Passwörter und Systemzugriff

Benutzerpasswörter und Authentifizierungsrichtlinien schützen von Ihrer Anwendung gesammelte wichtige und sensible Daten vor dem Zugriff nicht autorisierter Benutzer. Hacker – böswillige Benutzer, die sich unautorisierten Zugang zu Systemen und Daten verschaffen möchten – setzen viele Strategien ein, um schwache Passwörter und laxe Sicherheitsrichtlinien auszuspähen und auszunutzen. Das Schätzen und Erraten des Benutzerpassworts ist als Cracking bekannt.

Bei einem Brute-Force-Angriff unternimmt ein Hacker mehrere Versuche, das Passwort eines Benutzers zu knacken, um sich erfolgreich Zugang zu verschaffen. Hierbei probiert ein Hacker nacheinander alle möglichen Zeichenkombinationen aus, um sich Zugang zu verschaffen.

Bei einem Wörterbuchangriff verwendet ein Hacker ein Wörterbuch, d.h. eine Wortliste gebräuchlicher oder vermuteter Passwörter, um die Chance auf einen erfolgreichen Zugriff zu erhöhen. Ein Hacker kann sein Wörterbuch durch Folgendes ausbauen:

• Ausspähen gebräuchlicher Wörter, wie password.
• Spidering oder Durchsuchen einer Unternehmenswebsite, um allgemeine Begriffe innerhalb des Unternehmens in Erfahrung zu bringen, z. B. einen Slogan oder das Unternehmensgründungsjahr.
• Erlangung bekannter Passwörter durch einen erfolgreichen Hack einer anderen Webseite.

Als Sicherheitsmaßnahme werden Passwörter oftmals umgeformt und mit einem Verfahren, das als Hashing bekannt ist, gespeichert. Beim Hashing wird mit einem Algorithmus aus einem Textzeichen eine Zahl erzeugt, der Hash. Beispiel: Das Passwort password wird in den Hash 5f4dcc3b5aa765d61d8327deb882cf99 verwandelt.

Hashing schützt Passwörter, weil ein Hash nicht wieder in seine ursprüngliche Form entschlüsselt werden kann. Stattdessen wird eine Textzeichenfolge, wie z. B. ein Passwort, gehasht und mit einem zuvor generierten Hash verglichen, von dem bekannt ist, dass er von einer gültigen Textzeichenfolge stammt. Wenn ein Benutzer beispielsweise sein Passwort festlegt, wird es gehasht gespeichert. Versucht der Benutzer später, sich anzumelden, hasht das System das übermittelte Passwort und vergleicht den gehashten Wert mit dem gespeicherten Hash-Wert. Stimmt der Hash, wird das Passwort als gültig erkannt und der Benutzer wird angemeldet.

Um ein gehashtes Passwort zu knacken, bedienen sich Hacker des Rainbow-Tabellenangriffs. Bei einem Rainbow-Tabellenangriff erstellt ein Hacker eine Lookup-Tabelle mit einer Liste möglicher Passwörter und Hashes und vergleicht dann jeden Hash mit einer Liste von gehashten Passwörtern. Passt der Hash, findet der Hacker das Passwort in der Lookup-Tabelle.

Prüfen Sie mit der folgenden Interaktion Ihr Wissen.

Viele Sicherheitsverstöße beruhen auf geknackten Passwörtern, die Zugang zu sensiblen Daten und Systemen verschaffen sollen. Ein Passwort gilt als schwach, wenn es eines der folgenden Kriterien erfüllt.

• Es besteht aus weniger als acht Zeichen.
• Es besteht nur aus Buchstaben.
• Das Passwort ist ein gebräuchliches Wort oder eine Phrase wie Passwort.
• Das Passwort enthält sich wiederholende Zeichen oder einfache Sequenzen, wie 111 oder abcdef (die ersten sechs Buchstaben des deutschen Alphabets).
• Das Kennwort enthält gebräuchliche Zeichenersetzungen wie @ für a oder 0 für o.

Ist ein Passwort stark genug, gibt der Hacker möglicherweise auf, ehe er das Passwort knacken kann. Die Passwortstärke hängt von drei Faktoren ab: Länge, Komplexität und Vorhersehbarkeit.

Länge

Wird die Passwortlänge erhöht, erhöht sich auch die Anzahl der möglichen Kombinationen, die getestet werden können. Die maximale Anzahl an möglichen Kombinationen einer Zeichenfolge beträgt xⁿ, wobei x die Anzahl an zulässigen Zeichen bezeichnet und n die Anzahl der Zeichen in der Zeichenfolge. Besteht ein Passwort aus vier Zeichen, die nur aus Kleinbuchstaben bestehen, a-z gibt es nur 26⁴ – oder 456.976 – mögliche Zeichenkombinationen. Wird die Passwortlänge auf acht Zeichen erhöht, erhöht sich auch die Anzahl der möglichen Kombinationen auf 26⁸ oder 208.827.064.576.

Komplexität

Eine Erhöhung der Anzahl der zulässigen Zeichen erhöht auch die Anzahl der Kombinationen. Daher verlangen Sicherheitsrichtlinien häufig Großbuchstaben (A–Z) und Kleinbuchstaben, die Zahlen 0–9 und Sonderzeichen wie Interpunktionszeichen und arithmetische Operatoren. Enthält ein acht Zeichen langes Passwort Buchstaben wie a–z und A–Z, die Zahlen 0–9 und 30 Sonderzeichen (` ~! @ # $ % ^ & * ( ) _ + - = [ ] | \ : " ; ' < > ? , . /), erhöht sich die Anzahl der möglichen Kombinationen auf (26 + 26 + 10 + 30)⁸ oder 5.132.188.731.375.616‬.

Vorhersehbarkeit

Beim Ausspähen von Passwörtern arbeiten Hacker oft mit Wörterbüchern mit gängigen Passwörtern, wie zum Beispiel Passwort. Diese Wörterbücher enthalten oft Variationen mit gebräuchlichen Zeichenersetzungen wie @ anstatt von a oder $ anstatt von s. Das Passwort p@$$word mag sicher scheinen, gilt aber aufgrund der gebräuchlichen Ersetzungen als vorhersehbar.

Verwenden Sie stattdessen eine ungewöhnliche Redewendung wie Mein Adler schwimmt in der Hühnersuppe. Die gesamte Redewendung muss gehasht werden, um einen Rainbow-Tabellenangriff zu erschweren, was die Wahrscheinlichkeit verringert, das Passwort erfolgreich zu knacken. Zu anderen Strategien gehören die zufällige Großschreibung von Buchstaben im Passwort und der Einsatz von Sonderzeichen anstelle von Leerzeichen als die übliche Ersetzung von Buchstaben.

Prüfen Sie mit der folgenden Interaktion Ihr Wissen.