Web-Sicherheit

Juni 14, 2011

Die Nadel im Passwort-Heuhaufen

Filed under: Allgemein — sebastiankuebeck @ 15:21
Tags: , , , , ,

Eines der zentralen Probleme der IT-Sicherheit ist die sichere Authentifizierung. Aus zahlreichen Gründen setzten die meisten Webanwendungen auf Passwortauthentifizierung, doch die Sicherheit dieser Authentifizierungsart hängt von der Fähigkeit der Benutzer ab, sich Passwörter zu merken, die ein Angreifer nicht erraten kann.

Lange Zeit war man dabei der Meinung, dass die Entropie, also die „Regellosigkeit“ von Passwörtern entscheident für die Sicherheit wäre. Wenn es also keine offensichtliche Regel gibt, aus der ein Passwort abgeleitet ist, ist es für einen Angreifer schwieriger zu ermitteln. Beispiele für solch eine Regel wären:

  • Das Passwort enthält lediglich Buchstaben, also zum Beispiel 542345 oder 234567 etc.
  • Das Passwort ist ein Wort aus einem Wörterbuch einer bestimmten Sprache, also zum Biespiel Passwort oder geheim etc.

Steven Gibson hat unterschiedliche Verfahren zum Aufspüren von Passwörtern untersucht und herausgefunden, dass weniger die Entropie für die Sicherheit sorgt als mehr die Passwortlänge!

Um das zu verstehen, sehen wir uns die folgenden zwei Passwörter an:

D0g.....................

PrXyc.N(n4k77#L!eVdAfp9

Nach der Entropieregel müsste das zweite Passwort also sicherer sein, als das erste, da das Alphabet (die Menge der verwendeten Zeichen) im zweiten Passwort deutlich größer ist, als die vier Zeichen im Alphabet des ersten Passworts. Der Angreifer hat allerdings keine Informationen über die Größe des Alphabets und daher kann er diesen Vorteil nicht nutzen. Daher ist das erste Passwort tatsächlich sicherer als das zweite, denn der Angreifer benötigt die 95fache Zeit, um es zu knacken!

Um das einzusehen vollziehen wir nach, wie ein Angreifer vorgehen würde, um dieses Passwort zu erraten. Die erste Strategie, die er einsetzen wird, ist eine Wörterbuchattacke. Dabei wird er einfach alle Wörter eines Wörterbuches durchprobieren und etwas variiert, sodass er zum Beispiel neben dem Wort passwort auch die Wörter PaSsWoRt und passwort123 überprüft. Dieser Angriff schlägt natürlich Fehl, da der Angreifer nicht wissen kann, dass das Passwort hauptsächlich aus Punkten besteht, wo diese Punkte platziert sind und wieviele es sind.

Da die Wörterbuchattackeins leere läuft, versucht der Angreifer einen Brute-Force-Angriff. Dafür probiert er der Reihe nach alle möglichen Passwörter durch, also erst einmal alle Passwörter, die ein einziges Zeichen lang sind…

a, b, c, d,...z, A, B, C,...Z, !, ", §, $, %, &, /, ( ,) ,= ,? , ., ...

Danach alle möglichen Passwörter, die zwei Zeichen lang sind…

aa, ab, ac, ad,...ba, bb, bc, bd,...

Hier ist leicht einzusehen, dass der Aufwand für diesen Brute-Force-Angriff exponentiell mit der Passwortlänge wächst und dass die Entropie des Passworts dabei überhaupt keine Rolle spielt. So ist es zu erklären, dass nur ein Zeichen mehr im ersten Passwort so viel mehr Aufwand verursacht, als das zweite, das sicherer aussieht aber ein Zeichen kürzer ist, womit die vorherige Behauptung bewiesen ist.

So kann man also mit wenig Aufwand unsichere aber leicht zu merkende Passwörter absichern, was allemal besser ist, als sich Passwörter auf ein Post-It-Note zu schreiben und auf dem Monitor zu kleben. Das ganze funktioniert natürlich nur solange dem Angreifer das Muster des „Füllmaterials“ (eng. Padding), also die Punkte im ersten Passwort nicht geläufig ist. Daher sollte man sich eine eigene, leicht zu merkende Regel für das Füllmaterial ausdenken. Ihrer Kreativität sind hier keine Grenzen gesetzt, solange Sie sich die Regel merken können!

