Passwort

Passwörter

Passwörter

14. September 2011 in IT-Sicherheit, JB, ToP

Bevor Sie denken, dass jetzt eine “Paßwort-Policy” oder Ähnliches kommt, halten Sie einen Moment inne und überlegen Sie, was man mit Ihrem Passwort alles anstellen kann:

  • Mails in Ihrem Namen verschicken (z.B. Ihrem Chef mal richtig die Meinung geigen und klar machen, dass Sie nur noch auf die Kündigung warten – wie schaffen Sie so etwas wieder aus der Welt?)
  • Banküberweisungen tätigen (gehören Sie zu denjenigen, die praktischerweise die ganze TAN-Liste im Homebankingprogramm eingetippt haben, um sie nicht jedesmal suchen zu müssen? Oder haben Sie Zugriff auf das firmeneigene SAP-System?)
  • Datein löschen (wie lange haben Sie für den Power-Point-Vortrag, oder die Diplomarbeit gebraucht – wie lange dauert es, ihn zu löschen?)
  • Dateien kopieren (ihre Kundenliste taucht dann vielleicht bei Ihrem Mitbewerber auf?)
  • Ihre Internetpräsenz ergänzen (oder riskieren Sie, dass die Polizei vor dem Haus steht, weil ihr Webspace zum Umschlagplatz für Kinderpornographie geworden ist oder auf einmal in Ihrem Weblog volksverhetzende Äußerungen auftauchen?)

Ganz schön heftig? Es gibt viele Tipps und Anleitungen, ich habe eine einfache drei-Schritt-Offerte:

  1. Besorgen Sie sich einen Paßwortmanager (das ist ein kleines – für Private – kostenloses Programm). Der ermöglicht es Ihnen, für jeden Dienst ein anderes Paßwort zu wählen. Durch einen Zufallsgenerator entfällt das Erfinden. Das Paßwort ist lang, komplex und was man sonst noch so alles möchte.
    • Ein kostenloses Programm ist “Password Safe“, entwickelt von einem Verschlüsselungs-Guru.
    • Wer mehr will kann sich z.B. RoboForm (Historie)anschauen. Das Programm erkennt im Internet-Browser welches Paßwort das richtige ist und kann unterschiedliche Identitäten verwalten – kostet aber leider etwas.
  2. Geschützt wird dieser Paßwortmanager durch ein Master-Paßwort. Dabei gilt:
  • Nehmen Sie einen langen Text (mind. 10 Zeichen).
  • Am besten einen, den Sie (und nur Sie) im Notfall auch rekonstruieren können.
  • Im Büro nehmen Sie am besten das Paßwort  für die Windows-Anmeldung (das kann auch ein Administrator sich nicht einfach im Klartext anzeigen lassen).
  • Geben Sie das Masterpaßwort nirgendwo sonst ein (nicht bei anderen Anmeldungen, insbesondere nicht bei irgendwelchen Test-Tools im Internet).
  • Geben Sie es an niemanden weiter, auch nicht an den Vertreter/den Administrator.
  • Schreiben Sie es nicht auf.
  • Das Master-Paßwort wechseln Sie regelmäßig (2-12 mal im Jahr).

Die Anregung zu diesem Text kam neben meinem Beruf auch von diesem Blog (via Perun).  Allerdings würde ich ein real genutztes Paßwort keinesfalls in ein unsicheres System eingeben – auch nicht in eines, das mir sagt, wie sicher das Paßwort davor war. Soweit zu meinem kleinen HowTo, gibt es noch Verbesserungsvorschläge/Lücken?

Datenklau

(c) D. Braun / pixelio.de

 

Genauso interessant:

0
starke Paßwörter ./. Benutzersperre

starke Paßwörter ./. Benutzersperre

30. Juni 2011 in IT-Sicherheit, JB, ToP

Aussageverweigerung / Zensur

© Stefan Redel - Fotolia.com

Die c’t hat in einer ihrer letzten Ausgaben die Möglichkeiten von brute-force Angriffen auf Paßwörter verschiedener Stärke dargestellt. Ein Leserbrief fordert, statt den Nutzer mit Paßwortanforderungen zu quälen, doch nach einer bestimmten Zahl von Fehlversuchen das Nutzerkonto zu sperren.

 

Der Vorschlag ist sicher im Unternehmensumfeld gut, in den meisten Fällen bringt er jedoch wenig:

  • Häufig braucht der Hacker nicht ein bestimmtes Konto. Für den Spamversand reicht es aus, ein beliebiges Konto zu kapern. D.h. man probiert nicht verschiedene Paßwörter für ein Konto aus (was die Sperre auslöst), sondern für ein populäres Paßwort (z.B. Passwort, geheim, sex) verschiedene UserID’s. Damit bleibt man bei den meisten Systemen unter dem Radar der Sperre.
  • Wer kann die Sperre zurücksetzen? Eine Zeitsperre (“bitte warten Sie 5 Minuten”) verlängert zwar die Zeit, verhindert den Angriff aber nicht. Zumal man es ja bei verschiedenen Konten parallel probieren kann.
    Eine “harte” Sperre, die nur vom Administrator zurückzusetzen ist, ist äußerst kundenunfreundlich. Ein mir bekannter Mailanbieter verlangt nach einer Vielzahl von Fehlversuchen einen Anruf beim Kundenservice, unter einer 0900-Nummer. Wenn ich jeden Morgen eine solche Nummer anrufen muss, nur weil in der Nacht ein Hacker etwas rumgespielt hat, bleibe ich nicht lange Kunde.
  • Und zu guter Letzt die normalen Passwort-Recovery-Probleme. Wie will ein Internet-Anbieter, der häufig nicht mehr von mir in der Hand hat als eine Mailadresse und einen Namen mich sicher identifizieren?

Als Beleg, dass schwache Paßwörter und schnelles Sperren funktioniert werden die Bank-PIN’s angeführt. Dort seien keine Mißbrauchsfälle bekannt. Der Vergleich hinkt aber: Beim Online-Banking entsteht der Schaden erst mit der TAN, und wenn ich die rausbekomme, besorge ich die PIN einfach auf gleichem Weg. Und wer bekommt es mit, dass jemand sein Konto anschaut – aber keine Überweisung tätigt.

Genauso interessant:

1
Gewaltenteilung in der IT-Sicherheit

Gewaltenteilung in der IT-Sicherheit

29. März 2011 in IT-Sicherheit, JB, ToP

Heute mal ein Beispiel, wie man IT-Sicherheit nicht planen sollte:

“Hoher Schutzbedarf” bezüglich Vertraulichkeit ist bei Daten eigener Mitarbeiter fast immer gegeben. Die Daten von Kollegen/Chefs sind meistens  interessanter als die von Lieschen Müller aus Hintertupfingen. Im konkreten Fall sollte der Zugriff auf diese speziellen Daten zudem auf absolute Ausnahmefälle begrenzt werden. Deswegen wurde für diese kritischen Daten ein Regelungvorschlag erarbeitet und mit großem Brimbamborium vorgestellt:

  1. Die Daten werden ausschließlich auf einem zentralen System gespeichert
  2. Der Zugang wird durch eine achtstellige Zahl gesichert, davon werden je vier Ziffern bei Organisationseinheit A und B hinterlegt.

Der Grundgedanke, ein Vier-Augen-Prinzip auch technisch abzusichern ist ja ganz löblich. Aber die Speicherung auf dem Zentralen Server sorgt für zusätzliche Risiken (Kumulationeffekt). Wurde ja bei ELENA und Vorratsdatenspeicherung reichlich öffentlich diskutiert.

rostiger SchlüsselbundDie vier Ziffern je Organisationseinheit als Zugriffsschutz haben bei mir nur ein müdes Lächeln hervorgerufen. Angenommen, ich kenne eine Hälfte, dann bleiben für die andere – durch die Beschränkung auf Ziffern -  noch 4 hoch 10 = 10.000 Möglichkeiten. Wenn ich das maschinell durchprobieren kann, habe ich in weniger als einer Sekunde alle Möglichkeiten durch.

Zur Not könnte ich die auch von Hand durchprobieren. Selbst bei einem System, das mich nach einer bestimmten Zahl von Fehlversuchen aussperrt kann ich typischerweise alle 10 Minuten einen Versuch machen. Wenn mir niemand durch eine Logfileauswertung auf die Schliche kommt, könnte ich das in rund einem halben Jahr durchprobieren (Basis 9 Stunden je Arbeitstag gibt maximal 185 Arbeitstage, im Schnitt errät man das Passwort nach der Hälfte der Versuche). Und das in dieser Zeit das Passwort geändert wird, halte ich für eher unwahrscheinlich – dafür bräuchte man gleichzeitig die Vertreter beider Organisationseinheiten ;)

Genauso interessant:

0

Neues in diesem Blog

Blue
Red
Green
Grey
JuraBlogs - Die Welt juristischer Blogs