Sicher ist sicher
Jeder kennt sie, keiner kann sie wirklich leiden: Kennwörter!
Ständig muss man sie ändern, jedes System möchte einen anderen Stil oder eine bestimmte Komplexität erfüllt haben und wenn man das entsprechende Konto GENAU JETZT benötigt, dann ist die Gültigkeitsdauer mal wieder abgelaufen. Eben diese Tatsachen verleiten dazu, möglichst einfache und einprägsame Kennwörter zu verwenden. Viele Systeme verbieten die Verwendung einfacher Kennwörter im Stil „123456“ oder „sommer2017“ bereits von sich aus, andere unterbinden eine unendliche Nutzung solcher Kennwörter, wieder andere Systeme fordern noch weitere Faktoren.
Sorry…:
Und dennoch ist die Art und Weise von Kennwörtern, wie wir sie heute gewohnt sind, eigentlich nur bedingt sicher – der „Erfinder“ der gängigsten Kennwort-Sicherheitsrichtlinien, Bill Burr, entschuldigte sich jüngst sogar in einem Interview:
„Ich bedauere sehr, was ich den Computernutzern eingebrockt habe. Ich hätte das seinerzeit besser machen können – und einige Erkenntnisse, die wir jetzt haben, auch schon damals herausfinden können“, sagte Burr im amerikanischen Sender CBS. Zum Hintergrund: Als IT-Experte bei der staatlichen US-Technologiebehörde NIST gab Bill Burr vor 15 Jahren die Empfehlung aus, die Passwörter im regelmäßigen zeitlichen Abständen zu ändern. Diese Regelung wurde zunächst in den USA in dortigen Behörden und Unternehmen eingeführt – und im Laufe der folgende Jahre dann auch von IT-Abteilungen überall auf der Welt übernommen. Grundlage für Burrs Empfehlungen war ein internes Papier des NIST (National Institute of Standards and Technology) aus den 80er Jahren. Daraus entwickelte er sein achtseitiges Dokument mit dem Titel „NIST Special Publication 800-63. Appendix A“, dass seit diesem Sommer in einer überarbeiteten neuen Fassung erschienen ist. Ein zweiter darin enthaltener Rat Burrs wurde schließlich mit der Zeit immer mehr zum Problem. Dieser lautete: „unterschiedliche Zeichen zu nutzen, bestehend aus möglichst komplizierten Kombinationen mit Buchstaben, Zahlen und Sonderzeichen.
Passwort „XL-3!?gp“ – Sich solche oder ähnliche Kombinationen alle 90 Tage auszudenken und vor allem auch zu behalten, bereitet vielen Nutzern aber auf Dauer „Buchstaben-Zahlen-und-Sonderzeichen-Kopfschmerzen“. Die Folge: In vielen Fällen streiken und ignorieren die User Burrs zweite Empfehlung und verwenden regelmäßig nur noch einfache, leicht zu merkende Passwörter. Bill Burrs Nachfolger bei der US-Technologiebehörde, Paul Grassi, bestätigt diese Erkenntnis im Wall Street Journal. Nach 15 Jahren Erfahrung mit geknackten Passwörtern kommt er zu einem ernüchternden Fazit: „Unsere bisherigen Empfehlungen führten zu Passwörtern, die für böswillige Hacker einfach waren, aber kompliziert für die Nutzer.“ Auch das häufige Wechseln von Passwörtern habe den Unternehmen und Nutzern mehr Aufwand und Ärger gebracht, aber keinen größeren Schutz vor Cyberkriminellen, meint Grassi. Denn achtstellige Passwörter mit Sonderzeichen sind leichter zu knacken als eine längere und zudem leicht zu merkende Liedzeile wie: „Alle Vögel sind schon da.“. Auch Burrs Vorgabe, nicht nur kleine und große Buchstaben, sondern auch eine Nummer und ein Sonderzeichen in Passwörtern zu verwenden, brachte ebenfalls oft nicht den gewünschten Effekt. Nutzer variierten einfach nur einen Begriff, machten etwa aus „Passwort“ einfach „Pa$$w0rt1!!“, was Algorithmen aber leicht erraten können.