Denkbar wäre (bitte nicht verwenden, da diese Beispiele ja veröffentlicht sind!!!):

!"§!"§!"§oaschhmölzi$%&$%&$%&
$%&$%&$%&oachkazlschwoaf$%&$%&$%&

Als eingebetteten Text empfehlen sich übrigens hervorragend Dialektwörter oder -Phrasen, die nur in eng begrenzten Gebieten gebräuchlich sind (im ersten Beispiel ist eine Bezeichnung für ein Omelett mit Kürbiskernöl versteckt, welche meines Wissens nach nur in der Oststeiermark gebräuchlich ist). Diese tauchen in keinem „normalen“ Wörterbuch auf und sind daher mit Wörterbuchattacken normalerweise nicht zu finden. Noch besser ist es natürlich, wenn das Wort gar nicht mehr gebräuchlich oder ein von Ihnen erfundenes Kunstwort ist. Schreibfehler erhöhen die Sicherheit zusätzlich. Auf der anderen Seite sind gebräuchliche englische Begriffe oder Namen aus bekannten Filmen und Büchern wie frodo, jacksparrow, matrix etc. eine Einladung für Passwortknacker.

Wenn man dazu noch für jede Webseite ein anderes Passwort verwendet (oder sich von PasswordSafe helfen lässt), kann man so mit einfachen Mitteln die Sicherheit deutlich erhöhen.

7 Kommentare »

  1. Microsoft bietet einen kostenfreien Online-Dienst an, der über die Sicherheit eines Passworts Auskunft gibt – siehe http://bit.ly/j980oP

    Kommentar von C.Habermueller — Juni 16, 2011 @ 13:09 | Antwort

  2. Interessanter Artikel, sehr informativ!

    Kommentar von Michael Punz — Juni 16, 2011 @ 14:03 | Antwort

  3. @C.Habermueller Danke für die Info!
    Habe das erste Passwort (D0g mit Punkten) mit Micrososft’s Dienst getestet. Ergebnis: best! 🙂
    Ich bin bei solchen Diensten allerdings prinzipiell skeptisch, da es wahrscheinlich zahllose Seiten gibt, die täuschend echt aussehen aber dennoch eine Fälschung sind, mit denen Gauner Passwörter sammeln…

    Kommentar von sebastiankuebeck — Juni 16, 2011 @ 14:16 | Antwort

    • Und wenn schon. Woher wollen diese Seiten dann wissen, wo diese Passwörter benutzt werden? Das wäre als sammle jemand Schlüssel ohne zu wissen in welche Schlösser die passen.

      Kommentar von Rudolf Stepan — August 30, 2011 @ 18:33 | Antwort

  4. […] sich Passwörter einzuprägen und zu merken, sinkt. Weiters sind Wörterbuchattacken (siehe Die Nadel im Passwort-Heuhaufen) bei weitem effizienter als andere Angriffe auf Passwörter. Im besten Fall dauert es ein paar […]

    Pingback von Hotmail erzwingt sicherere Passwörter « Web-Sicherheit — Juli 18, 2011 @ 07:13 | Antwort

  5. Die Entropie vom ersten Passwort ist 153, und die vom zweiten ist 146. Also ist das erste Passwort sicherer, wie es die Entropieregel besagt, und nicht das zweite. Entropie ist deshalb doch ein wichtiges Kriterium für die Sicherheit!!!

    Kommentar von Anatoy — Dezember 19, 2016 @ 16:45 | Antwort

    • Entropie ist definitiv ein wichtiges Kriterium für die Sicherheit, allerdings weiß ein Angreifer nicht, wie hoch die Entropie meines Passworts ist. Das weiß er erst, wenn er das Passwort geknackt hat und dann ist die Information für ihn nicht mehr von Bedeutung oder wenn ich ihm einen Hinweis gebe und ich werde mich hüten, das zu tun. Bei einem Brute-Force-Angriff muss ein Angreifer also von einer hohen Entropie ausgehen und alle Möglichkeiten durchprobieren und dann ist die Länge des Passworts entscheidend. Der Angreifer könnte auf gut Glück die Entropie reduzieren, indem er beispielsweise spekuliert, dass ich nur Kleinbuchstaben verwende, sollte er sich jedoch irren und ich verwende auch nur einen Großbuchstaben, wird er nie wissen, ob seine Annahme fehlerhaft ist oder ob mein Passwort einfach so lange ist, dass er beim Durchprobieren nicht drauf kommt. Die Sache ist also etwas trickreicher als die einfache Formel höhere Entropie = höhere Sicherheit.

      Kommentar von sebastiankuebeck — Dezember 19, 2016 @ 17:24 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: