Home

IT-Revision

IT-Sicherheit

Angebot

Profil

  eMail

 

- Hintergrund

-> Texte 2

 

Länge und Aufbau des Passwortes

Wie sie im Szenario 2 sehen, hat die Länge des Passwortes nur dann einen Einfluss, wenn der Anwender ein wirklich starkes Passwort (also zum Beispiel gHf&rTd4) gewählt hat. Passwörter die man in Wörterbüchern findet, auch in Kombination mit zwei anderen Zeichen, sind schnell zu finden.

Bevor Angreifer eine “brute force”-Attacke durchführen, suchen sie in einem Wörterbuch (meines ist 26 Megabyte gross und enthält ca. 3 Millionen Wörter). Es geht einfach schneller und funktioniert, mindestens für einige Passwörter. Deswegen ist die Zeit für das 4-stellige NT-Passwort im Beispiel ziemlich hoch, weil vorher die Wörterbuchattacke gelaufen ist. Ein vierstelliges Passwort fällt bei einem direkten “brute force”-Angriff nach cirka 20 Sekunden.

Gefahren für Passwörter

Was sind die Gefahren für Passwörter:

  • der Benutzer geht unvorsichtig mit dem Passwort um
  • der Systementwickler schützt Passwörter/Passwortdateien unzureichend
  • der Systemadministrator schützt die Passwörter/Passwortdatei unzureichend

Beispiele sind:

  • Der Benutzer notiert sein Passwort und hebt es an einer unsicheren Stelle auf
  • Ein Systementwickler benutzt eine unzureichende Verschlüsselungsmethode
  • Ein Systemadministrator lässt weitreichende Zugriffe auf die Passwortdatei zu

Rufen wir uns Szenario 2 in Erinnerung.

Was war notwendig um an die Passwörter/Passwortdatei zu kommen?

Lokale Administrationsrechte auf dem NT-Rechner = zuständig der Administrator

Was war notwendig um die Passwortdatei zügig zu entschlüsseln?

Unzureichende Verschlüsselung = zuständig der Systementwickler

Die Passwortqualität bestimmt dann die Dauer der Entschlüsselung = zuständig der Benutzer

Können wir von den Benutzern verlangen sich achtstellige oder längere Passwörter auszudenken und zu merken? Noch dazu sollen solche Passwörter Gross- und Kleinschreibung enthalten, und Ziffern und Sonderzeichen enthalten.

Wer ist verantwortlich?

Ist es also richtig dem Benutzer die Verantwortung zu übertragen und ihn zu zwingen ein langes und starkes Passwort zu verwenden?

Nach 32 Tagen ist der komplette Angriff auf die Passwortdatei gelaufen. Setze ich zwei PC’s ein geht’s nur noch 19 Tage. Hol ich noch ein paar Kumpels dazu ... .

So gesehen ist ein achtstelliges Passwort auch zu kurz.

Um Geld am Automat zu holen reicht ein vierstelliges Passwort, welches noch dazu nur aus Zahlen besteht (1 aus 10.000).

Um den PC, LAN, Finanzbuchhaltung, eMail-System etc. zu benutzen soll ich ein achtstelliges verwenden? Mit Gross- und Kleinschreibung, Zahlen und Sonderzeichen (1 aus mehr als einer Billiarde - 1.000.000.000.000.000)?

Können sie das ihren Benutzern erklären? (Falls ja, erklären sie es bitte auch mir. Ich nehme es, wenn sie möchten, hier auf.)

Die Anwender (und Revisoren) im Dilemma!

Was tun? Einerseits möchten wir unsere Systeme vor unberechtigtem Zugriff schützen, andererseits ist es immer schwieriger sich die Passwörter zu merken. Nicht nur die Anwender, auch die Entwickler und Administratoren sind in der Pflicht!

Wenn Entwickler und Administratoren Passwortdateien nicht schützen, ist es nicht die Lösung, von den Anwendern immer längere und kompliziertere Passwörter zu verlangen. Aus Sicht der Anwender sind fünf Stellen genug.

Konsequenz

Wenn Passwörter und Passwortdateien nicht geschützt sind, hat die Passwortlänge kaum Einfluss.

  • Anwender: Denkt euch gute fünfstellige Passwörter aus und geht ordentlich damit um
  • Entwickler: Wenn ihr Passwörter speichern müsst oder über Netze übertragt, benutzt gute Verschlüsselungsmethoden
  • Administratoren: Sichert die Passwortdateien
  • Revisoren/Sicherheitsbeauftragte: Prüft dass alle Beteiligten Ihren Job machen.

Was ist wenn ich Daten über ein unsicheres Medium übertragen muss?

Angenommen sie möchten ein Word-Datei mit vertraulichen Daten an einen Geschäftspartner über das Internet verschicken, das heisst sie haben keine gesicherte Verbindung zu ihrem Geschäftspartner. Dann müssen sie ein langes und gutes Passwort verwenden.

Oder allgemein gesagt: Wenn sie Passwörter in einer ungesicherten Umgebung verwenden, muss die Passwortqualität sehr hoch sein. Weil sie ihr einziger Schutz ist.

In diesem Fall die Frage nicht: Kann die Datei entschlüsselt werden?

Sondern: Wie lange dauert es?

Dipl.-Wirtsch.-Inform. (FH) Thomas Fey, CISA

Heckenäcker 1, 76316 Malsch, Tel. 07246 / 30176

eMail: Thomas.Fey@thomasfey.de

Letzte Änderungen

August 2002:

Ich habe die Seiten
  • www.it-audit.de
  • www.revision-online.de
    		•

    übernomen. Neue Informationen stelle ich zukünftig auf diesen Seiten bereit.

    Die “alten” Informationen zu IT-Revision und IT-Sicherheit werde ich ebenfalls dort integrieren.

     

    Schauen Sie doch mal vorbei!
  • www.it-audit.de
  • www.revision-online.de
    		•