WWHD (What would Hackers do):
Und sollte der Angreifer zum Beispiel durch eine der von uns bereits erprobten Methoden (Phishing, USB-Drop) bereits anderweitig Zugriff auf das System erhalten haben oder einfach einen PC oder Werkstatt-Tester stehlen, dann wird selbst die komplexeste Kennwort-Richtlinie zum Problem, wenn die User weiterhin zu einfache, zu kurze und vor allem nicht einmalige Kennwörter wählen. Wie das geht zeigen wir euch heute:
Im Rahmen der aktuellen Security-Maßnahme, welche unter anderem bereits einen Phishing-Angriff mit gefakten Cross-Mails, eine USB-Drop-Attacke und einen telefonischen Angriff beinhaltete, haben wir uns erneut den gängigen Methoden von Hackern und sonstigen Bösewichten bedient und uns unsere Windows-Anmeldedomäne und die darin enthaltenen Benutzerkonten vorgenommen. Mit einem simplen Stück Software des Sicherheits-Anbieters KnowBe4 wurden sämtliche Accounts auf etwaige Schwachstellen überprüft und anschliessend ausgewertet. Die Software kann dabei weder Kennwörter entschlüsseln noch welche knacken. Sie vergleicht lediglich die Komplexität und den Aufbau des verschlüsselten Account-Kennwortes (der so genannte „Hash“) mit einer Datenbank, in welcher über 11 Millionen Hashes enthalten sind. Der Hash des Beispiel-Benutzers „m.mustermann“ sieht dann z.B. wie folgt aus:
m.mustermann:500::EC054D40119570A46634350291AF0F72:::
Findet die Software exakt die Hash-Kombination EC054D40119570A46634350291AF0F72 (entspricht dem Kennwort „password“) in ihrer Datenbank, so wird der Account bzw. dessen Kennwort als unsicher markiert, denn auf Datenbanken dieser Art hat im Grunde jeder, der daran Interesse hat, Zugriff. Und eine simple Zuordnung des Hashes zum Klartext-Kennwort „password“ macht den Account potentiell unsicher. Selbst eine komplexere Variante von „password“ wie etwas pa$$word oder PA$$w0RD und selbst p4ssW0Rd!2017 verbessert die Sache nicht, denn auf diese Idee sind garantiert auch schon anderen Menschen gekommen, welche wiederum Opfer eines Hacks wurden und deren Kombination von p4ssW0Rd!2017 und dem dazugehörigen Hash XD954D4019570H4VV34350272AFZ7H9 sind ebenfalls ziemlich sicher bereits in einer der vielen Datenbanken im Internet gelandet.
Und genau das macht die Thematik so fatal: Das Kennwort mag auf den ersten Blick komplex erscheinen, in Wahrheit aber muss ein Angreifer sich erst gar nicht mehr damit beschäftigen, ob der Anfangsbuchstabe des Kennwortes nun groß oder klein geschrieben wurde, denn er vergleicht einfach den Hash, wie einen Fingerabdruck, mit seiner Datenbank und zieht daraus den Rückschluss auf das Kennwort. Zugriff auf den Hash erhält er, wie bereits weiter oben erwähnt, zum Bespiel durch gestohlene oder kompromittierte PCs, Festplatten oder durch viele weitere Methoden.
Abhilfe schaffen:
Etwas anderes wäre es aber, wenn das Kennwort nicht nur komplex, sondern auch einmalig wäre. Ein Beispiel:
Weitere oben im Text wurde ja bereits die Liedzeile „Alle Vögel sind schon da.“ erwähnt. Nehmen wir einfach mal an, dass wir uns ein neues Kennwort für die Anmeldung an XYZ ausdenken müssten und dabei diese Liedzeile verwenden wollen, dann könnte das Kennwort wie folgt aussehen „AlleVögelsindschonda“. als nächstes fügen wir dem Kennwort den Namen der Anwendung hinzu: „AlleVögelsindschonda-XYZ“. Schon ist das Kennwort um fünf Zeichen länger, zusätzlich enthält es ein Sonderzeichen, nämlich den Bindestrich. Um nun noch dem regelmäßigem Kennwortwechsel Rechnung zu tragen, fügen wir das Datum der Änderung hinzu „AlleVögelsindschonda-XYZ-29082017“ und erhalten somit ein komplexes, langes, leicht zu merkendes und vor allem EINMALIGES Kennwort, welches mit ziemlicher Sicherheit noch in keiner Datenbank gelandet ist. Sollte diese Kennwort-Kombination nun zu lang sein, dann kann man auch nach belieben kürzen und beispielweise nur die Anfangsbuchstaben verwenden, in etwa so: „AVssd-XYZ-29082017“. Dies ergibt immer noch ein sicheres und einmaliges Kennwort, auch wenn diese Variante schön kurz daher kommt. Einem Hash-Angriff wird es in jedem Fall stand halten, einer Brute-Force oder Rainbow-Tables Attacke ebenfalls, denn Kennwörter dieser Länge und Komplexität lassen sich rein mathematisch nicht errechnen oder erraten, der zeitliche Aufwand wäre einfach viel zu hoch (wer mehr zu den Begriffen Brute-Force oder Rainbow-Tables wissen möchte, möge sich bitte bei uns melden).
Generell aber ist die Problematik mit gestohlenen Hash-Dateien ebenfalls nicht ausser acht zu lassen, insofern besteht natürlich ein hoher Schutzbedarf eben solcher Informationen. Dieser Schutz wird einerseits systemseitig durch uns gewährleistet, andererseits aber sind wir auch auf die Mitarbeit jedes einzelnen Anwenders angewiesen. Je besser IHR also informiert seid und je genauer IHR hinschaut, umso besser sind WIR ALLE vor Bedrohungen geschützt.
Falls ihr allgemein mehr über IT-Sicherheit, richtiges Verhalten am PC-Arbeitsplatz oder die Vermeidung von Datenverlust, Identitäts-Diebstahl und den Methoden der Hacker wissen möchtet, dann schreibt uns einfach eine kurz Mail an security@XYZ.de. Wir werden jede Anfrage prüfen und uns Gedanken machen, inwiefern wir die Themen am besten aufbereiten und präsentieren können.