaben sowie Ziffern enthalten. Sofern es technisch zulässig ist, sollten zusätzlich Sonderzeichen, z. B.: !, ?, @, €, §, %, &, verwendet werden,
  • keine Standardtastaturkombinationen wie z. B. "1234qwert" enthalten und auch sonst schwer (von Mensch oder Maschine) zu erraten sein,
  • nicht aus dem Namen, Namen und Zeichenketten aus dem sozialen Umfeld (z. B. Geburtsdatum oder Autokennzeichen) des Benutzers oder dem Verwendungszweck abgeleitet werden können.

Bei der Suche nach Passwort Check-Seiten werden Sie zahlreiche Treffer finden. Sie sollten aber derartige Seiten mit Vorsicht betrachten. Es ist durchaus wahrscheinlich, dass einige davon zum Abschöpfen von Passwörtern eingesetzt werden. In der Regel wird aber zum Passwort auch noch der Benutzername benötigt, um dieses missbrauchen zu können.

Passwörter merken

Je seltener ein Passwort verwendet wird, desto wahrscheinlicher wird es vergessen. Daher unterstützen entsprechende Hilfsmaßnahmen, um den Zugriff zu den geschützten Werten auch weiterhin zu gewährleisten.

Eine Hilfe stellen die allgemein bekannten Eselsbrücken dar. Zuerst wird ein Satz ausgewählt, der leicht zu merken ist. Dann wird von jedem Wort z. B. nur der erste Buchstabe verwendet. Aus "Dieser Artikel wurde 2010 erstellt und er gefällt mir!" wird das Passwort "DAw2euegm!" Eine weitere Möglichkeit besteht darin, bei gewöhnlichen Wörtern einzelne Buchstaben durch Zahlen oder Sonderzeichen zu ersetzen. Auch die Kombinationen von Passwortteilen für ähnliche Verwendungszwecke ist eine Möglichkeit, z. B. "P@ssw0rd@Forum1" und "P@ssw0rd@Forum2", sich Passwörter leichter zu merken.

Passwörter ändern

Hier gibt es durchaus unterschiedliche Ansichten. Generell führt aber ein häufiger Passwortwechsel zu unsicher gestalteten, vergessenen oder schlecht verwahrten Passwörtern. Daher sollte besser mehr Augenmerk auf die Passwortgestaltung und -qualität als auf (zu häufiges) ändern gelegt werden.

Passwortverwahrung

Immer wieder liest und hört man die Empfehlung, Passwörter nicht aufzuschreiben. Dies mag bei der Nutzung von nur wenigen Passwörtern durchaus machbar sein, in der Regel ist das heute aber unrealistisch. Vor allem Passwörter, welche nicht so häufig verwendet werden, geraten dadurch leicht in Vergessenheit.

Passwörter können durchaus aufgeschrieben werden. Wichtig dabei ist nur die sichere Verwahrung! Passwörter haben an Orten, wie z. B. unter der Tastatur, in der offenen Schreibtischlade oder in der Brieftasche nichts verloren. Wenn sich jemand unberechtigten Zugang zu einem System verschaffen will und dazu ein Passwort benötigt, wird er gezielt nach solchen Notizen suchen.

Notierte Passwörter gehören daher in einen Stahlschrank, Safe oder an einen sonstigen sicheren Aufbewahrungsort, wo keine unberechtigten Dritten Zugriff haben. Wenn Passwörter elektronisch gespeichert sind, weil sie z. B. auch unterwegs benötigt werden, dann sollten diese verschlüsselt sein. Sie können auch mittels Verschleierungstaktiken gelagert werden, z. B. mit unverfänglichen Markierungen in einem Buch oder z. B. Speicherung des PINs für die Bankomatkarte als Scheintelefonnummer im Mobiltelefon.

Weitergabe von Passwörtern

Passwörter sollten grundsätzlich nicht weitergegeben werden. Dies ist natürlich auch keine Pauschallösung. Es ist durchaus möglich, dass sich Familienmitglieder ein Einstiegspasswort für den Heimcomputer teilen, wenngleich eine Trennung sinnvoll ist. Die Weitergabe eines Passwortes ist auch eine Vertrauenssache, die in jedem einzelnen Fall individuell geprüft werden muss. Klare Vorgaben, z. B. im Dienst, sind unbedingt einzuhalten.

Passwörter sollten vor allem dann schriftlich fixiert werden, wenn für den Vertretungsfall (z. B. bei Urlaub oder Krankheit) keine technischen Maßnahmen wie Stellvertreter-Konten eingerichtet werden können. In diesem Falle sind die Passwörter in einem verschlossenen Umschlag sicher und im Bedarfsfall erreichbar aufzubewahren. Wird das Passwort während dieser Zeit verwendet, ist es nach Rückkehr des Hauptanwenders zu ändern.

Falscheingaben beschränken

Einige Systeme, wie Windows XP Professional lassen zusätzliche Schutzmaßnahmen zu. So können Kennwortrichtlinien (z. B. Komplexitätsvoraussetzungen, Kennwortchronik, Passwortalter, Kennwortlänge) vorgegeben werden. Zusätzlich können Kontosperrungsrichtlinien (z. B. eine Kontosperrungsschwelle durch Festlegung der Anzahl der möglichen Falscheingaben, Kontosperrdauer) fixiert werden. Diese Einstellungen erhöhen die Sicherheit wesentlich, weil damit z. B. nur eine begrenzte Anzahl von Falscheingaben möglich ist, bevor das Konto gesperrt wird. Damit werden vor allem primitive, automatisierte Angriffe rasch erkannt und unterbunden.

Häufig werden diese Funktionalitäten nur von professionellen Produkten angeboten. Sind diese verfügbar, erhöhen sie die Sicherheit wesentlich.

Phishing

Das Thema Phishing ("Password" und "fishing") wurde bereits in TD 2/2010 behandelt. Geben Sie auf keinen Fall Ihre Zugangsdaten auf Webseiten ein, wenn Sie diese über einen Link aus einer E-Mail heraus geöffnet haben! Diese Methode ist nach wie vor die häufigste, um Anwender zu täuschen und auf präparierte Seiten zu leiten. Keine Bank, kein Auktionshaus usw. ersucht Sie per E-Mail, Ihr Passwort oder sonstige Benutzerdaten auf einer mittels Link angegebenen Seite auf Richtigkeit zu überprüfen!

Quelle: Abwehramt/IKT-Sicherheit.

Um die Sicherheit Österreichs zu gewährleisten, ist detailliertes Wissen über Bedrohungen eine unabdingbare Voraussetzung. Die Nachrichtendienste des Bundesheeres, Abwehramt und Heeresnachrichtenamt, tragen wesentlich dazu bei, dieses Wissen zu ergänzen und laufend zu erweitern.

Ab sofort können auf der Internetseite des BMLVS www.bundesheer.at unter der Rubrik Sicherheitspolitik, Informationen über die Geschichte, die Aufgaben und die Kontrolle der militärischen Nachrichtendienste Abwehramt und Heeresnachrichtenamt abgerufen werden.

Weiterführende Informationen u. a. zur Passwortgestaltung, finden Sie auf der Homepage "Informationssicherheit" im Intranet ÖBH (3.VE: www.infosih.intra.bmlv.at\zhi).

Folgende Informationsblätter des Abwehramtes können Sie auf dem Versorgungsweg anfordern: "Schutz vor Social Engineering" - VersNr.: 7610-85003-0707 und "Sicherheitsrisiko mobile Datenspeicher" - VersNr.: 7610-85519-0709

Eigentümer und Herausgeber: Bundesministerium für Landesverteidigung | Roßauer Lände 1, 1090 Wien
Impressum | Kontakt | Datenschutz | Barrierefreiheit

Hinweisgeberstelle